MegaLab.it

Inviato: **sab mag 29, 2004 2:35 pm**

Sono due giorni che sono alle prese con un trojan!!!
La "cosa" evidente è che mi cambia la homepage in: about blank Search for....
La cosa più fastidiosa è che rallenta tantissimo il PC
In task Manager alla voce applicazioni, quando sono in internet, si vedono comparire (in esecuzione) siti porno... senza che che questi escano in video! E alla voce processi salta fuori un altro: IEXPLORE.EXE
Lo elimino ma puntualmente salta fuori!!
Ho fatto scansioni (anche in safe mode) con Norton Ad-Aware e Spybot Qualcosa hanno trovato ed eliminato ma il problema persiste.
Ho anche fatto la scansione con un programmino usato in altre occasioni CWShredder ma niente da fare.
Il Norton ogni tanto segnala:Virus MHTML Redir.exploit virus individuato e eliminato; a volte Download.Trojan impossibile eliminare il file!
Aiutoo..... [nomi]

[nomi][nomi]

Inviato: **sab mag 29, 2004 2:47 pm**

Fai una scansione e salvati il log e poi postalo qui, non eliminare niente per il momento.
http://209.133.47.200/~merijn/files/HijackThis.exe

Con questi puoi fare una scansione online
http://www.bitdefender.com/scan/license.php
http://www.pandasoftware.com/activescan ... ncipal.htm

Intanto cerco notizie sui tuoi "ospiti".
Questo è il download.trojan
The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.
<u>Disable System Restore (Windows Me/XP). </u>
Update the virus definitions.
Restart the computer in Safe mode (Windows 95/98/Me/2000/XP) or VGA mode (Windows NT).
Run a full system scan and delete all the files detected as Download.Trojan.
<u>Clear Internet Explorer History and files, if needed</u>.

Inviato: **sab mag 29, 2004 4:45 pm**

Per log intendi il risultato della scansione?
Il sito:http://209.133.47.200/~merijn/files/HijackThis.exe
Cos'è??

Inviato: **sab mag 29, 2004 5:18 pm**

Hai ragione ho scritto male io, scaricati quel programma Hijackthis e fai la scansione, ti da la possibilità di salvarti il log della scansione.

Inviato: **dom mag 30, 2004 11:40 am**

Ti invio il log (spero fatto bene) della scansione con HijackThis!!
Salvami non ne posso più!!![nomi][nomi][nomi]
Logfile of HijackThis v1.97.7
Scan saved at 12.35.49, on 30/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINDOWSSystem32CTHELPER.EXE
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiCreativeShareDLLCtNotify.exe
C:ProgrammiAheadInCDInCD.exe
C:WINDOWSSystem32ctfmon.exe
C:windows undll32.exe
C:ProgrammiMessengermsmsgs.exe
C:ProgrammiTextBridge Classic 2.0EregREMIND32.EXE
C:ProgrammiCreativeShareDLLMediadet.exe
C:WINDOWSSystem32CTsvcCDA.exe
C:ProgrammiAheadInCDInCDsrv.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:WINDOWSSystem32svchost.exe
C:ProgrammiInternet ExplorerIEXPLORE.EXE
C:WINDOWSSystem32 askmgr.exe
C:Documents and SettingsMauroDocumentiUtilitàHijackThis scansione antivirus.exe
C:ProgrammiInternet Exploreriexplore.exe
C:ProgrammiOutlook Expressmsimn.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = C:WINDOWSSystemlank.htm
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = ,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:programmigooglegoogletoolbar2.dll
O2 - BHO: (no name) - {B7F751FE-0B97-4A37-9507-585D41AA0218} - C:WINDOWSSystem32ejpoh.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:programmigooglegoogletoolbar2.dll
O4 - HKLM..Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM..Run: [Jet Detection] C:ProgrammiCreativeSBLivePROGRAMADGJDet.exe
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammiFile comuniSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [Disc Detector] C:ProgrammiCreativeShareDLLCtNotify.exe
O4 - HKLM..Run: [InCD] C:ProgrammiAheadInCDInCD.exe
O4 - HKLM..Run: [PinnacleDriverCheck] C:WINDOWSSystem32PSDrvCheck.exe -CheckReg
O4 - HKLM..RunServices: [RegisterDropHandler] C:PROGRA~1TEXTBR~1.0BinREGIST~1.EXE
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [rundll32] C:windows undll32.exe
O4 - HKCU..Run: [MSMSGS] "C:ProgrammiMessengermsmsgs.exe" /background
O4 - Startup: reminder-Registrazione del prodotto Scansoft.lnk = C:ProgrammiTextBridge Classic 2.0EregREMIND32.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:ProgrammiFile comuniAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOffice10OSA.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: &Google Search - res://c:programmigoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:programmigoogleGoogleToolbar2.d ... links.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:programmigoogleGoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:programmigoogleGoogleToolbar2.d ... milar.html
O12 - Plugin for .mov: C:ProgrammiInternet ExplorerPLUGINS
pqtplugin.dll
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:MAIN.MHT!http://d.dialer2004.com//promax1/main.chm::/load.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11512201-1001-1111-1000-134611006731} - ms-its:mhtml:file://c:
osuch.mht!http://online.e-open.net/pop/chm/vitek2.chm::/d_vitek2.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... .535162037
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto ... dwnldr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLMSystemCCSServicesTcpip..{FAC2CF71-363D-4C5D-B3C5-D0D40717E259}: NameServer = 212.245.255.2

Inviato: **dom mag 30, 2004 11:45 am**

Può essere utile una scansione di Recleaner??

Inviato: **dom mag 30, 2004 12:06 pm**

Direi che questi sono molto sospetti,anche se non sono riuscito a risalire se siano un virus o uno spyware.
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:MAIN.MHT!http://d.dialer2004.com//promax1/main.chm::/load.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11512201-1001-1111-1000-134611006731} - ms-its:mhtml:file://c:
osuch.mht!http://online.e-open.net/pop/chm/vitek2.chm::/d_vitek2.exe

Anche questi non so cosa siano, ma sono molto strani
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSSystem32ejpoh.dll/sp.html (obfuscated)
O2 - BHO: (no name) - {B7F751FE-0B97-4A37-9507-585D41AA0218} - C:WINDOWSSystem32ejpoh.dll

Avevi provato questo?
Questo è il download.trojan
The following instructions pertain to all current and recent Symantec antivirus products, including the Symantec AntiVirus and Norton AntiVirus product lines.
Disable System Restore (Windows Me/XP).
Update the virus definitions.
Restart the computer in Safe mode (Windows 95/98/Me/2000/XP) or VGA mode (Windows NT).
Run a full system scan and delete all the files detected as Download.Trojan.
Clear Internet Explorer History and files, if needed.

Inviato: **dom mag 30, 2004 1:03 pm**

un'ulteriore scansione con Panda mi ha dato questo:

Incident Status Location

Virus:Trj/StartPage.EB Disinfected Operating system
Virus:Trj/Rslocal.D Disinfected C:WINDOWSavxoscanInfectedmdmhelpv.exe
Virus:W32/Randon.AJ.worm Disinfected C:WINDOWSavxoscanSuspiciousxdlrccc.exe
Virus:Trj/StartPage.EB Disinfected C:WINDOWSsystem32ciebh.dll
Virus:Trj/StartPage.EB Disinfected C:WINDOWSsystem32cinn.dll
Virus:Trj/StartPage.EB Renamed C:WINDOWSsystem32ejpoh.dll

Inviato: **dom mag 30, 2004 1:07 pm**

La procedura l'ho seguita già.
Come posso fare per eliminare i file sospetti??

Inviato: **dom mag 30, 2004 3:23 pm**

Rifai lo scan con Hijackthis, quei valori che ritrovi frà quelli che ti avevo indicato ci metti il flag e poi fai Fix checked per eliminarli.
Per sicurezza poi rifai una scansione con Panda per vedere se è tutto pulito.

Inviato: **lun mag 31, 2004 9:29 pm**

ho eliminato solo oggi i file che mi hai segnalato! Speriamo bene.
Domani proverò con una scansione con Panda.
Ti farò sapere...
Grazie[^]

Inviato: **mar giu 01, 2004 4:10 pm**

Niente da fare! C'è ancora qualcosa e la pagina predefinita non va ancora a posto!!
Ti farò sapere Panda cosa ha trovato.
Pensi che debba formattare tutto?
Qualcuno mi dice che potrebbe essere un dialer modificato che si rinimina ogni volta e bisognerebbe cercarlo su Windows.
Si ma dove??[nomi][nomi]

Inviato: **gio giu 03, 2004 7:01 pm**

Panda mi ha trovato un file in C:WindowsSistem32lno.dll
Ho provato ma non riesco ad eliminarlo(impossibile eliminare il file...)
Ho provato ad inviarlo nella Quarantena di Norton ma è saltato fuori da qualche parte!!

Inviato: **ven giu 04, 2004 7:44 am**

Comincio a vederla abbastanza dura per il tuo pc. (il format si avvicina)
Come si chiama l'ultimo virus che hai trovato?
Quel nome di dll non mi dice niente.

Inviato: **ven giu 04, 2004 9:52 pm**

Il file ha ogni sera un nome diverso!
Questa sera è kdimgd.dll.
Si elimina oppure tocca formattare??

Inviato: **gio giu 24, 2004 7:25 pm**

salve, sono nuovo e il mio pc ha lo stesso virus di mosvaldi (download.trojan); vorrei sapere se mosvaldi è riuscito ad eliminarlo e come ha fatto.Ho provato con tanti antivirus ma non lo vedono nemmeno...solo Norton lo riconosce ma le istruzioni sono troppo complicate per me. Grazie e vive cordialità

MegaLab.it

Help Trojan

Help Trojan