www.MegaLab.it

[bivis]

ciao a tutti,
è da un po' di giorni che il mio fido kaspersky continua a rilevare la seguente minaccia:

rilevato: un programma trojan Trojan-Proxy.Win32.Horst.av
URL: http://up.medbod.com/up/calc.bin/UPX

ho fatto una scansione completa, una scansione con spy-bot e con trustsoft antispyware e ad-aware ma nessuno ha rilevato niente.

io dico nega tutte le volte, però vorrei capire se è possibile eliminare questa minaccia una volta per tutte.

grazie per l'aiuto

vi posto anche il log di HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 10.45.20, on 24/08/06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\FolderSize\FolderSizeSvc.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\Ati2evxx.exe
e:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programmi\Trust\Trust 235A USB ADSL MODEM\CnxDslTb.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\manuele\IMPOST~1\Temp\Rar$EX02.203\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [StartupFaster] "C:\Programmi\Startup Faster 2004\StrpFstCfg.exe" -run SFAURUN SFCURUN SFAUSTARTUP SFCUSTARTUP
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://matteobrambilla1978.spaces.msn.c ... nPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F29F5FD-F334-4C97-BB93-1B035AF93A23}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programmi\FolderSize\FolderSizeSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programmi\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - e:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[crazy.cat]

Non è che puoi prendere uno screenshot del messaggio in modo da vederlo.
Sembra quasi un attacco che provenga dall'esterno.
Lo fa in qualche momento o attività particolare?

Ho rimosso dal tuo messaggio le impostazioni del proxy che non era bene lasciare in giro.

[Amantide]

Ho fatto un po' di ricerche e si dovrebbe trattare di trojan conosciuto anche come Boxed.E che fa la sua copia del file smss.exe e crea un altro file chiamato nvsvcd.exe.
Prima di tutto dovresti scaricare CCleaner e pulire tutti i file temporanei. dopo di che dalle Opzioni cartella devi abilitare la visualizzazione dei file nascosti e di sistema. Fatto ciò vedi se sono presenti questi file ed eliminali o dalla modalità provvisoria oppure con l'aiuto di Delete Doctor.

I file da eliminare sono questi:

C:\WINDOWS\system\smss.exe (mi raccomando solo il smss.exe che si trova nella cartella system e non system32)
C:\WINDOWS\system32\nvsvcd.exe
Potrebbe essere anche file eseguibile sconosciuto in questa cartella

C:\Documents and Settings\All Users\Documents\
con il nome simile a setup.exe o install.exe.

Dopo aver eliminati questi file, sempre se sono presenti, disabilita il ripristino configurazione di sistema ( Pannello di controllo--> Sistema) e fai la scansione online con Ewido.

Update:
Ho tralasciato un altro file che potrebbe essere presente e da eliminare:

C:\WINDOWS\system32\spool\drivers\install.exe

[bivis]

allora, ho fatto quello che mi hai detto, e ti ringrazio per l'aiuto.
purtroppo non ho trovato nessuno dei file che mi hai indicato,non sono sul mio computer, e anche se è un bene non risolve il mio problema
e poi anche la scansione online non ha trovato niente
altre idee?

grazie

[Amantide]

Fai la scansione completa in modalità provvisoria con Kaspersky stesso e vedi a cosa si riferiva. Può essere anche che quel file c'erano e Kaspersky riusciva ad eliminarli ma può essere che il file, la causa principale di questo avviso, riesce ad intruffolarsi ogni volta fra i file temporanei. Quindi fai la scansione con Kaspersky e posta qui il log. Anche se non riuscirà ad eliminare definitivamente il malware almeno avremo un quadro più completo della situazione.

Update:
Potrebbe anche essere che frequenti spesso qualche sito non sicuro che tenta di installarti quel trojan e forse l'avviso di Kaspersky è dovuto non al virus già presente ma ad uno che vuole installarsi.

[bivis]

allora, aggiornamento, è da ieri prima che cancellassi tutti i file temporanei con il programma che mi hai suggerito che non ricevo più avvisi. oggi per sicurezza ho fatto anche la scansione con kav in modalità provvisoria, ma non ha rilevato niente. fatto stà che non ho più ricevuto l'avviso, quindi il problema è risolto anche se non so come, forse, si annidava davvero nei file temporanei ma non riusciva a installarsi perché kaspy lo teneva a bada.
non penso possa derivare da qualche sito poco sicuro, perché l'avviso si presentava anche con il computer conesso a internet ma senza che nessuno navigasse con un browser, solo utilizzato da emule, messenger e pochi altri (aggiornamenti vari).
vi terrò aggiornati se torna. se no, grazie mille!!!!

[Amantide]

non penso possa derivare da qualche sito poco sicuro, perché l'avviso si presentava anche con il computer conesso a internet ma senza che nessuno navigasse con un browser, solo utilizzato da emule, messenger e pochi altri (aggiornamenti vari).

Può essere anche che l'attacco proveniva dal esterno ma dal momento che kaspersky lo blocca non vedo grande problema.
Se era veramente qualche attacco hacker fai il test di firewall sul sito di PCFlank per vedere se hai tutte le porte stealthed oppure se ci sono quelle visibili o totalmente aperte.