win32/trojanclicker.small.kj cavallo di troia che faccio???

[juninho85]

Quote:

Originariamente inviato da Swiggy

File C:\WINDOWS\omsnlog.dll eliminato con avenger
Ho riavviato: bene, appena entrato mi ha subito dato un errore di itunes e lo ha chiuso, nod32 ha rilevato nuovamente il virus, questa volta, però in C:\avenger\omsnlog.dll... Champagne!

...è il file di backup

[juninho85]

tratto da pcalsicuro:
- service32.exe o Winsys.exe,sotto la directory di Windows, è il file iniziale che infetta il pc.Utilizza tecniche rootkit user mode per nascondersi nel sistema;
- Una dll tra quelle in elenco, sotto la directory di Windows, installata da service32.exe:

ctfmon32.dll
iexplorer32.dll
iexplorre32.dll
lsas32.dll
mdm32.dll
omsnlog.dll
scrss32.dll
spoolvs32.dll
sys32exploer.dll
syshost.dll
syst32.dll
winsmgr32.dll

-un file, solitamente con prefisso it_0[numeri casuali].exe, nella directory dei file temporanei del pc, che è un dialer;

- possibilità di trovare nell’ADS (Alternate Data Stream) della directory di sistema di Windows un rootkit kernel-mode denominato Rustock.B. Rustock è uno dei migliori rootkit kernel-mode attualmente esistente, in questa variante si nasconde sotto il nome di lzx32.sys. Se il file system non è NTFS, invece che nascondersi nell’ADS sarà localizzato all’interno della directory stessa

[Swiggy]

Quote:

Originariamente inviato da juninho85

tratto da pcalsicuro:
- service32.exe o Winsys.exe,sotto la directory di Windows, è il file iniziale che infetta il pc.Utilizza tecniche rootkit user mode per nascondersi nel sistema;
- Una dll tra quelle in elenco, sotto la directory di Windows, installata da service32.exe:

ctfmon32.dll
iexplorer32.dll
iexplorre32.dll
lsas32.dll
mdm32.dll
omsnlog.dll
scrss32.dll
spoolvs32.dll
sys32exploer.dll
syshost.dll
syst32.dll
winsmgr32.dll

-un file, solitamente con prefisso it_0[numeri casuali].exe, nella directory dei file temporanei del pc, che è un dialer;

- possibilità di trovare nell’ADS (Alternate Data Stream) della directory di sistema di Windows un rootkit kernel-mode denominato Rustock.B. Rustock è uno dei migliori rootkit kernel-mode attualmente esistente, in questa variante si nasconde sotto il nome di lzx32.sys. Se il file system non è NTFS, invece che nascondersi nell’ADS sarà localizzato all’interno della directory stessa

Grazie mille,
risposta straesaustiva, appena a casa vado a caccia

ieri poi, all'ennesimo riavvio aveva trovato un Rustock.NAX in file temporanei...

Ma poi, avendo una connessione adsl, queste son solo scocciature, (visto che son dialer) oppure portano ad altri danni????

Grande Juninho!!!!

[juninho85]

Quote:

Originariamente inviato da Swiggy

Ma poi, avendo una connessione adsl, queste son solo scocciature, (visto che son dialer) oppure portano ad altri danni????

Grande Juninho!!!!

ocio che rostock e trojanclicker NON sono "solo" dialer,purtroppo

[Swiggy]

fatto!

ero pronto, dopo il riavvio, ad eliminare nuovamente l'omsnlog.dll ma è sparito da solo con l'eliminazione di winsys.exe....

i tre antivirus non mi rilevano nulla, neppure nei file temporanei (almeno per ora )

Grazie ancora a tutti!!!

[margherita08]

Quote:

Originariamente inviato da andorra24

Ciao, fai una verifica. Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Vai su C:\WINDOWS e vedi se ci sono i seguenti files: service32.exe e syst32.dll

stesso problema.. se vado togliere la spunta da "nascondi i file protetti" il computer mi dice che potrei avere seri problemi e che potrebbe non funzionare.. è normale?

[juninho85]

Quote:

Originariamente inviato da margherita08

stesso problema.. se vado togliere la spunta da "nascondi i file protetti" il computer mi dice che potrei avere seri problemi e che potrebbe non funzionare.. è normale?

si

[sfVampiro]

Ho lo stesso problema,
solo che a me, dopo aver seguito la procedura di cui sopra, aver eliminato il winsyst32, controllato di non avere tutti gli altri files elencati qui, mi è rimasto "solo" omsnlog.dll. Norton me lo rileva in continuazione, ma non riesce a cancellarlo se non in modalità provvisoria. Solo che all'avvio, rieccolo presentarsi.
E, ribadisco, nessuno dei files elencati qui mi risulta presente: solo omsnlog.dll.
Come faccio?
Grazie.

[michael1983]

allora oggi mi sono beccato il cavallo di troia (premesso uso nod32)
cmq, ho seguito tutti i suggerimenti di post precedenti.....xò il problema sta all'origine....ho cercato i file service32.exe e syst32.dll ma ma non gli ho trovati come mai?????

[juninho85]

Quote:

Originariamente inviato da michael1983

allora oggi mi sono beccato il cavallo di troia (premesso uso nod32)
cmq, ho seguito tutti i suggerimenti di post precedenti.....xò il problema sta all'origine....ho cercato i file service32.exe e syst32.dll ma ma non gli ho trovati come mai?????

sono files nascosti

[ValterManetta]

E' possibile ke nel file zip nella cartella di avenger ke ho nel desktop si trovi questo troyan????
avenger l'avevo scaricato x eliminare linkoptimizer.
F-Prot me lo dà anche in C:System Volume Information\restore.........
dovrò forse disabilitare il ripristino di configurazione x eliminare qst. file?????
Grazie
http://img172.imageshack.us/img172/3817/avenger1hf8.jpg

http://img115.imageshack.us/img115/4...ytermodxq6.jpg

http://img227.imageshack.us/img227/8...scanmodia1.jpg

[juninho85]

da dove l'hai scaricato?

[ValterManetta]

Quote:

Originariamente inviato da juninho85

da dove l'hai scaricato?

*********************************
quando mi avevi diagnosticato linkoptimizer devo averlo scaricato da un link su di un vs. post (forse quello di Andorra) e avevo fatto normalmente la procedura descritta con esito positivo.
poi l'ho lasciato nella cartella sul desktop x un eventuale bisongno futuro, assieme alle cartelle di hijackthis, gmer, nod32.
anche ora mi è uscito un avvertimento di F-prot, sebbene ho eliminato la cartella con il file di avenger e svuotato il cestino.
pensi ke dovrò disabilitare il ripristino di configurazione di sistema????
grazie

[juninho85]

Quote:

Originariamente inviato da ValterManetta

*********************************
quando mi avevi diagnosticato linkoptimizer devo averlo scaricato da un link su di un vs. post (forse quello di Andorra) e avevo fatto normalmente la procedura descritta con esito positivo.
poi l'ho lasciato nella cartella sul desktop x un eventuale bisongno futuro, assieme alle cartelle di hijackthis, gmer, nod32.
anche ora mi è uscito un avvertimento di F-prot, sebbene ho eliminato la cartella con il file di avenger e svuotato il cestino.
pensi ke dovrò disabilitare il ripristino di configurazione di sistema????
grazie

decisamente strano.
ora disabilita il ripristino di sistema,pulisci tutto....dammi qualche minuto e ne uppo uno io di cui son certo non sia infetto

[juninho85]

eccolo qui

[Xnder]

Salve a tutti,
evito di aprire un altro thread per questo problema che suppongo di condividere (purtroppo) anche con altri utenti.

Il mio dialer si chiama vwxiaa.exe ed ha l'icona di un bacio. E' situato nella cartella temp ed ogni volta che mi connetto ad internet mi ripiomba dentro.
Anche se lo elimino da HijackThis ritorna ogni volta sotto un altro nome ogni volta che provo a riconnettermi.

Assieme a questo sempre nella cartella temp è presente:

~DF1C2A.tmp

ineliminabile.

Ho fatto la scansione con Active Virus Shield e non mi rileva nulla di sospetto... va beh... non fa testo.

Secondo me c'è qualche file nascosto dentro qualche cartella che ogni volta che mi connetto mi fa scaricare in automatico questa roba...

E' quel "file tmp"?

Ho visto se nella cartella di WIndows c'erano quei .exe citati all'inizio, ma nemmeno l'ombra.

Qui c'è uno screen shot delle .dll e di alcuni files dall'estensione strana.


Che posso fare? Ho in mano avenger, ma cosa elimino?




Questo è il log di HijackThis se vi può essere utile, (secondo me è a posto)

Grazie a tutti


Logfile of HijackThis v1.99.1
Scan saved at 14.15.26, on 26/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe
D:\Programmi D\Active Virus Shield\avp.exe
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Programmi\ASUS\Wireless Console\wcourier.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programmi D\ASUSTek\ASUSDVD\PDVDServ.exe
D:\Programmi D\Active Virus Shield\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Mozilla Firefox\firefox.exe
D:\Programmi D\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-auth.unifi.it:8888
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Programmi D\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [aol] "D:\Programmi D\Active Virus Shield\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programmi\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - D:\Programmi D\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

[wizard1993]

fai una scan con gmer

[Xnder]

Ok sto facendo lo scan resta in linea

[Xnder]

mi è crashato il sistema e mi si è riavviato:
all'avvio: firefox.exe, file danneggiato...



i guai non vengono mai da soli.

[wizard1993]

Quote:

Originariamente inviato da Xnder

mi è crashato il sistema e mi si è riavviato:
all'avvio: firefox.exe, file danneggiato...



i guai non vengono mai da soli.

falla con rootkit unhooker