Postdi Anto2005 » 02/11/05 12:21

Ciao Ragazzi. Sono nuovo di questo forum ed ho bisogno della vostra esperienza diretta e del vostro sapere. Vi spiego.

Adesso pero' devo ricorrere all'esperienza diretta di altre persone.

Il mio PC e' stato infettato da un trojan (credo) che mi crea un'infinita' di problemi.
Innanzi tutto allo startup di Windows mi compapre la finestra di connessione, la chiudo ma dopo una manciata di minuti essa ricompare di nuovo a tentare una connessione e cosi' via.

Quando mi connetto subisco subito immediatamente degli attacchi da parte di due exploit "LSASS" e "DCOM".

Dopo alcuni minuti di connessione il mio pc inizia a mandare/ricevere (non lo ho ben capito) mail a ripetizione con frequenza di pochi millisecondi costringendomi alla disconnessione. (le mail sono rilevate da norton che tenta di analiozzarle oppure da avast che mi permette di bloccarle manualmente).

Associato all'invio a raffica di mail, compare una piccola icona nella barra delle applicazioni, accanto a quella della connessione di rete.

Ho provato a proteggermi e a guarire il pc con molti antivirus, trojan remover, ma senza soluzione reale. (nonostante tutti gli aggiornamenti piu' recenti)

Norton ed EZ neppure rilevano problemi.

I gratuiti AntiVir ed Avast invece rilevano due trojan, li quanrantenano, ma poi alla connessione successiva, tutto ricomincia da capo. Ho provato anche a lanciare avast prima dell'avvio del SO.

I trojan in questione sono:

Non so se i responsabili siano loro oppure altri bacherozzi NON rilevati da nessuno.

Sono stato 3 giorni a cercare di sbacare la mia macchina ma senza risultato.
Non ho nessuna voglia di reistallare tutto, e' contrario alla logica ed all'intelligenza umana. Devo vincere la battaglia, vi prego aiutatemi!!!

PS. ho usato:

-Norton suite con antivirus
-EZ antivirus
-Trojan Remover
-SpyBoot Serch and Destroy
Postdi Luke9792005 » 02/11/05 15:03


Scarica ed installa HijackThis; fai una bella scansione del sistema e posta il log.

Per informazioni dettagliate su HijackThis, leggi questa ottima guida:

Postdi Luke9792005 » 02/11/05 15:04


Trovi HijackThis nella sezione Download di pc-facile!

Postdi Anto2005 » 02/11/05 15:08

L'ho scariacato questa mattina, stasera lo istallo sul notebook infetto e vi posto il log. Sono comuque decisamente pessimista sulla possibile soluzione, visto che ho usato diversi antivirus anche dalla modalita' avvio o da quelle provvisioria.
Postdi Luke57 » 02/11/05 16:36

L'ho scariacato questa mattina, stasera lo istallo sul notebook infetto e vi posto il log. Sono comuque decisamente pessimista sulla possibile soluzione, visto che ho usato diversi antivirus anche dalla modalita' avvio o da quelle provvisioria.

Ciao, non so se hai provato anche Stinger, lo trovi qui , da usare in modalità provvisoria e dopo aver disattivato il punto di ripristino ( hai come so Xp, vero?), poi esegui hijackthis come ti ha detto il mio omonimo con qualche numero in più :)
Postdi Anto2005 » 03/11/05 11:02

Non mi permette di usare Hijack!!

Compare la finestra: Unespected Error. Mi sa che so proprio messo male!
Postdi Luke9792005 » 03/11/05 12:58


Hai Windows XP, giusto? Prova a vedere se ci sono i dettagli di questo errore (che francamente mi è del tutto nuovo) nell'event viewer (Start > Esegui e digita eventvwr.msc).

Se trovi qualcosa, posta i dettagli dell'evento.

Postdi toni84 » 03/11/05 13:00

Ciao probabilmente sei infetto da qualche malware tipo il trojan peper che non fa eseguire hijackthis prova con una versione precedente,ciao ciao
Postdi Anto2005 » 03/11/05 15:41

Allora. Vi aggiorno. Tanto queste esperienze sono utili a tutti.

E' da questa mattina che provo a "sbacare" in modalita' provvisiorio e con i punti di ripristino del SO rilmossi.
Tutte scansioni approfondite compresi tutti i files zippati.

EZ aggiornato NON trova nulla.
Avast! non trova nulla.

L'unico a trovare un mucchio di roba e' ANTIVIR.


1-file e' il trojan
2-file 00006263.VIR idem
3-file 00006264.VIR idem
4-file 00006265.VIR idem
5-file 00006267.VIR e' il trojan Dldr.Delf.PA.4

Trovati ed eliminati.
Ma questa roba l'avevo gia' eliminata!!
Postdi Anto2005 » 03/11/05 16:03

Report di AntiVir

C:\Documents and Settings\NOME\Impostazioni locali\Temp
[DETECTION] Is the Trojan horse TR/

[DETECTION] Is the Trojan horse TR/
[DETECTION] Is the Trojan horse TR/
[DETECTION] Is the Trojan horse TR/
[DETECTION] Is the Trojan horse TR/Dldr.Delf.PA.4
Postdi Anto2005 » 03/11/05 17:16

Una volta riavviato il pc in modalita' normale RIECCOMI da capo!!!!!!!!!!

Ogni 3-4 minuti si apre una richiesta di connessione!!!!!!!!!!!!!!!

Devo piallare tutto! :( :x :x :x :x
Postdi Anto2005 » 03/11/05 17:25

report di silent runners

"Silent Runners.vbs", revision 41,
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"TrojanScanner" = "C:\Programmi\Trojan Remover\Trjscan.exe" ["Simply Super Software"]
"TrackPointSrv" = "tp4mon.exe" ["IBM Corporation"]
"mpsegment" = "C:\WINDOWS\system32\mpsegment.exe" [file not found]
"ccRegVfy" = ""C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"" ["Symantec Corporation"]
"CAVRID" = ""C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"" ["Computer Associates International, Inc."]
"CaAvTray" = ""C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"" ["Computer Associates International, Inc."]
"AVSCHED32" = "C:\Programmi\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]
"AVGCtrl" = ""C:\Programmi\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Estensione panoramica video del Pannello di controllo"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Estensione di icona di HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" = "WebCheck"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ws2962510.dll" [null data]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{1CE2AA40-1317-11D3-9922-00104B0AD431}" = "CA_AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\avshlext.dll" ["Computer Associates International, Inc."]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{52B87208-9CCF-42C9-B88E-069281105805}" = "Trojan Remover Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]

"WebCheck" = "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ws2962510.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! st3i\DLLName = "C:\WINDOWS\q2093740.dll" [file not found]

AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
CA_AntiVirus\(Default) = "{1CE2AA40-1317-11D3-9922-00104B0AD431}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\avshlext.dll" ["Computer Associates International, Inc."]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]

AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programmi\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
CA_AntiVirus\(Default) = "{1CE2AA40-1317-11D3-9922-00104B0AD431}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\avshlext.dll" ["Computer Associates International, Inc."]
Trojan Remover\(Default) = "{52B87208-9CCF-42C9-B88E-069281105805}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" ["Simply Super Software"]

Active Desktop and Wallpaper:

Active Desktop is disabled at this entry:

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\WebshotsForAntonio.bmp"

Enabled Screen Saver:

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "c:\windows\webshots.scr" ["Auralis, Inc."]

Startup items in "Antonio" & "All Users" startup folders:

C:\Documents and Settings\NOME\Menu Avvio\Programmi\Esecuzione automatica
"Webshots" -> shortcut to: "C:\Programmi\Webshots\WebshotsTray.exe" ["The Webshots Corporation"]

C:\Documents and Settings\All Users.WINDOWS\Menu Avvio\Programmi\Esecuzione automatica
"Alice ti aiuta" -> shortcut to: "C:\Programmi\Alice ti aiuta\bin\matcli.exe -boot" ["Motive Communications, Inc."]
"Digisoft AntiDialer" -> shortcut to: "C:\Programmi\Digisoft AntiDialer\AntiDialer.exe" ["Digisoft"]

Enabled Scheduled Tasks:

"Symantec NetDetect" -> launches: "C:\Programmi\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]

Winsock2 Service Provider DLLs:

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\system32\VetRedir.dll ["Computer Associates International, Inc."], 01 - 03, 20
%SystemRoot%\system32\mswsock.dll [MS], 04 - 07, 10 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 08 - 09

Running Services (Display Name, Service Name, Path {Service DLL}):

AntiVir Update, AVWUpSrv, ""C:\Programmi\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
avast! Antivirus, avast! Antivirus, ""C:\Programmi\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
CAISafe, CAISafe, "C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe" ["Computer Associates International, Inc."]
IBM PM Service, IBMPMSVC, "C:\WINDOWS\system32\ibmpmsvc.exe" [null data]
VET Message Service, VETMSGNT, "C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe" ["Computer Associates International, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 69 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 18 seconds.
---------- (total run time: 131 seconds)
Postdi Luke9792005 » 03/11/05 17:50


Riesci ad eseguire HijackThis o no?

Postdi Anto2005 » 10/11/05 10:44

Ragazzi, ho formattato l'HD e reistallato tutto.
Prima di connettermi, ho istallato Zone Alarm.

In un'ora di connessione ha bloccato 700 tentativi di intrusione!! :eeh:
