trojan inamovibile?

[ripes_72]

Salve a tutti. Ho un problema con un trojan che si è dimostrato una brutta bestia. AVG riconosce come trojan il file uyxff.exe (Generic Downloader) ma non riesce a farci niente. Hijack non riesce a rimuovermi le due voci F2. Perfino modificando le due chiavi del registro relative a uyxff.exe e gtfjpnn.exe, dopo mi ricompaiono uguali!! Con Google non ho trovato NIENTE su questi due file. Come potete immaginare sono piuttosto diperato... Ogni aiuto sarà ricompensato con gratitudine eterna!

Saluti


Logfile of HijackThis v1.99.1
Scan saved at 11.01.42, on 23/03/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\$NtUninstallKB896422$\IEXPLORE.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Rainlendar\Rainlendar.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINNT\system32\uyxff.exe
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,gtfjpnn.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Startup: Rainlendar.lnk = C:\Programmi\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Garzanti Linguistica - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\File comuni\Garzanti\Dizionari Garzanti 2005\IEExtension.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 4290578937
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AB14EC5-3D1E-4570-AC04-55FAC461EAC1}: NameServer = indirizzo ip
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\winnt\system32\directx.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

[fabrizius]

Ciao,
allora:1 cosa:
Ricorda che Hijackthis deve essere avviato da una cartella a lui dedicata. Solo così Hijackthis creerà copie di backup prima di apportare modifiche!
Vai nel task manager e se ci sono termina questi processi:
uyxff.exe
gtfjpnn.exe
directx.exe
Adesso
disattiva il ripristino configurazione di sistema
(Vai su Start--->tasto destro del mouse sull'icona Risorse del computer----> Proprietà.Nella sezione "Ripristino configurazione di sistema",spuntare "Disattiva Ripristino configurazione di sistema)
2/Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
3/Avvia il computer in modalità provvisoria
(Riavviare il sistema--->Immediatamente al termine del caricamento del BIOS premere ripetutamente il tasto F8 fin quando non appare il menu Opzioni avanzate di Windows--->Vai su Modalità provvisoria e premi Invio).
Avvia Hijackthis e fixa le seguenti voci:
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINNT\system32\uyxff.exe
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,gtfjpnn.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\winnt\system32\directx.exe

Ora cerca e se ci sono ancora elimina:
c:\winnt\system32\directx.exe
C:\WINNT\SYSTEM32\Userinit.exe,gtfjpnn.exe--->>attenzione userinit.exe é un file di sistema
C:\WINNT\system32\uyxff.exe

Dai una ripulita generale ai files inutili,temp etc con Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Ritorna in modalità normale,riattiva il ripristino configurazione di sistema e fai uno scan on line:
BitDefender
Panda

>>>Antispyware<<<

Trend Micro

PS:dovresti installare anche un firewall

[Luke57]

Ciao, a integrazione di quanto suggerito da Fabrizio (ciao ) scarica anche stinger 260 da qui:
http://vil.nai.com/vil/stinger/
fai una scansione dalla modalità provvisoria ( sembrerebbe esserci anche un'infezione da worm Sdbot)

[ripes_72]

Anzitutto grazie per i consigli...

1) i processi uyxff.exe, gtfjpnn.exe, directx.exe NON sono nel task
2) è win2000, quindi niente ripristino... o mi sbaglio?
3) i file nascosti SONO visibili, ma i due uyxff.exe, gtfjpnn.exe comunque NON compaiono in WINNT!!
4) anche in modalità provvisoria, HiJack non riesce a fissare definitivamente i tre processi (rifacendo lo scan ricompaiono)
5) non posso fare scan on line perché tra le altre cose la connessione è bloccata (temo che sia uno degli effetti del trojan)
6) il firewall c'è già, il trojan l'ho preso installando un programma che *sembrava* sicuro.

Altre idee?? L'avevo detto che è un caso bastardissimo!

[ripes_72]

Ciao, a integrazione di quanto suggerito da Fabrizio (ciao ) scarica anche stinger 260 da qui:
http://vil.nai.com/vil/stinger/
fai una scansione dalla modalità provvisoria ( sembrerebbe esserci anche un'infezione da worm Sdbot)

Fatto, stinger non trova niente.

[fabrizius]

Anzitutto grazie per i consigli...

1) i processi uyxff.exe, gtfjpnn.exe, directx.exe NON sono nel task
2) è win2000, quindi niente ripristino... o mi sbaglio?
3) i file nascosti SONO visibili, ma i due uyxff.exe, gtfjpnn.exe comunque NON compaiono in WINNT!!
4) anche in modalità provvisoria, HiJack non riesce a fissare definitivamente i tre processi (rifacendo lo scan ricompaiono)
5) non posso fare scan on line perché tra le altre cose la connessione è bloccata (temo che sia uno degli effetti del trojan)
6) il firewall c'è già, il trojan l'ho preso installando un programma che *sembrava* sicuro.

Altre idee?? L'avevo detto che è un caso bastardissimo!

1)ok
2)hai ragione
3)nemmeno in winnt\system32 ? se li trovi per eliminarli fatti aiutare da killbox

Altrimenti prova ad andarli a cercare manualmente nel registro i tre file
PS(prima di apportare modifiche al registro pensa a fare un backup di quest'ultimo)

[ripes_72]

Allora...

I due file incriminati non si vedono in winnt\system32 né altrove (ovvero, il find non li trova da nessuna parte). Però usando un dischetto di avvio di DOS e un emulatore per NTFS, uyxff si vede in system32, ma non riesco a cancellarlo. Ora proverò con killbox, ma dato che per win2k praticamente sono invisibili, la vedo dura....

Nella sezione winlogon del registro ci sono le due entry, ma pure queste dopo che le modifico manualmente mi ricompaiono tali e quali. Cioè succede lo stesso che con Hijack. Ci dev'essere un bastardissimo processo che rigenera il tutto, ma qual è??

[Luke57]

Ciao, prova a fare così: clicca start>esegui>services.msc ( nello spazio bianco)>OK, vai nei Servizi, cerca DirectService, se è in esecuzione terminalo, poi doppio click su di esso e imposta a Disabilitato. Poi, apri hijackthis, e fissi le tre voci famigerate:
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINNT\system32\uyxff.exe
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,gtfjpnn.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\winnt\system32\directx.exe

[fabrizius]

Li devi cercare come si deve,vai direttamente nel percorso indicato
C:\WINNT\SYSTEM32,e assicurati che non ci siano
poi,li hai cercati anche nel registro di sistema?

[fabrizius]

A Luke ,non avevo visto il tuo post...ottima constatazione

[ripes_72]

Allora: killbox ha trovato i files e li ha cancellati in modalità "al riavvio". In questo modo sono anche riuscito a eliminare le voci incriminate dal registro, che prima ricomparivano immediatamente facendo aggiorna per quanto le cancellassi o modificassi...

Intanto, GRAZIE MILLE!!

Poi, cosa consigliate di fare adesso?

[ripes_72]

Ciao, prova a fare così: clicca start>esegui>services.msc ( nello spazio bianco)>OK, vai nei Servizi, cerca DirectService, se è in esecuzione terminalo, poi doppio click su di esso e imposta a Disabilitato.

C'è un servizio Directx Service, ma è disabilitato. Ora l'ho impostato su manuale.

[ripes_72]

come non detto. al riavvio sono ricomparsi i file e le voci nel registro....

[Luke57]

Ciao, secondo me questo è sospettto:
C:\WINNT\$NtUninstallKB896422$\IEXPLORE.EXE
( l'eseguibile di IE non sta in questa directory, ma in C\Programmi\InternetExplorer)
Apri hijackthis, clicca "open the misc tools section", "open process manager", evidenzia il suddetto processo, clicca kill process
Premi back, scan, cerchi e spunta le famigerate voci:
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINNT\system32\uyxff.exe
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,gtfjpnn.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\winnt\system32\directx.exe
pemi fix checked
Poi start>esegui>sc deleteDirectService>OK ( per eliminare il servizio)
Dalla modalità provvisoria cerchi ed elimini, se ci sono, i file:
C:\WINNT\$NtUninstallKB896422$\IEXPLORE.EXE
C:\WINNT\system32\uyxff.exe
gtfjpnn.exe ( da cercare)
c:\winnt\system32\directx.exe

[ripes_72]

probabilmente ho trovato la soluzione:
c'era un uletriore file in system32, ephbfi.exe, che veniva avviato allo startup e *probabilemente* rigenerava gli altri due. dopodiché spariva, quindi hijack non poteva vederlo. quindi quel che ho fatto è:

1) rimuovere i tre .exe con killbox in modalità "al riavvio"
2) riavviare in modalità provvisoria
3) lanciare hijack e fissare i due processi F2
4) ripulire il registro dalle chiamate a ephbfi.exe

e ora SEMBRA tutto pulito. Grazie per l'attenzione...

[ripes_72]

Ciao, secondo me questo è sospettto:
C:\WINNT\$NtUninstallKB896422$\IEXPLORE.EXE

Ora non c'è più né il processo né il file!

[Luke57]

Ciao, nel senso che è sparito dopo che hai eliminato quel file di start up e senza compiere le procedure di eliminazione suggerite? Adesso AVG che cosa rileva?

[albocuomo]

Anch'io sono vittima di un trojan e non so proprio come uscirne.
Ho cercato tutte le altre discussioni al riguardo, ma i nomi dei file infetti non coincidono con quelli miei.

Inoltre anche in questa discussione non si capisce quale sia la VERA e DEFINITIVA soluzione.

Il mio caso:
L'antivirus mi trova ogni circa 35 min un nuovo file infetto .tmp
Il tipo è sempre "Generic Downloader.g", al quale da oggi si è aggiunto il suo amichetto "FakeAlert-B".
Risiedono sempre nella cartella C:\WINDOWS\system32\1024 e intaccano sempre lo stesso file "winlogon.exe" (che è impossibile terminare dal task manager).

Sono andato nel sito della McAfee e ho scaricato l'aggiornamento aposito per debellare il Generic Downloader.g:
http://it.mcafee.com/virusInfo/default. ... s_k=128719

Ma niente da fare...sono punto e da capo.
Cosa posso fare ancora?
Albo

[fabrizius]

Ciao,
apri un apposito post per il tuo problema...poi scarica hijackthis e copia il log sul forum...

PS:nel post mettici anche il maggior numero di informazioni