Condividi:        

[Malware] Log Hijackthis

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

[Malware] Log Hijackthis

Postdi 2Fast » 02/11/07 19:42

salve avrei bisogno di un parere in merito ad un malware che costantemente mi apre pagine indesiderate sia con IE sia con Firefox (browser predefinito)

Ho già effettuato in modalità provvisoria una scansione approfondita del disco con Avast, ed una scansione e successivo fixaggio con hijackthis, ma sembra resistere..le pagine più frequenti sono ErrorSafe,Redcross, Winantivirus 2007..
Ringrazio in anticipo tutti coloro che potranno aiutarmi


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.35.35, on 02/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\lyhqlfhw.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\WINDOWS\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [1ce1359d] rundll32.exe "C:\WINDOWS\system32\lwuhotar.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://XXX.spaces.live.com/PhotoUpload/MsnPUpld.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00F5E90.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\lyhqlfhw.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

--
End of file - 4545 bytes
2Fast
Utente Junior
 
Post: 53
Iscritto il: 09/11/05 15:29

Sponsor
 

Postdi Luke57 » 02/11/07 20:01

Ciao, scarica superantispyware ed.free da qui:
http://downloads2.superantispyware.com/ ... pyware.exe
lo installi, lo aggiorni alle ultime definizioni (check for updates).

Poi scarica ATF cleaner (per i file temporanei)
http://www.atribune.org/content/view/25/2/

Chiudi programmi e applicazioni, disconnesso da internet, apri hijackthis, premi "main menu", "open the misc tools section", "open process manager", se tra i processi trovi:
C:\WINDOWS\system32\lyhqlfhw.exe
lo evidenzi e premi kill process
Ripremi "main menu", po "do a system scan only", cerchi e spunti le voci seguenti:
O4 - HKLM\..\Run: [1ce1359d] rundll32.exe "C:\WINDOWS\system32\lwuhotar.dll",b
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00F5E90.dat
O23 - Service: DomainService - - C:\WINDOWS\system32\lyhqlfhw.exe

premi fix checked.

Poi lanci questi due comandi:
start>esegui>sc stop DomainService (lo digiti nello spazio)>OK
start>esegui>sc delete DomainService (lo digiti nello spazio)>OK

Riavvia in mod.provvisoria (premendo il tasto f8 ripetutamente all'avvio del computer, prima che si carichi windows, nella schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e confermando con invio)

apri risorse del computer>strumenti>opzioni cartella>visualizzazione>metti la spunta a "visualizza file e cartelle nascosti", la togli a "nascondi file protetti di sistema>OK.

Cerca ed elimina, se presenti, questi file:
C:\WINDOWS\system32\__c00F5E90.dat
C:\WINDOWS\system32\lyhqlfhw.exe
C:\WINDOWS\system32\lwuhotar.dll

avvia ATF cleaner, premi su "select all" e poi premi "empty selected". Attendi la fine dello scan con il messaggio "done cleaning".

Lancia superantispyware e fai una scansione completa del computer.

Informa dei risultati
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi 2Fast » 03/11/07 14:13

luke volevo ringraziarti, come al solito sei sempre tempestivo ed esaustivo nei tuoi interventi..

riscontro però un duplice problemino in cui sono incorso..

1)in modalità provvisoria viene sempre chiuso explorer.exe lasciandomi lo schermo nero ed obbligandomi continuamente a lanciare l'applicazione tramite taskmanager

2) il file __c00E778C.dat non è possibile cancellarlo sia in modalità normale che in provvisoria in quanto risulta in uso da un'altra applicazione..credi sia possibile cancellarlo nel reg di configurazione di windows??

GRAZIE in anticipo
2Fast
Utente Junior
 
Post: 53
Iscritto il: 09/11/05 15:29

Postdi Luke57 » 03/11/07 15:07

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Files to delete:
C:\WINDOWS\system32\__c00F5E90.dat
C:\WINDOWS\system32\lyhqlfhw.exe
C:\WINDOWS\system32\lwuhotar.dll


registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | 1ce1359d

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo, se così non fosse riavvialo manualmente.
Posta anche il log generato da avenger, lo trovi in C:\ è un file di testo.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi 2Fast » 03/11/07 15:46

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dpeyyncg

*******************

Script file located at: \??\C:\lpabuyul.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\__c00F5E90.dat not found!
Deletion of file C:\WINDOWS\system32\__c00F5E90.dat failed!

Could not process line:
C:\WINDOWS\system32\__c00F5E90.dat
Status: 0xc0000034



File C:\WINDOWS\system32\lyhqlfhw.exe not found!
Deletion of file C:\WINDOWS\system32\lyhqlfhw.exe failed!

Could not process line:
C:\WINDOWS\system32\lyhqlfhw.exe
Status: 0xc0000034



File C:\WINDOWS\system32\lwuhotar.dll not found!
Deletion of file C:\WINDOWS\system32\lwuhotar.dll failed!

Could not process line:
C:\WINDOWS\system32\lwuhotar.dll
Status: 0xc0000034

File C:\WINDOWS\system32\__c00E778C.dat deleted successfully.


Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|1ce1359d
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|1ce1359d failed!
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.


perfetto credo che ora sia tutto ok..anche perchè da uno scan con hijack non sono più presenti le dll ed i dat incriminati...

GRAZIE
2Fast
Utente Junior
 
Post: 53
Iscritto il: 09/11/05 15:29


Torna a Sicurezza e Privacy


Topic correlati a "[Malware] Log Hijackthis":

MALWARE??
Autore: salvatorino31
Forum: Sicurezza e Privacy
Risposte: 4
MALWARE??
Autore: angelo90
Forum: Sicurezza e Privacy
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 23 ospiti