Troyan-Spy.HTML.Bankfraud.dq

[Rijku]

Sono entrato in una normale pagina di Wargame, all'improviso mi è uscita una icona nel systran con l'avvertimento "You have a security problem". Ho messo in funzione AVG che ha trovato 4 Troyan, AVG dice che li ha rimossi. L'icona è ancora dentro il Systran che si accende ad intermittenza con un pop fastidioso, in più ora, sempre nel Systran, è venuta l'icona a forma di occhio del sofware PC Antispy che non riesco a togliere dai sofware e che io non ho scaricato. che devo fare?

[Luke57]

Ciao, scarica combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
disattiva il tea timer di spybot (se ce l'hai) che entra in conflitto con combofix
Poi avvia combofix.exe, parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione, se dovessero scomparire le icone sul desktop e la barra delle applicazioni, non è nulla di cui preoccuparsi),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , posta il contenuto del file.
N.B. se hai Vista come s.o. clicca con il tasto dx del mouse su combofix.exe e scegli Esegui come amministratore.

[Rijku]

Mi sa che ho fatto una cacchiata, ti sto scrivendo dal Pc di uno dei miei figli, è uscita una schermata con un lungo elenco vedendo che c'era la crocetta per chiudere ho chiuso la schermata dopo averla copiata, adesso non si muove più niente, sul desktop è rimasto lo sfondo e il simbolo per cliccare, che posso ancora muovere. Sono passati parecchi minuti e non succede niente, ho cancellato tutto?

[Rijku]

Ho di nuovo riavviato il sistema, sembra tutto a posto, l'icona di avvertimento è sparita dal systran però quando apro una nuova finestra esce la schermata di window sulla sicurezza che mi avverte che cè qualcosa che non va. Nei Software oltre a "PC Antispy" ho trovato anche questo "RON tool offersfortoday", sono riuscito a toglierli tutti e due. Questo °PC Antispy" è andato avanti automaticamente, dicendo che nel mio PC c'erano 136 spyware e per poterli cancellare dovevo comperare il sofware. Quando ho messo in funzione Combo Fix è uscita una riga che diceva "che non era riuscito a trovare" temp.06. Il mio sistema è in Tedesco e ti traduco le righe in tedesco tra parentesi ()
Questa 'e la schermata di "ComboFix":
ComboFix 08-10-15.01 - Training 2008-10-15 19:54:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.45 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Training\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt (È stato fissato un nuovo punto di ripristino del sistema)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
(Attenzione- In questo PC non c'è nessuna console di ripristino installata)

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\WINDOWS\a.bat
C:\WINDOWS\base64.tmp
C:\WINDOWS\bdn.com
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\mssecu.exe
C:\WINDOWS\system32\akttzn.exe
C:\WINDOWS\system32\anticipator.dll
C:\WINDOWS\system32\awtoolb.dll
C:\WINDOWS\system32\bdn.com
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\dpcproxy.exe
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\hoproxy.dll
C:\WINDOWS\system32\hxiwlgpm.dat
C:\WINDOWS\system32\hxiwlgpm.exe
C:\WINDOWS\system32\medup012.dll
C:\WINDOWS\system32\medup020.dll
C:\WINDOWS\system32\msgp.exe
C:\WINDOWS\system32\msnbho.dll
C:\WINDOWS\system32\mssecu.exe
C:\WINDOWS\system32\msvchost.exe
C:\WINDOWS\system32\msxml71.dll
C:\WINDOWS\system32\mtr2.exe
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\netode.exe
C:\WINDOWS\system32\newsd32.exe
C:\WINDOWS\system32\ps1.exe
C:\WINDOWS\system32\psof1.exe
C:\WINDOWS\system32\psoft1.exe
C:\WINDOWS\system32\regc64.dll
C:\WINDOWS\system32\regm64.dll
C:\WINDOWS\system32\Rundl1.exe
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\system32\ssurf022.dll
C:\WINDOWS\system32\ssvchost.com
C:\WINDOWS\system32\ssvchost.exe
C:\WINDOWS\system32\sysreq.exe
C:\WINDOWS\system32\taack.dat
C:\WINDOWS\system32\taack.exe
C:\WINDOWS\system32\temp#01.exe
C:\WINDOWS\system32\thun.dll
C:\WINDOWS\system32\thun32.dll
C:\WINDOWS\system32\VBIEWER.OCX
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\vcatchpi.dll
C:\WINDOWS\system32\winlogonpc.exe
C:\WINDOWS\system32\winsystem.exe
C:\WINDOWS\system32\WINWGPX.EXE
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\winsystem.exe
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\zipped.tmp
F:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-15 bis 2008-10-15 ))))))))))))))))))))))))))))))
.

2008-10-15 18:30 . 2008-10-15 19:18 0 --ah----- C:\WINDOWS\.security
2008-10-15 18:30 . 2008-10-15 19:17 0 --ah----- C:\.security
2008-10-15 18:27 . 2008-10-15 19:25 <DIR> d-------- C:\Programme\PC-Antispy
2008-10-15 15:49 . 2008-10-15 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xoranknw
2008-10-15 15:49 . 2008-10-15 15:49 77,824 --a------ C:\WINDOWS\system32\gzelwvwp.exe
2008-10-15 12:03 . 2008-10-15 12:05 1,393 --a------ C:\WINDOWS\imsins.BAK
2008-10-15 09:29 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-10-15 09:29 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-10-15 09:06 . 2008-08-14 12:04 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-10-15 09:05 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 09:03 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-15 09:02 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 09:02 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 09:02 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 09:02 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-03 18:58 . 2008-10-03 18:58 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-10-03 05:46 . 2008-10-03 05:46 <DIR> d-------- C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Leadertech
2008-09-29 12:03 . 2008-09-29 12:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-29 12:01 . 2008-09-29 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Babylon
2008-09-29 12:01 . 2008-09-29 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
2008-09-25 12:53 . 2008-09-25 12:53 <DIR> d-------- C:\Programme\MSBuild
2008-09-25 12:52 . 2008-09-25 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Windows Search
2008-09-25 12:43 . 2008-09-25 13:03 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-09-25 12:32 . 2008-09-25 12:32 <DIR> d-------- C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Windows Desktop Search
2008-09-25 12:30 . 2008-09-25 12:30 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-09-25 12:30 . 2008-09-25 12:30 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-09-23 12:20 . 2008-09-25 13:03 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-09-23 12:20 . 2008-09-23 12:20 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-23 12:20 . 2008-09-23 12:20 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-16 13:10 . 2008-09-16 13:10 <DIR> d-------- C:\Programme\AVG
2008-09-16 09:41 . 2008-04-14 04:22 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-09-16 09:41 . 2008-04-14 04:22 53,248 --------- C:\WINDOWS\system32\tsgqec.dll
2008-09-16 09:41 . 2008-04-14 04:22 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-09-16 09:40 . 2008-04-14 04:22 294,400 --------- C:\WINDOWS\system32\qagentrt.dll
2008-09-16 09:40 . 2008-04-14 04:22 290,304 --------- C:\WINDOWS\system32\rhttpaa.dll
2008-09-16 09:40 . 2008-04-14 04:22 177,664 --------- C:\WINDOWS\system32\napstat.exe
2008-09-16 09:40 . 2008-04-14 04:22 151,040 --------- C:\WINDOWS\system32\qagent.dll
2008-09-16 09:40 . 2008-04-14 04:22 145,408 --------- C:\WINDOWS\system32\onex.dll
2008-09-16 09:40 . 2008-04-14 04:22 76,800 --------- C:\WINDOWS\system32\qutil.dll
2008-09-16 09:40 . 2008-04-14 04:22 62,464 --------- C:\WINDOWS\system32\qcliprov.dll
2008-09-16 09:40 . 2008-04-14 04:22 61,952 --------- C:\WINDOWS\system32\rasqec.dll
2008-09-16 09:40 . 2008-04-14 04:23 32,768 --------- C:\WINDOWS\system32\setupn.exe
2008-09-16 09:40 . 2008-04-13 20:40 10,240 --------- C:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-09-16 09:39 . 2008-04-14 04:22 198,656 --------- C:\WINDOWS\system32\napmontr.dll
2008-09-16 09:39 . 2008-04-14 04:22 155,136 --------- C:\WINDOWS\system32\mssha.dll
2008-09-16 09:39 . 2008-04-14 03:57 93,184 --a------ C:\WINDOWS\system32\msxml6r.dll
2008-09-16 09:39 . 2008-04-14 03:56 81,408 --------- C:\WINDOWS\system32\msshavmsg.dll
2008-09-16 09:39 . 2008-04-14 04:22 30,208 --------- C:\WINDOWS\system32\napipsec.dll
2008-09-16 09:38 . 2008-04-14 04:22 397,312 --------- C:\WINDOWS\system32\mmcex.dll
2008-09-16 09:38 . 2008-04-14 04:22 184,320 --------- C:\WINDOWS\system32\microsoft.managementconsole.dll
2008-09-16 09:38 . 2008-04-14 04:22 106,496 --------- C:\WINDOWS\system32\mmcfxcommon.dll
2008-09-16 09:38 . 2008-04-14 04:22 33,792 --------- C:\WINDOWS\system32\mmcperf.exe
2008-09-16 09:37 . 2008-04-14 04:22 61,440 --------- C:\WINDOWS\system32\kmsvc.dll
2008-09-16 09:37 . 2008-04-14 04:22 37,376 --------- C:\WINDOWS\system32\l2gpstore.dll
2008-09-16 09:37 . 2008-04-14 04:22 10,752 --------- C:\WINDOWS\system32\smtpapi.dll
2008-09-16 09:37 . 2008-04-14 04:22 9,728 --------- C:\WINDOWS\system32\rwnh.dll
2008-09-16 09:37 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdpash.dll
2008-09-16 09:37 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdnepr.dll
2008-09-16 09:37 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdiultn.dll
2008-09-16 09:37 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdbhc.dll
2008-09-16 09:37 . 2008-04-14 04:03 1,950 --------- C:\WINDOWS\system32\pid.inf
2008-09-16 09:35 . 2008-04-14 04:22 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-09-15 13:59 . 2008-09-15 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-09-15 13:03 . 2008-04-14 04:23 380,928 --------- C:\WINDOWS\system32\irprops.cpl
2008-09-15 12:07 . 2008-09-23 12:20 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-15 12:05 . 2008-04-14 04:22 354,304 --a------ C:\WINDOWS\system32\winhttp.dll
2008-09-15 12:05 . 2008-04-14 04:22 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-09-15 12:00 . 2008-07-18 22:09 215,752 --a------ C:\WINDOWS\system32\wuaucpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-15 17:20 --------- d-----w C:\Dokumente und Einstellungen\Training\Anwendungsdaten\OpenOffice.org2
2008-10-15 13:03 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-29 10:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-16 11:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-07 09:57 --------- d-----w C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Talkback
2008-09-06 07:44 97,928 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-09-02 11:28 --------- d-----w C:\Programme\Windows Live
2008-09-02 11:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-08-26 20:47 --------- d-----w C:\Dokumente und Einstellungen\Training\Anwendungsdaten\vghd
2006-06-28 06:01 31 ----a-w C:\Dokumente und Einstellungen\Training\getfile.dat
2004-05-28 15:48 154,112 ----a-w C:\WINDOWS\inf\MA111v2\MA111v2.sys
2004-03-12 14:33 212,992 ----a-w C:\WINDOWS\inf\MA111v2\CopyWHQLDriver.exe
2004-03-08 13:51 49,152 ----a-w C:\WINDOWS\inf\MA111v2\SiSWBase.dll
2004-03-08 13:51 237,568 ----a-w C:\WINDOWS\inf\MA111v2\SiSWPars.dll
2004-03-08 13:51 155,648 ----a-w C:\WINDOWS\inf\MA111v2\SiSWInst.dll
2007-12-11 16:24 23 --sha-w C:\WINDOWS\system32\ddcaebbae8_r.dll
2008-05-12 08:56 23 --sha-w C:\WINDOWS\system32\fddcceeaec6_z.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}]
2007-12-22 21:06 1502232 --a------ C:\Programme\Wisdom-soft\tbWis1.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-02 204288]
"DscCmdCom"="C:\WINDOWS\system32\gzelwvwp.exe" [2008-10-15 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-09-30 1234712]
"SoundMan"="SOUNDMAN.EXE" [2005-03-24 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"liBVU2xRdk"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xoranknw\rczsdepu.exe" [2008-10-15 57344]

C:\Dokumente und Einstellungen\Training\Startmen\Programme\Autostart\
.security [2008-10-15 0]
Die Skriptausfhrungszeit wurde bei Skript "C:\ComboFix\lnkread.vbs" berschritten.
Die Skriptausfhrung wurde abgebrochen.

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
.security [2008-10-15 0]
MA111 Configuration Utility.lnk - C:\Programme\NETGEAR\MA111v2 USB Adapter\MA111v2.exe [2004-05-28 421888]
Windows Search.lnk - C:\Programme\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"C:\\Program Files\\LunaImaging\\jres\\Sun\\1.4.2_05\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=


*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf ------- (Addizionali programmi di ricerca)
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Mozilla\Firefox\Profiles\anuwp12p.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\np32asw.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmozax.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-15 20:00:57
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-15 20:10:21
ComboFix-quarantined-files.txt 2008-10-15 18:10:12

Vor Suchlauf: 9.363.599.360 Bytes frei
Nach Suchlauf: 9,353,953,280 Bytes frei

242 --- E O F --- 2008-10-15 10:06:02

[Rijku]

Quando apro inizialmente un programma o un Link mi appare spesso questa schermata, con vari nomi:
Troyan-Spy.HTML.Bankfraud.dq
Troyan-Spy.Win32.Green Screen
Troyan-Downloader.Win32. Agent.bq
<a href="http://s268.photobucket.com/albums/jj2/Rijku/?action=view&current=ScreenHunter_Oct16010136.gif" target="_blank"><img src="http://i268.photobucket.com/albums/jj2/Rijku/ScreenHunter_Oct16010136.gif" border="0" alt="Photobucket"></a>

[Rijku]

Scusa mi sono sbagliato, questa schermata:
http://i268.photobucket.com/albums/jj2/ ... 010136.gif

[Luke57]

Ciao, dal blocco note di windows apri un file di testo, copia e incolla il seguente script nel file:

Codice: Seleziona tutto

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xoranknw
C:\Programme\PC-Antispy
C:\WINDOWS\.security
C:\.security


File::
C:\WINDOWS\system32\gzelwvwp.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DscCmdCom"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"liBVU2xRdk"=-

salva il file di testo, chiamandolo obbligatoriamente CFScript.txt nella stessa direzione di combofix, trascinalo con il puntatore del mouse sull'icona di combofix per una nuova scansione e riavvio del computer. Allega nuovo report se prodotto.

[Rijku]

Scusa Luke, quale è il blocco note? Io ho il sistema in Tedesco e non è che m'intendo molto di computer. Mi potresti dire dove lo trovo? Poi ci penso io a tradurre.

[Luke57]

Ciao, da start>esegui>notepad.exe (lo digiti nello spazio)>OK
si apre il file di testo, prosegui per come suggerito.

[Rijku]

Hallo Luke! Dato che io sono un pasticcione col PC prima di fare quello che hai scritto ho messo in funzione ancora una volta AVG che mi ha tolto 7 Spyware, però, ed è un brutto però, ora ho scoperto che nel mio PC c'è "Knight". Avevo letto che AVG lo riconosce e come mai non lo ha tolto? Che faccio adesso?

[Luke57]

Ciao, in teoria dovresti seguire quello che suggerisco, knight.exe nel primo report di combofix non c'era. Fai la manovra suggerita con CFScript.txt e posta il nuovo report di combofix.

[Rijku]

Spero di aver fatto tutto per bene.
ComboFix 08-10-15.01 - Training 2008-10-19 21:45:38.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.40 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Training\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Training\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\WINDOWS\system32\gzelwvwp.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\.security\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xoranknw
C:\WINDOWS\.security\

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-19 bis 2008-10-19 ))))))))))))))))))))))))))))))
.

2008-10-18 08:14 . 2008-10-18 08:46 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-10-18 08:14 . 2008-10-18 08:14 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-10-18 08:11 . 2008-10-19 21:57 1,906,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-18 08:11 . 2008-10-19 21:57 262,176 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-18 08:11 . 2008-10-19 21:57 18,072 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-18 08:11 . 2008-10-19 21:57 1,976 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-18 08:10 . 2008-10-18 08:10 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-10-18 08:10 . 2008-10-19 22:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-18 07:41 . 2008-10-18 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-10-16 21:19 . 2008-10-16 21:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-10-16 16:47 . 2008-10-18 08:07 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-15 18:30 . 2008-10-15 19:18 0 --ah----- C:\WINDOWS\.security
2008-10-15 18:30 . 2008-10-15 19:17 0 --ah----- C:\.security
2008-10-15 09:29 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-10-15 09:29 . 2007-03-08 07:09 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-10-15 09:06 . 2008-08-14 12:04 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-10-15 09:05 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 09:03 . 2008-09-15 17:24 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-15 09:02 . 2008-08-14 15:19 2,191,488 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 09:02 . 2008-08-14 15:19 2,147,840 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 09:02 . 2008-08-14 15:19 2,068,352 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 09:02 . 2008-08-14 15:19 2,026,496 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-03 18:58 . 2008-10-03 18:58 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-10-03 05:46 . 2008-10-03 05:46 <DIR> d-------- C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Leadertech
2008-09-29 12:03 . 2008-09-29 12:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-29 12:01 . 2008-09-29 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Babylon
2008-09-29 12:01 . 2008-09-29 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
2008-09-25 12:53 . 2008-09-25 12:53 <DIR> d-------- C:\Programme\MSBuild
2008-09-25 12:52 . 2008-09-25 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Windows Search
2008-09-25 12:43 . 2008-09-25 13:03 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-09-25 12:32 . 2008-09-25 12:32 <DIR> d-------- C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Windows Desktop Search
2008-09-25 12:30 . 2008-09-25 12:30 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-09-25 12:30 . 2008-09-25 12:30 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-09-23 12:20 . 2008-09-25 13:03 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-09-23 12:20 . 2008-09-23 12:20 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-23 12:20 . 2008-09-23 12:20 <DIR> d-------- C:\WINDOWS\l2schemas

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 20:05 --------- d-----w C:\Dokumente und Einstellungen\Training\Anwendungsdaten\OpenOffice.org2
2008-10-19 05:54 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-18 06:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-18 05:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-10-16 17:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-15 15:24 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-07 09:57 --------- d-----w C:\Dokumente und Einstellungen\Training\Anwendungsdaten\Talkback
2008-09-02 11:28 --------- d-----w C:\Programme\Windows Live
2008-09-02 11:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-08-26 20:47 --------- d-----w C:\Dokumente und Einstellungen\Training\Anwendungsdaten\vghd
2008-08-26 20:31 152,920 ----a-w C:\WINDOWS\system32\vghd.scr
2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:19 2,191,488 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19 2,068,352 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-29 18:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll
2006-06-28 06:01 31 ----a-w C:\Dokumente und Einstellungen\Training\getfile.dat
2004-05-28 15:48 154,112 ----a-w C:\WINDOWS\inf\MA111v2\MA111v2.sys
2004-03-12 14:33 212,992 ----a-w C:\WINDOWS\inf\MA111v2\CopyWHQLDriver.exe
2004-03-08 13:51 49,152 ----a-w C:\WINDOWS\inf\MA111v2\SiSWBase.dll
2004-03-08 13:51 237,568 ----a-w C:\WINDOWS\inf\MA111v2\SiSWPars.dll
2004-03-08 13:51 155,648 ----a-w C:\WINDOWS\inf\MA111v2\SiSWInst.dll
2007-12-11 16:24 23 --sha-w C:\WINDOWS\system32\ddcaebbae8_r.dll
2008-05-12 08:56 23 --sha-w C:\WINDOWS\system32\fddcceeaec6_z.dll
.

((((((((((((((((((((((((((((( snapshot@2008-10-15_20.08.05,57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\ERDNT\subs\ERDNT.EXE
+ 2007-12-12 13:06:42 295,606 ----a-r C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A90000000001}\SC_Reader.exe
+ 2008-07-21 16:34:36 121,872 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
+ 2008-01-29 16:29:38 32,784 ----a-w C:\WINDOWS\system32\drivers\klbg.sys
+ 2008-07-18 15:39:18 213,008 ----a-w C:\WINDOWS\system32\drivers\klif.sys
+ 2008-04-30 16:06:48 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys
+ 2008-07-29 18:20:00 24,774 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}]
2007-12-22 21:06 1502232 --a------ C:\Programme\Wisdom-soft\tbWis1.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-02 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"SoundMan"="SOUNDMAN.EXE" [2005-03-24 C:\WINDOWS\SOUNDMAN.EXE]

C:\Dokumente und Einstellungen\Training\Startmen\Programme\Autostart\
.security [2008-10-15 0]
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-12 113664]
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
ScreenHunter 5.0 Free.lnk - C:\Programme\Wisdom-soft ScreenHunter 5 Free\ScreenHunter.exe [2007-12-22 4878336]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
.security [2008-10-15 0]
MA111 Configuration Utility.lnk - C:\Programme\NETGEAR\MA111v2 USB Adapter\MA111v2.exe [2004-05-28 421888]
Windows Search.lnk - C:\Programme\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Program Files\\LunaImaging\\jres\\Sun\\1.4.2_05\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 22:03:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\system32\searchindexer.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-19 22:16:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-19 20:15:52
ComboFix2.txt 2008-10-15 18:10:25

Vor Suchlauf: 13 Verzeichnis(se), 11.014.156.288 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 10,947,502,080 Bytes frei

157 --- E O F --- 2008-10-15 10:06:02

[Luke57]

Ciao, hai sempre problemi?

[Rijku]

Ciao Luke, ho messo lo shareware di Kaspersky che ha trovato altrtri 7 threat, in più appare all'avvio del Pc l'icona rossa con la X bianca di avvertimento che il mio PC la sicurezza è minacciata e dentro la lista dei software di RegCleaner appare Knight che poi sparisce, che cosa è Kazaa? Anche questa voce è dentro i software di RegCleaner e io non la conosco.
http://i268.photobucket.com/albums/jj2/ ... 011005.gif

[Luke57]

Ciao, knight.exe è una seccatura derivante dall'uso della pndrive, scarica questo tool:
http://www.plusexpert.cl/download/AntiKnight.rar
estrai tutti i file in una cartella
inserisci la pendrive nel pc
apri il file AntiKnight
clicca su "buscar y reparar"
poi togli la pendrive e riavvi il pc

[Rijku]

Luke per favore che cosa è il Pndrive? Ma che mi vuoi mandare al manicomio con tutte queste parole difficili?

[Rijku]

L'ho scaricato ma non mi si apre. Ma che forse l'ho devo aprire con "uTorent"?

[Rijku]

Con te e Dylan sto imparando molte cose sul PC, grazie.
Ho messo WinRar, ho aperto AntiKnight ma mi dice che io non sono infettato da questo virus, è strano perché come tu hai visto appare per poi scomparire tra i sofware di RegCleaner con l'aggiunta che quando apro il PC appare questa icona di avvertimento, ed anche essa scompare dal sistran dopo pochi secondi. Per fortuna che vicino casa c'è il manicomio del paese.