Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

trojan in msdirectx.sys...aiuto! Opzioni
fillo_fante
Inviato: Thursday, May 05, 2005 11:27:47 PM
Rank: Member

Iscritto dal : 5/10/2002
Posts: 0
Salve a tutti! Ho un simpatico trojan che mi ha infettato il file msdirectx.sys.
Penso sia un file di sistema...giusto? Avast me lo riconosce ( dice che è Win32Trojan-gen ),dice che l'ha cancellato, ma ovviamente appena riavvio il pc il problema mi si ripresenta. Riporto il log che ho fatto ieri: uno più recente non sono in grado di farlo perchè appena faccio partire hijack this mi si chiude prima ancora che si riesca a vedere la maschera iniziale.
Se può essere utile ho S.O. WinXp Pro, I.E. , Sp1.

Logfile of HijackThis v1.99.1
Scan saved at 23.18.53, on 04/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\ISA\Desktop\programmi scaricati\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fastweb.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da FastWeb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programmi\NavExcel\NavHelper\v2.0.4d\NHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programmi\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programmi\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [navapp] C:\Programmi\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe"
O4 - HKLM\..\Run: [Compaq Service Drivers] compq.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] compq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Compaq Service Drivers] compq.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] compq.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.fastweb.it
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108900240466
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

Grazie a chiunque mi possa dare una mano.

Fante

Edited by - fillo_fante on 05/05/2005 23:30:20
Sponsor
Inviato: Thursday, May 05, 2005 11:27:47 PM

 
monsee
Inviato: Thursday, May 05, 2005 11:37:14 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Sul log, non ti so dire proprio niente (per mia crassa ignoranza: ci vuole uno più esperto). Però volevo chederti una cosa: prima di disintegrare il furfantello, tu l'hai disattivato il Ripristino di Configurazione di Sistema? Perché, se non lo fai, quando riavvii rischi che Windows ti "ricrei" di nuovo il trojan (perché lo scambia per un suo file di Sistema). Naturalmente, subito dopo aver eliminato lo sgradito intruso, il tuo Ripristino lo devi riattivare.
fillo_fante
Inviato: Thursday, May 05, 2005 11:46:41 PM
Rank: Member

Iscritto dal : 5/10/2002
Posts: 0
Ma se elimino un file di sistema cosa accade? Non è che non mi parte più il pc eh?
In ogni caso non l'ho disattivato proprio per il problema appena detto: non volevo rischiare. Se però mi dite che non c'è alcun pericolo, non ho problemi a farlo.

monsee
Inviato: Friday, May 06, 2005 1:41:17 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Se sei sicuro che si tratta di un malware, ritengo proprio che dovresti eliminarlo. Oppure puoi provare a "riparare" il file "infetto" (Norton, a volte, ce la fa: elimina il virus pur salvando il file). Se il disgraziato è "incastonato" proprio dentro a un file "vitale" e "di Sistema", puoi, in ogni caso, procurati il "pezzo di ricambio" di quel file (o su Internet, dal produttore, oppure dal CD d'installazione, posto che stia pure lì)... Eliminato il malware (ma disattiva il ripristino, o ti ritroverai daccapo) rimetti al giusto posto il file "di Sistema" (quello autentico e non-infetto) e poi riattiva pure il tuo "ripristino". Non dovrebbe esserci, ala fine, un grande rischio... Comunque, vedi tu, perché con i computer è un po' una lotteria...
alfonso
Inviato: Friday, May 06, 2005 12:50:41 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao ,
esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programmi\NavExcel\NavHelper\v2.0.4d\NHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programmi\NavExcel Search Toolbar\NavExcelBar.dll
-
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programmi\NavExcel Search Toolbar\NavExcelBar.dll
-
O4 - HKLM\..\Run: [navapp] C:\Programmi\NavExcel\NavHelper\v2.0.4d\navapp.exe
-
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
NHelper.dll
NavExcelBar.dll
navapp.exe
==================================

ELIMINA LE CARTELLE IN ROSSO
C:\Programmi\<font color=red><b>NavExcel</font id=red></b>
C:\Programmi\<font color=red><b>NavExcel Search Toolbar</font id=red></b>


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE . CANCELLA CRONOOLOGIA


al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.

Devi installare un programma Firewall, prova questo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=56
ma in seguito ti consiglio di acquistare un programma Antivirus e Firewall completi, quelli gratuiti non offrono la massima protezione.

Collaboratore Aiutamici
fillo_fante
Inviato: Friday, May 06, 2005 8:45:18 PM
Rank: Member

Iscritto dal : 5/10/2002
Posts: 0
Ciao Alfonso,
ho fatto quanto mi hai detto ma purtroppo il problema persiste....appena accedo come utente avast mi dice ( come prima ) che ha trovato un virus ( questo è quello che mi dice: C:\Documents and Settings\ISA\msdirectx.sys ; Win32:Trojan-gen. {Other} .

Ho cancellato tutte le righe che mi hai detto (comparivano tutte in modalità provvisoria ), alla fine del fix però non ho riavviato come mi chedeva hijackthis...ho continuato a seguire le tue istruzioni prima di fare il riavvio: dovevo riavviare?
Inoltre ho cercato i 3 file ma:
-del primo ne sono venute fuori due uguali dalla ricerca...il primo l'ho eliminato ( ma era di sola lettura ), il secondo ho provato ad eliminarlo ma quando ho schiacciato canc è come se non avessi fatto nulla...non lo elimina;
-il secondo non lo trova proprio ( anche facendo la ricerca approfondita )
- del terzo ne è venuta fuori uno che era di sola lettura e che ho eliminato, poi ne è saltato fuori anche un altro che si chiama "NAVAPP.EXE_234C736E.pf" che, non essendo uguale a quello che mi hai detto di cercare, non ho eliminato.

Infine ho lanciato ad-aware che mi ha eliminato numerosi file di registro con il nome NAVEXCEL; spybot invece mi ha trovato ed eliminato un certo ALEXA ( o qualcosa di simile ) ma non ha eliminato 3 entries sotto il nome DSO EXPLOIT ( le trovava, diceva che le aveva eliminate, ma alla successiva scansione me le ritirava fuori.

Ho lanciato avast che mi ha trovato 2 trojan ( sempre in msdirectx.sys ), li ho cancellato ma al riavvio, in modalità normale mi capitato quello che temevo ( e che ti ho riportato all'inizio ).

Ti allego il log: purtroppo l'ho dovuto eseguire in modalità provvisoria perchè in normale,come succedeva prima, non mi permette di eseguire hijackthis ( maledetto trojan!!!!!).

Logfile of HijackThis v1.99.1
Scan saved at 20.25.03, on 06/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\ISA\Desktop\programmi scaricati\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fastweb.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da FastWeb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll


Non ho ancora riattivato il ripristino.

Grazie 1000 x la tua pazienza.

Fante

Edited by - fillo_fante on 05/06/2005 20:47:38
alfonso
Inviato: Saturday, May 07, 2005 4:27:12 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Se il computer e infetto da un virus e l'antivirus non riesce a rimuoverlo, la soluzione e la formattazione, prova a fare un controllo antivirus on line da questo indirizzo
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym

se vengono rilevati virus ti conviene formattare

ti consiglio di acquistare un programma antivirus e firewall completi, le versioni gratuite non offrono la massima protezione.

Collaboratore Aiutamici
monsee
Inviato: Saturday, May 07, 2005 7:39:30 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Il problema registrato sul tuo computer da Spybot (il DSO Exploit, per intenderci) non è uno spyware vero e proprio, ma una autentica "falla" (ossia una crepa della sicurezza) che è stata scoperta - da non molto - nella configurazione standard di IE. Per risolvere definitivamente questo problema (dato che Microsoft, che, in casi del genere, mette gratuitamente a disposizione aggiornamenti che risolvono l'impiccio -tramite Windows Update,- non ha, al riguardo, battuto ancora ciglio) puoi solo scaricare un programmino (gratuito, sul sito di Aiutamici) che si chiama "DSO Stop 2". Leggiti prima bene le istruzioni, scarica il programma, installa, esegui quel che serve, e il tuo DSO Exploit diventerà solo un ricordo. Per tutti gli altri tuoi problemi: spiacente, ma non so che cosa dirti... Ciao!
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.