sshnas21.dll - Trojan.FraudPack.Gen problema

[rikkardo1975]

Buondì visto che ero in animo di pulizie ho cominciato a controllare anche altri PC.

ho fatto girare il mio AV (Trend) e mi ha trovato dei trojan che ha messo in quarantena, ma non ho risolto il problema, quindi ho installata Malawerbytes che di problemi me na ha trovati diversi ed in "teoria" eliminati.

Ora mi trovo con Malawerebytes in versione prova ma completa, ed ogni tando mi da un messaggio di un tentativo di connessione ad un sito esterno, mi blocca il tentativo di accesso e mi salva il log.

Ripetendo la scansione non trova problemi, ma sul log trovo indicato il trojan in oggetto e gli ip che ha bloccato

esempio

15:01:01   ****   IP-BLOCK   208.73.210.29 (Type: outgoing)


gli asterischi per privacy....

Suggerimenti?

[GERONIMO**]

ciao
allega il log della scansione fatta con Malwarebytes
per vedere cosa ha trovato

[rikkardo1975]

eccoli

prima scansione:

mbam-log-2011-09-09 (16-09-33).txt

Log della protezione attiva

protection-log-2011-09-09.txt

[PeterFly]

posta un log di hijachthis inserendolo tra il codice #code
http://www.hijackthis.de/it

[GERONIMO**]

caspita
mica poca roba
posta un log di hijachthis come detto da PeterFly ;)
per vedere se c'è qualcosa nel file hosts

[rikkardo1975]

This action cannot be completed becausethe other application is busy. Choose "switch to" to activate the busy application and correct the problem.


clicco switch to pero nulla

si inchioda a 04-Registry & Menu autoruns...

[Al-Tech]

Se usi windows vista o 7 eseguilo come amministratore

[GERONIMO**]

fai questa operazione

Per reimpostare LSP su Windows XP:
start– Esegui
Digita cmd e premi Invio per aprire il prompt dei comandi
Digita il seguente comando: netsh winsock reset quindi premi Invio
Riavvia il computer

disinstalla il tuo hijackthis

scarica HiJackThis da qui
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
salvalo sul Desktop
installa HiJackThis
clicca sul pulsante Do a system scan and save a logfile
 alla fine ti apparirà un log in formato documento di testo salvalo sul desktop e postalo qui

[rikkardo1975]

eccolo (non ho mica capito cosa avrei dovuto fare seguendo la procedura indicata da PeterFly)...

hijackthis.log

[GERONIMO**]

che e sto Vergraf   
lo conosci?

[rikkardo1975]

si

[cri3292]

eccolo (non ho mica capito cosa avrei dovuto fare seguendo la procedura indicata da PeterFly)...

hijackthis.log

Avresti dovuto fare questo:

Codice: [Seleziona]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.36.18, on 09/09/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Intel\AMT\atchksrv.exe
C:\Programmi\Intel\AMT\LMS.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programmi\PDF Complete\pdfsvc.exe
C:\Programmi\TeamViewer\Version5\TeamViewer_Service.exe
C:\Programmi\Intel\AMT\UNS.exe
C:\Programmi\TeamViewer\Version5\TeamViewer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Intel\AMT\atchk.exe
C:\Programmi\PDF Complete\pdfsty.exe
C:\Programmi\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programmi\Trend Micro\OfficeScan Client\TmPfw.exe
C:\Programmi\Trend Micro\BM\TMBMSRV.exe
C:\Programmi\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\Programmi\Trend Micro\OfficeScan Client\TmProxy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1040
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [atchk] "C:\Programmi\Intel\AMT\atchk.exe"
O4 - HKLM\..\Run: [PDF Complete] "C:\Programmi\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [SDMSSplash] "C:\Programmi\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programmi\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [SetRefresh] C:\Programmi\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programmi\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programmi\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [hidfind] "C:\Program Files\hidfind.exe" -update
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=74&bd=smb&pf=desktop
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Vergraf.it
O17 - HKLM\Software\..\Telephony: DomainName = Vergraf.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{19A3DD44-9416-4A75-82E8-84DF3FC3C188}: NameServer = 192.168.11.250,151.99.250.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Vergraf.it
O17 - HKLM\System\CS1\Services\Tcpip\..\{19A3DD44-9416-4A75-82E8-84DF3FC3C188}: NameServer = 192.168.11.250,151.99.250.2
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Vergraf.it
O17 - HKLM\System\CS2\Services\Tcpip\..\{19A3DD44-9416-4A75-82E8-84DF3FC3C188}: NameServer = 192.168.11.250,151.99.250.2
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Programmi\Intel\AMT\atchksrv.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel - C:\Programmi\Intel\AMT\LMS.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: OfficeScan NT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programmi\PDF Complete\pdfsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Programmi\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\..\BM\TMBMSRV.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel - C:\Programmi\Intel\AMT\UNS.exe

--
End of file - 8501 bytes

Per questa volta lo fatto io ;)

Quando vuoi inserire dei testi molto lunghi non devi fare altro che premere il tasto #(cancelletto dell'editor del forum ti apparirà il BBCode(i tag del forum) relativo, all'interno del quale inserire il codice.


P.S.: Scusate se ho postato in ritardo, mentre scrivevo avete continuato la discussione

[GERONIMO**]

ok
non vedo grossi problemi in Hijackthis
cmq
in Hijackthis
Metti la spunta alle voci che vedi sotto
clicca su Fixchecked
Se vengono rilasciati messaggi clicca su Si

O4 - HKLM\..\Run: [SDMSSplash] "C:\Programmi\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Programmi\HP_SDMS\SDMSSplash"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe


disattiva il real time di Malwarebytes va in conflitto con il tuo antivirus
fai sapere se riscontri ancora problemi e quali ;)

[rikkardo1975]

fatto.

il problema l'ho rilevato facendo girare il malawerebytes, e lo scan in real time di malawerebytes che mi segnalava quanto sopra riportato.

che faccio lo faccio rigirare?

[GERONIMO**]

potrebbe essere un conflitto con l'antivirus
per questo dico non tenerli insieme attivi
lascia solo l'antivirus in real time
e malwarebytes per le scansioni
rifai una scansione con malwarebytes
aggiornalo prima
meglio se la fai in modalità provvisoria ;)

fai sapere se risolvi perche MBAM aveva trovato un virus in memoria
magari cerchiamo di rimuoverlo in un'altro modo ;)

tutti gli ip rilevati potrebbero appartenera a  Vergraf  
che sinceramente non so cosa sia
credo sia un Server