Olimpo Informatico

[excelsis]

@ holifay

Anche a costo di sembrarti un fesso, ti specifico che
? in pannello di controllo non ho l?icona/cartella di Impostazioni protezione locale.
? Pertanto mi manca anche la sottocartella Assegnazione Diritti Utente.
? In pannello di controllo dispongo, dunque, solo della cartella Stumenti di amministrazione dove non compare nulla d?inerente alla protezione locale.
Noto, tuttavia, che su un altro PC non infetto dispongo della stessa identica situazione.
Non sarà una caratteristica di Win XP HE? Magari questi controlli sono su XP Prof?

Tentativo di lancio da riga di comando fallito:
Avvio > esegui > cmd > in finestra DOS: secpol.msc ---> genera il msg:
?secpol.msc? non è riconosciuto come comando interno o esterno, un programma eseguibile o un file batch
A presto e grazie sempre.

[holifay]

Ah, giusto... se hai HE non ci sono quelle opzioni

Per cambiare i diritti degli utenti in XP-HE occorre scaricare Ntrights che fa parte del Windows Server 2003 Resource Kit e poi nel tuo caso digitare da linea di comando:
ntrights +u SALVATORE +r SeDebugPrivilege

Se il tuo utente è SALVATORE

Ciao

[excelsis]

@ holifay

Per il web sto usando un altro PC. Con quello infetto vado solo per gli aggiornamenti dei software antivirus/antispy.
Quindi cercherei di domare i files sospetti e d'inviarteli.

Procedura "sc stop": fallita
Start > Esegui > cmd ---> DOS: sc stop WebJip ---> restituisce:
[SC] ControlService FAILED 1062:
Servizio non avviato

Task Manager: nessun processo pqunn.exe attivo

Ho compresso C\Win\Win32\pqunn.exe (4,21 Kb - sola lettura) e lo sto inviando a www.suspectfile.com
Ho cancellato il file con KillBox/Standard File Kill

Scansione con HijackThis: apportate con successo le correzioni che mi hai indicato.

Questo è il LOG INIZIALE:
Logfile of HijackThis v1.99.1
Scan saved at 17.40.49, on 19/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
D:\Programmi 2\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmi 2\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOCUME~1\SALVAT~1\IMPOST~1\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vodafone.it/vodafone/trilogy/jsp/homePage.do?tabName=HOME%20VODAFONE&ty_skip_md=true
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programmi 2\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: NkbMonitor.exe.lnk = D:\Programmi 2\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.acer.it
O15 - Trusted Zone: http://bunker.altervista.org
O15 - Trusted Zone: http://www.astedam.it
O15 - Trusted Zone: http://www.cdc.it
O15 - Trusted Zone: http://www.centrohl.it
O15 - Trusted Zone: http://www.computerdiscount.it
O15 - Trusted Zone: http://search.ebay.it
O15 - Trusted Zone: http://www.ebay.it
O15 - Trusted Zone: http://www.folgore.com
O15 - Trusted Zone: http://www.fortezzesavonesi.com
O15 - Trusted Zone: http://www.genialloyd.it
O15 - Trusted Zone: http://www.hp.com
O15 - Trusted Zone: http://www.lasecondaguerramondiale.it
O15 - Trusted Zone: http://arianna.libero.it
O15 - Trusted Zone: http://broadband.libero.it
O15 - Trusted Zone: http://digilander.libero.it
O15 - Trusted Zone: http://www.melegnano.net
O15 - Trusted Zone: http://www.ocs.it
O15 - Trusted Zone: http://www.olivetti.it
O15 - Trusted Zone: http://www.paginebianche.it
O15 - Trusted Zone: http://www.teatrostabileveneto.it
O15 - Trusted Zone: http://www.trentoincina.it
O15 - Trusted Zone: http://www.trust.com
O15 - Trusted Zone: http://www.vobis.it
O15 - Trusted Zone: http://www.vso-software.fr
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Programmi 2\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: WebJip - Unknown owner - \\?\C:\Programmi\lpt6.exe (file missing)


Questo è il LOG FINALE
Logfile of HijackThis v1.99.1
Scan saved at 17.45.42, on 19/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
D:\Programmi 2\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmi 2\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOCUME~1\SALVAT~1\IMPOST~1\Temp\Directory temporanea 3 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vodafone.it/vodafone/trilogy/jsp/homePage.do?tabName=HOME%20VODAFONE&ty_skip_md=true
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programmi 2\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: NkbMonitor.exe.lnk = D:\Programmi 2\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Programmi 2\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: WebJip - Unknown owner - \\?\C:\Programmi\lpt6.exe (file missing)


Privilegi di debug: ho provato a creare un nuovo utente, ma il risultato è lo stesso. Del resto, il virus è ancora attivo, credo...

Prima di procedere con i tentativi di distruzione, hai qualche altro suggerimento per comprimere il file incriminato c:\Programmi\lpt6.exe?

Grazie, è confortante non sentirsi soli nelle calamità...

[excelsis]

@ holifay

Grazie per il link ad NTrights.exe
Ho anche trovato il modo di scaricare l'intero Windows Server 2003 Resource Kit, ma ho un paio di dubbi:
- Ho visto che è indicato per Win XP SP1 ma non per il SP2 che ho io. Funziona ugualmente, che tu sappia?
- Devo installare l'intero package con tutta quella grazia di Dio o c'è un modo per estrapolare il solo NTrights.exe? Vorrei evitare d'intasare il PC con molti files di utilità marginale...
Grazie

[holifay]

Purtroppo non ho la risposta: non so se è compatibile con SP2

Del resto ntrights che io sappia è l´unico sistema per cambiare le policy in XP home edition. Ti ddirei di provare, ma non vorrei crearti problemi.

Questo sempre che vuoi provare ad usare Unlocker che non funzionava. Domanda banale, ma non mi sembra abbiamo già provato: dalla modalità provvisoria hai già verificato se riesci a copiare/spostare/rinominare/zippare il file lpt6.exe?

Se non riesci prova con il comando sc delete WebJip. Il comando non cancella (almeno credo) il file, ma solo le chiavi per avviarlo come servizio. Poi dopo il reboot dovresti riuscire a manipolare il file.

In alternativa potresti anche collegare l´hard disk ad un altro PC e accedere al file dal sistema operativo dell´altro computer. In questo modo non può essere caricato all´avvio. Cpaisco però che è un lavoraccio e forse non ne vale la pena

Se alla fine non riusciamo a catturarlo ti dico come cancellarlo a livello di Kernel e non ci pensiamo più!

Ciao

[excelsis]

@HOLIFAY

Il PC infetto è un portatile, trasferire l'HD è un pelino complicato...

In effetti, non avevamo provato ad operare da modalità provvisoria. Eccoti il report:

Ripristino Configurazione di Sistema disattivata

Safe Boot con tutti i servizi disattivati tranne Avast ed Ewido
- Entrato come Administrator
- nessuna possibilità di comprimere, spostare, rinominare lpt6.exe
- start > esegui > cmd > sc delete WebJip ---> restituisce: [SC] DeleteService SUCCESS
- dopo il reboot la situazione è identica a prima: lpt6.exe è sempre lì e non è possibile trattarlo in alcun modo

Effettuata scansione totale con Ewido da Modalità Provvisoria: non ha trovato niente

Sono molto perplesso intorno all'installazione di Windows Server 2003 Resource Kit Tools perchè non credo sia compatibile con Win XP SP2. Microsoft specifica chiaramente:
System Requirements:
Supported Operating Systems: Windows Server 2003; Windows XP
- 30 MB of free disk space
- Windows XP
- Windows XP SP1
- Windows Server 2003 family
Note: The Windows Server 2003 Resource Kit Tools are not supported on 64-bit platforms.

Immagino che ne sarai al corrente, tuttavia ti riporto la risposta di www.suspectfile riguardo al file pqunn.exe:
Risultato
Heuristic/Malware.Crypted.PSM -----------> (AntiVir)
//////////////// -----------> (Authentium)
//////////////// -----------> (Avast)
//////////////// -----------> (AVG)
Generic.Malware.SFdld.002E324E -----------> (BitDefender)
(Suspicious) - DNAScan -----------> (CAT-QuickHeal)
//////////////// -----------> (ClamAV)
//////////////// -----------> (DrWeb)
//////////////// -----------> (eTrust-InoculateIT)
//////////////// -----------> (eTrust-Vet)
//////////////// -----------> (Ewido)
suspicious -----------> (Fortinet)
//////////////// -----------> (F-Prot)
//////////////// -----------> (Ikarus)
Trojan-Clicker.Win32.Small.lc -----------> (Kaspersky)
//////////////// -----------> (McAfee)
//////////////// -----------> (Microsoft)
//////////////// -----------> (NOD32v2)
//////////////// -----------> (Norman)
Suspicious file -----------> (Panda)
//////////////// -----------> (Sophos)
//////////////// -----------> (Symantec)
//////////////// -----------> (TheHacker)
//////////////// -----------> (UNA)
Trojan.StartPage.64 (paranoid heuristics) -----------> (VBA32)
//////////////// -----------> (VirusBuster)

Che cosa facciamo?

[holifay]

Sì, ero al corrente
Come vedi è riconosciuto da Kaspersky, per cui una scansione online comunque ti farebbe bene.

Dopo il reboot il file compare ancora in fondo al log di HijackThis o adesso è pulito? Se non è più caricato è strano che non si possa cancellare

Senti, quando hai fatto il log con Rootkirevealer di Sysinternals hai aperto un po´di applicazioni vero? Almeno è l´\'impressione che ho avuto io.... però potrebbe esserci anche un´altra ragione. Se hai ancora pazienza, fai un paio di cose:

1) Un nuovo log di Rootkitrevealer. Prima di avviarlo chiudi tutte le applicazioni, compresi AV, screensaver, firewall, tutto quello che puoi, anche dal taskmanager. Stacca ovviamente la connessione ad Internet. Quando avii il tool non fare niente nel PC fino a che ha finito. Questo dovrebbe darci un log molto più pulito

2) Scarica Unhooker e fai con le stesse modalità un log. Al termine salvalo e poi lo posti qui.

Ciao

[holifay]

Per sapere sapere se c´è qualcosa che blocca il file lpt6.exe, prova anche WhoLockMe

[excelsis]

@ holifay


Ho seguito tutte le tue istruzioni ed eccoti i risultati.

Scansione con HijackThis:
- in SAFE MODE tutti i servizi e programmi all'avvio disattivati
- in SAFE MODE con alcuni servizi attivati
- in modalità NORMALE con Win FireWall, antivirus ed antiSpy disattivati
- in modalità NORMALE con antivirus ed antiSpy disattivati
Risultato: non c'è più la riga O23 - Service: WebJip - Unknown owner - \\?\C:\Programmi\lpt6.exe (file missing)
ma il file C:\Programmi\lpt6.exe esiste ancora al suo posto

Ecco uno dei logs:

Logfile of HijackThis v1.99.1
Scan saved at 18.10.37, on 21/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
D:\Programmi 2\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmi 2\Nikon\PictureProject\NkbMonitor.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programmi 2\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vodafone.it/vodafone/trilogy/jsp/homePage.do?tabName=HOME%20VODAFONE&ty_skip_md=true
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [NBJ] "D:\Programmi 2\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: NkbMonitor.exe.lnk = D:\Programmi 2\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programmi 2\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - D:\Programmi 2\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe


Quindi ho operato con:
- HijackThis > Elimina file on Reboot
- Reboot in SAFE MODE con Win FireWall, antivirus ed anti Spy disattivati
- Scansione con Ewido: risultato: non trova niente
Il file C:\Programmi\lpt6.exe esiste ancora al suo posto


Ed ancora con
Win FireWall, antivirus ed anti Spy disattivati:
- scansione con RootKitReveal
- scansione con UnHooker, che rileva diversi processi hooked
Ecco i relativi logs:

RootKitReveal log:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 10/06/2006 18.45 64 bytes Windows API length not consistent with raw hive data.
C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 21/06/2006 19.40 15.53 KB Hidden from Windows API.
C:\WINDOWS\SYSTEM32\NUL.ETZ 08/04/2003 12.00 115.70 KB Hidden from Windows API.

UnHooker Log -> non so come inviartelo: l'ho trasformato in file di Excel. Trova diversi processi hooked, tutti riferiti al modulo SSI.SYS.
Mi abbandono ad "UnHook selected"?

Attendo istruzioni.
I ringraziamenti sono sottintesi: non vorrei sembrare noioso...

[holifay]

mmmm la faccenda si complica un po´

Per quanto riguarda ssi.sys non c´è da preoccuparsi: è un driver di SpySweeper.


NUL.ETZ questo file non dovrebbe essere lì. Non so cosa sia, ma è strano per due motivi: sia perchè è nascosto alla vista di Windows (puoi verificare cercandolo con Explorer?) sia perchè ha una data di 3 anni fa. Quella data si riferisce a quando è stato modificato e non credo sia veritiera. Prima di cercarlo, abilita la visualizzazione dei file nascosti e di sistema:

[guia]

Ciao Holifay, se ti interessa mi pare sia legato a LinkOptimizer ed iDonate.dll (scusa non ho letto tutto questo thread - in particolare i log di Hijack) che ho affrontato con un Win Me. In Xp Pro il file in programmi e' pure criptato e crea una nuova utenza; al link sotto puoi vedere se c'e' qualcosa che ti interessa. In soldoni il file lo abbiamo eliminato o con la Knoppix live 5 o con the Avenger. Ciao PS scusa se non mi dilungo ulteriormente in dettagli ma non sto bene e non ne ho il fiato ma volevo comunque segnalarti il post nel caso trovi qualcosa di interessante
link

[excelsis]

@ Holifay

C:\WINDOWS\SYSTEM32\NUL.ETZ ->
? non viene rilevato dalla ricerca di Win con le opzioni di visualizzazione di tutti i files attivate

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs ->
? la chiave risulta vuota al regedit,
? tuttavia la data e l'ora indicate da RKR coincidono con quelle dell'infezione da trojan horse - Win32:Agent-gen [Trj]

Nella cartella Documents and Settings ->
? noto casualmente che è stata creata una sottocartella "Jdh" che ha le stesse sottocartelle di "Default User": con le stesse dimensioni e la stessa "data dell'ultima modifica", ad esclusione dei 3 files NTuser
? questa cartella è di sola lettura
? la data di creazione coincide con la prima infezione, credo: 10.6.2006 ore 4:20:27 circa
? ho confrontato un paio di files delle due cartelle e sembra che Jdh sia la copia dell?altra
? t?interessa conoscere qualcosa in proposito o posso cancellarla?

Files interessanti creati il 10.6.2006:
? C\Win\Sys32\gvaa.dll ? archivio ? 8 kb ? ore 4:19
? Tutta la serie di files della cartella Jdh
? 4 files BIN in C\Win\SoftDistribution\EventCache - creati il 10.6, ma in orari molto diversi - 8 Byte

lpt6.exe: caratteristiche
? Icona del DOS
? Data di creazione: non indicata
? Ultimo accesso: 20.6.06 ore 0:00
? Ultima modifica: 19.8.04 ore 15:39
? Dimensioni: 66 kB, tuttavia nella finestra ?proprietà? è indicato 0 byte
? File d?archivio

www.mytempdir.com: ecco la chiave per accedere sia al file .REG che al report UnHooker:
? http://www.mytempdir.com/762063
? http://www.mytempdir.com/762070

Infine: prova di manipolazione da DOS:
C:>programmi> attrib -r -s -h lpt6.exe restituisce: impossibile trovare il percorso - \\.\lpt6\. Ci avevo già provato.
C:>programmi> del lpt6.exe restituisce: ?impossibile trovare C\Programmi\lpt6.exe? oppure anche ?sintassi del nome incorretta?. Probabilmente il file è studiato per svicolare variamente questi tentativi

Adesso provo WhoLockMe e ti faccio sapere.
Questa sordida caccia al file m?appassiona?

[excelsis]

@ Holifay

Dimenticavo una cosetta: m'insegni, per favore, a salvare in qualche modo tutta l'immagine che compare a schermo?
In questo modo potrei inviarti delle notizie di probabile utilità.
Grazie superlativamente ed a dopo

[ioSOLOio]

[excelsis]

Grazie. Le vostre informazioni sono sempre preziose. E sono lieto che vi parcellizziate il mio peso.
Non vorrei gravare soltanto sulla disponibilità di Holifay per l'epica lotta.

[excelsis]

Utilizzo di WhoLockMe su C\Pgmmi\lpt6.exe:
? Non succede assolutamente niente
? Si vede per qualche attimo la piccola clessidra del busy, ma poi più nulla
? Non credo di sbagliare utilizzo, mi sembra elementare: click dx > WLMe
? Mi aspetterei una finestra di dialogo di risposta
? Tuttavia non succede niente anche con altri files: da Task Manager ho preso alcuni processi in esecuzione e li ho testati con WLMe: nessuna risposta

[excelsis]

Dimenticavo: forse che WhoLockMe non gira su Win XP HE SP2?

[holifay]

Una copia della cartella default user creata con la stessa data dell´infezione mi piace poco, ma per ora lasciala lì. Prima le buone notizie: l´ultimo accesso al file lpt6.exe è del 20 giugno, quando lo abbiamo eliminato dal registro. Quindi credo non sia più stato caricato in memoria. Hai notato ancora strani comportamenti?

Poi la chiave di registro Appinit effettivamente risulta vuota, quindi credo che possiamo stare tranquilli. Ho sottoposto la questione del log ai diretti interessati (i creatori di RKR), vediamo cosa dicono loro

Adesso io procederei così:

1) mi invii (per favore) a suspectfile.com anche il file gvaa.dll (non ho capito se è nella cartella system32 o sys32...)? Sicuramente è collegato al trojan e deve essere il suo motore di download.

2) Facciamo una scansione degli ADS con HijackThis. Apri HijackThis, premi Open the misc tools section, poi clicchi su Open Ads Spy... e disabiliti il flag Quick Scan. Fai riferimento a questa parte della guida: http://www.zeusnews.it/index.php3?ar=stampa&cod=4696 Al termine salvi il log e posti qui il contenuto

3) EDIT: avevo scritto altre cose (come eliminare il file lpt6.exe), ma forse vale ancora la pena di cercare di catturare quei due file (Nul.etz potrebbe comunque appartenere a SpySweeper)

Prova ancora una volta dalla modalità provvisoria a mettere in un archivio i file lpt6.exe e NUL.ETZ. Se ancora non riesci, prova così:

scarica Darkspy ed avvialo. Ti compare il messaggio se vuoi usarlo in modalità Supermode. Accetta e il computer si riavvierà. Al riavvio aprilo di nuovo se non si apre da solo.

Ora questo tool è in grado di vedere e manipolare anche i file invisibili alle API di Windows. Clicca sul tab File e naviga fino ai file lpt6.exe e NUL.ETZ. Li selezioni (uno alla volta) e con il tasto destro scegli Copy. Scegli il percorso ed il nome, poi provi a zipparli ed inserirli su www.mytempdir.com

Poi mi posti il log di HijackThis e il link all´archivio, se sei riuscito a prenderli.

Grazie

[excelsis]

@ HOLIFAY


Ti confermo che la cartella Documents and Settings\Jdh che ha le stesse sottocartelle di "Default User" dev?essere stata creata dall?infezione: sono il solo utilizzatore di quel PC e so bene quello che ci metto dentro.
Beh? quasi tutto? come vedi?
Come disponi: terrò la cartella, sebbene avrei avuto piacere di cancellarla, distruggerla, polverizzarla, nebulizzarla, annichilirla?

Inviato il file sospetto: C\Win\System32\gvaa.dll in formato compresso a www.suspectfile

Oggi faccio il resto, perdonami il ritardo.
Grazie a te, ci mancherebbe!

[excelsis]

Dimentico sempre qualcosa:
Nel visualizzatore d'immagini e fax di Windows, quello che permette di vedere rapidamente le immagini, Non funziona più il pulsante in basso a DX: quello che chiude la finestra corrente ed apre il programma (magari Paint) per intervenire sull'immagine.
Si chiude la finestra corrente, ma non si apre Paint. Fino a qualche giorno fa andava...
Sai come posso risolvere?

Inoltre ti ricordo che, per ora, non vado in rete con il computer infetto.

Grazie ed a dopo.