Olimpo Informatico

[Smjert]

Trova e apri con Notepad il System.ini e controlla se è presente questa linea: shell=Explorer.exe C:\WINDOWS\SYSTEM\internat.exe
Fai la stessa cosa con Win.ini e vedi se c'è questa linea: run=C:\WINDOWS\SYSTEM\internat.exe
Vai sulla barra di avvio e clicca Start->Esegui e digita regedit (invio) e guarda se c'è questa chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\KeyConfig
Molto probabilmente ti sei preso un backdoor, precisamente questo Backdoor.AntiLam.20.K .
Fai un unltimo sforzo per scrivere qua... non posso provedere finchè non sono sicuro che tu lo abbia (perchè internat potrebbe essere un file legittimo).

[Paolo333]

Ti ringrazio molto per la tua disponibilità, Holifay

Con Hijackthis riesco solo a fare la scansione, ma poi come hai letto il programma si chiude subito dopo con il messaggio "Errore dell'applicazione - Creazione del registro...."

Ecco i log richiesti:

Scansione con Panda:


Incident Status Location

Potentially unwanted tool:Application/MotherboardMonitor.A Not disinfected C:\WINNT\system32\dhcp\bootdrv.dll
Potentially unwanted tool:Application/PrcView.A Not disinfected C:\WINNT\system32\dhcp\libparse.exe
Hacktool:HackTool/Scansql.B Not disinfected C:\WINNT\system32\dhcp\sqlpass.dic
Potentially unwanted tool:Application/ToolWget Not disinfected C:\WINNT\system32\dhcp\wget.exe




GMER al termine della scansione di Rootkit ha dato il messaggio: "GMER has found system modification caused by Rootkit activity"

Citazione:

GMER 1.0.11.11349 - http://www.gmer.net Rootkit 2006-09-23 19:08:25 Windows 5.0.2195 Service Pack 4 ---- System - GMER 1.0.11 ---- SSDT 81C99868 ZwAlertResumeThread SSDT 81C99948 ZwAlertThread SSDT 81C7E548 ZwAllocateVirtualMemory SSDT 81C92C08 ZwConnectPort SSDT \??\C:\Programmi\Symantec\SYMEVENT.SYS ZwCreateKey SSDT 81C995C8 ZwCreateMutant SSDT 81C7E728 ZwCreateThread SSDT \??\C:\Programmi\Symantec\SYMEVENT.SYS ZwDeleteKey SSDT \??\C:\Programmi\Symantec\SYMEVENT.SYS ZwDeleteValueKey SSDT 81C7E368 ZwFreeVirtualMemory SSDT 81C996A8 ZwImpersonateAnonymousToken SSDT 81C99788 ZwImpersonateThread SSDT 81C7E268 ZwMapViewOfSection SSDT 81C994E8 ZwOpenEvent SSDT 81C7E648 ZwOpenProcessToken SSDT 81C99E08 ZwOpenThreadToken SSDT 81C993E8 ZwQueryValueKey SSDT 81C82D28 ZwResumeThread SSDT 81C99D28 ZwSetContextThread SSDT 81C99EE8 ZwSetInformationProcess SSDT 81C99C48 ZwSetInformationThread SSDT \??\C:\Programmi\Symantec\SYMEVENT.SYS ZwSetValueKey SSDT 81C99A88 ZwSuspendThread SSDT 81C7E828 ZwTerminateProcess SSDT 81C99B68 ZwTerminateThread SSDT 81C99FC8 ZwUnmapViewOfSection SSDT 81C7E448 ZwWriteVirtualMemory ---- Processes - GMER 1.0.11 ---- Process svchost.exe (*** hidden *** ) [500] 817F7B60 Process services.exe (*** hidden *** ) [288] 8181F020 Process SNDSrvc.exe (*** hidden *** ) [820] 81747020 Process ccSetMgr.exe (*** hidden *** ) [576] 817C6D60 Process ccProxy.exe (*** hidden *** ) [564] 817CF940 Process ccEvtMgr.exe (*** hidden *** ) [272] 817225A0 Process svchost.exe (*** hidden *** ) [592] 817BC020 Process pppoeservice.ex (*** hidden *** ) [748] 81758D60 Process csrss.exe (*** hidden *** ) [240] 81A49D60 Process winlogon.exe (*** hidden *** ) [236] 8182CD60 Process lsass.exe (*** hidden *** ) [300] 8181E240 Process System (*** hidden *** ) [8] 8203F960 Process EnterNet.exe (*** hidden *** ) [2272] 812EC020 Process smss.exe (*** hidden *** ) [216] 81A80D60 Process Ati2evxx.exe (*** hidden *** ) [416] 81806D60 Process spoolsv.exe (*** hidden *** ) [524] 817D72A0 Process navapsvc.exe (*** hidden *** ) [648] 8178C020 Process MSTask.exe (*** hidden *** ) [772] 8174E520 Process ALUSchedulerSvc (*** hidden *** ) [952] 81722020 Process symlcsvc.exe (*** hidden *** ) [932] 8172EBA0 Process svchost.exe (*** hidden *** ) [1020] 81715C40 Process SPBBCSvc.exe (*** hidden *** ) [872] 8173A260 Process Ati2evxx.exe (*** hidden *** ) [1344] 81705020 Process mgabg.exe (*** hidden *** ) [620] 81796020 Process regsvc.exe (*** hidden *** ) [784] 817522A0 Process WinMgmt.exe (*** hidden *** ) [1656] 815DDD60 Process NSCSRVCE.EXE (*** hidden *** ) [1944] 8134C7C0 ---- EOF - GMER 1.0.11 ----

Citazione:

GMER 1.0.11.11349 - http://www.gmer.net Autostart 2006-09-23 19:10:15 Windows 5.0.2195 Service Pack 4 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINNT\SYSTEM32\Userinit.exe, HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>> AtiExtEvent@DLLName = Ati2evxx.dll awtqo@DLLName = C:\WINNT\system32\awtqo.dll wzcnotif@DLLName = wzcdlg.dll HKLM\SYSTEM\CurrentControlSet\Services\ >>> Ati HotKey Poller@ = %SystemRoot%\system32\Ati2evxx.exe ATI Smart /*ATI Smart*/@ = C:\WINNT\system32\ati2sgag.exe ccEvtMgr /*Symantec Event Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe" ccProxy /*Symantec Network Proxy*/@ = "C:\Programmi\File comuni\Symantec Shared\ccProxy.exe" ccSetMgr /*Symantec Settings Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe" MGABGEXE /*MGABGEXE*/@ = %SystemRoot%\system32\mgabg.exe navapsvc /*Servizio Auto-Protect di Norton AntiVirus*/@ = "C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe" PPPoEService /*PPPoE Service*/@ = C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe RemoteRegistry /*Servizio Registro di sistema remoto*/@ = %SystemRoot%\system32\regsvc.exe Schedule /*Utilità di pianificazione*/@ = %SystemRoot%\system32\MSTask.exe SNDSrvc /*Symantec Network Drivers Service*/@ = "C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe" SPBBCSvc /*Symantec SPBBCSvc*/@ = "C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe" Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe Symantec Core LC /*Symantec Core LC*/@ = "C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe" Utilità di pianificazione di LiveUpdate automatico /*Utilità di pianificazione di LiveUpdate automatico*/@ = "C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>> @SoundMansoundman.exe = soundman.exe @ISDN MonitorLinksts.exe W 1024 = Linksts.exe W 1024 @ATIPTAC:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe = C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe @ATICCC"C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime = "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime @UpdateC:\Programmi\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER /*file not found*/ = C:\Programmi\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER /*file not found*/ @ccApp"C:\Programmi\File comuni\Symantec Shared\ccApp.exe" = "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" @SSC_UserPromptC:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe = C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe @Dimension4C:\Programmi\D4\D4.exe = C:\Programmi\D4\D4.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run >>> @delldsk"c:\winnt\delldsk.exe" /*file not found*/ = "c:\winnt\delldsk.exe" /*file not found*/ @1C:\WINNT\service32.exe /*file not found*/ = C:\WINNT\service32.exe /*file not found*/ HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>> @SpybotSD TeaTimerC:\Programmi\Spybot - Search & Destroy\TeaTimer.exe = C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe @internat.exeinternat.exe = internat.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>> @{41E300E0-78B6-11ce-849B-444553540000} /*Estensione CPL PlusPack*/plustab.dll = plustab.dll @{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/ @{8BEBB290-52D0-11D0-B7F4-00C04FD706EC} /*Anteprima*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll @{EAB841A0-9550-11CF-8C16-00805F1408F3} /*Programma di estrazione pagine HTML in anteprima*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll @{1AEB1360-5AFC-11D0-B806-00C04FD706EC} /*Programma di estrazione filtri grafici di Office in anteprima*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll @{9DBD2C50-62AD-11D0-B806-00C04FD706EC} /*Summary Info Thumbnail handler (DOCFILES)*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll @{500202A0-731E-11D0-B829-00C04FD706EC} /*LNK file thumbnail interface delegator*/C:\WINNT\System32\thumbvw.dll = C:\WINNT\System32\thumbvw.dll @{fe1290f0-cfbd-11cf-a330-00aa00c16e65} /*Directory Namespace*/dsfolder.dll = dsfolder.dll @{9E51E0D0-6E0F-11d2-9601-00C04FA31A86} /*Shell properties for a DS object*/dsfolder.dll = dsfolder.dll @{59850401-6664-101B-B21C-00AA004BA90B} /*Microsoft Office Binder Unbind*/C:\PROGRA~1\MICROS~2\Office\1040\UNBIND.DLL = C:\PROGRA~1\MICROS~2\Office\1040\UNBIND.DLL @{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WinZip\WZSHLSTB.DLL = C:\PROGRA~1\WinZip\WZSHLSTB.DLL @{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WinZip\WZSHLSTB.DLL = C:\PROGRA~1\WinZip\WZSHLSTB.DLL @{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WinZip\WZSHLSTB.DLL = C:\PROGRA~1\WinZip\WZSHLSTB.DLL @{4A741382-48B4-11d2-AD84-00A024D24BF3} /*Matrox PowerDesk Properties*/C:\WINNT\system32\PDesk\PDPAGES.DLL = C:\WINNT\system32\PDesk\PDPAGES.DLL @{AB77609F-2178-4E6F-9C4B-44AC179D937A} /*a² Context Menu Shell Extension*/(null) = @{D653647D-D607-4DF6-A5B8-48D2BA195F7B} /*BitDefender Antivirus v8*/(null) = @{45AC2688-0253-4ED8-97DE-B5370FA7D48A} /*Shell Extension for Malware scanning*/(null) = @{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINNT\system32\dfshim.dll = C:\WINNT\system32\dfshim.dll @{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINNT\system32\dfshim.dll = C:\WINNT\system32\dfshim.dll HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>> Symantec.Norton.Antivirus.IEContextMenu@{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} = C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>> BitDefender Antivirus v8@{D653647D-D607-4DF6-A5B8-48D2BA195F7B} = Symantec.Norton.Antivirus.IEContextMenu@{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} = C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>> @{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll @{53707962-6F74-2D53-2644-206D7942484F}C:\PROGRA~1\SPYBOT~1\SDHelper.dll = C:\PROGRA~1\SPYBOT~1\SDHelper.dll @{8ACBA415-FA70-4BA0-A1EC-3B9F45C6AD60}C:\WINNT\system32\awtqo.dll = C:\WINNT\system32\awtqo.dll @{9ECB9560-04F9-4bbc-943D-298DDF1699E1}C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll = C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll @{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll = C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll @{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}C:\WINNT\system32\cyohfeii.dll /*file not found*/ = C:\WINNT\system32\cyohfeii.dll /*file not found*/ HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINNT\system32\sstext3d.scr HKLM\Software\Microsoft\Internet Explorer\Plugins\Extension\.aspx@Location = C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll HKLM\Software\Microsoft\Internet Explorer\Main >>> @Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome @Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home @Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm HKCU\Software\Microsoft\Internet Explorer\Main >>> @Start Pageabout:blank = about:blank @Local PageC:\WINNT\SYSTEM32\blank.htm = C:\WINNT\SYSTEM32\blank.htm HKLM\Software\Classes\PROTOCOLS\Handler\ >>> its@CLSID = C:\WINNT\system32\ITSS.DLL mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll ms-its@CLSID = C:\WINNT\system32\ITSS.DLL vnd.ms.radio@CLSID = C:\WINNT\System32\msdxm.ocx HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7BC84508-C772-4385-91D7-9102AFF7306E} /*Connessione alla rete locale (LAN) 2*/ >>> @IPAddress87.2.179.85 = 87.2.179.85 @NameServer = @DefaultGateway87.2.179.85 = 87.2.179.85 @Domain = HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001@LibraryPath = %SystemRoot%\System32\rnr20.dll HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>> 000000000001@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000002@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000003@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000006@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000007@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000008@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000009@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000010@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000011@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000012@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000013@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000014@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000015@PackedCatalogItem = %SystemRoot%\system32\msafd.dll 000000000016@PackedCatalogItem = %SystemRoot%\system32\msafd.dll HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000017@PackedCatalogItem = %SystemRoot%\system32\msafd.dll C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = ATI CATALYST System Tray.lnk ---- EOF - GMER 1.0.11 ----

[/quote]

[Paolo333]

I problemi sorgono solo con l'apertura di explorer e con la successiva navigazione

Se non uso explorer, non ho alcun tipo di problema sul PC

Deve essere rimasto qualche residuo del Clicker.CVF, che entra in azione ogni volta che avvio explorer

Prima si è aperta la finestra del sito di cui ho postato nelle pagine precedenti l'immagine (questa volta è sfuggita ai siti con restrizioni), dopodichè scompare la barra degli strumenti di windows, che riappare dopo qualche secondo ma con molte meno icone dei programmi avviati in start up.

La connessione non sempre cade, anzi il più delle volte rimane

Non capisco perchè dopo la scansione, Hijackthis si chiude nell'istante stesso in cui termina il processo, segnalando un errore dell'applicazione
Quando abbiamo iniziato a risolvere i problemi, funzionava regolarmente

[chemicalbit]

[holifay]

Apri l´editor del registro di sistema (regedit.exe)

Naviga fino a questa chiave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Vai sul pannello di destra e cancella le voci
delldsk (punta a c:\winnt\delldsk.exe già cancellato)
1 (C:\WINNT\service32.exe già cancellato)

Poi naviga fino a questa chiave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

e allo stesso modo cancella:
{8ACBA415-FA70-4BA0-A1EC-3B9F45C6AD60}
{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}

Poi riavvia e dopo il riavvio cancella:
C:\WINNT\system32\awtqo.dll questa me la mandi a www.suspectfile.com indicando per holifay?
C:\WINNT\system32\cyohfeii.dll

Se vuoi prova di nuovo ad usare Avenger, con questo script:

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8ACBA415-FA70-4BA0-A1EC-3B9F45C6AD60}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B7672BAF-E9A3-49B6-86B2-C81719A18A4C}
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\delldsk
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\1

files to delete:
C:\WINNT\system32\awtqo.dll
C:\WINNT\system32\cyohfeii.dll

Poi però se usi avenger posta il suo log perchè se non è riuscito dvvrai eliminarli manualmente come sopra.

Vedi un po´ se adesso migliora la situazione

[Paolo333]

[Paolo333]

Holifay,

Non ci posso credere!

Incrociamo le dita, ma sto navigando senza problemi
Le pagine di Internet Explorer si aprono alla velocità della luce, e nessun pop up!

Continuo a navigare poi ti riferisco

Grazie!

[Paolo333]

Dopo ore di navigazione va tutto bene.

Non so se abbiamo eliminato tutto, ma i problemi sembrano proprio risolti

Grazie infinite holifay

[holifay]

eh eh, abbiamo avuto fortuna!

La dll che ti ho fatto cancellare, è associata al trojan Vundo, uno dei più difficili da rimuovere. Speravo che il vundofix di Atribune facesse il suo dovere, ma evidentemente non la riconosceva.

Adesso non dovresti avere più trojan attivi, fai comunque una scansione online con Kaspersly per eliminare eventuali residui

Ciao