Olimpo Informatico

[Estacado]

Ciao a tutti

Sono nuovo del forum ma lo frequento da un pò in anonimo siete tutti molto preparati, io invece sono quasi un principiante... abbiate pietà se mi esprimo in termini non tecnici.

Ho deciso di iscrivermi perchè ho bisogno del vostro aiuto, facendo la scansione anti virus (con A-squared Free) di routine (ne faccio una ogni 2 o 3 settimane) mi sono ritrovato con 3 Trojan, alcuni Dialer e altre schifezze varie.

A-Squared non sò per quale motivo non mi elimina i files nocivi, ho provato manualmente a eliminarli ma non ho avuto effetto (e non sò in effetti cancellendoli risolverei il problema del tutto)

i DIaler si chiamano Heuristic, mentre i Trojan sembrano dovuti ad un .exe chiamato CFTMOM situato in Esecuzione Automatica mentre altri 2 sembrano creare problemi al Cestino di XP li localizza in C:/Recycled

Ho provato anche con SpyBot- Search & Destroy ma il problema non si risolve.

Tra l'altro una delle conseguenze di questi virus è l'apertura automatica di pagine di Firofox (porno..ovviamente) e di I.E.

Altro problema è nel cestino, mi indica che il vestino contiene materiale da cancellare ma cliccandoci non mi appare nulla, facendo Svuota Cestino però mi chiede se voglio Cancella "Windows" (!!)...

Non sò che fare..

AIUTO!!!

GRAZIE A TUTI

[kevin]

ciao estacado,
mentre aspettiamo gli esperti potresti cominciare a postare un log di HijackThis

[aris73]

posta un log di Hijackthis http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php
salva il programma sul desktop
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare

[Estacado]

Ecco qui sorge un'altro dei problemi che affligono il mio pc..

Capita con alcuni siti (tipo quello che mi ha linkato Haris 73) che cliccando sul link mi si chiuda completamente FireFox e ora per la prima volta me lo ha fatto anche con Explorer..

Ci sono modi per fare quell'operazione che mi suggerite senza passare per quel sito?

[Estacado]

Post Doppio scusate.

[aris73]

esegui questa procedura apri il registro di sistema (Start--> Esegui--> regedit) trova la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e controllare se esiste una sottochiave \Explorer.exe
Se c'è, clicca sopra con il tasto destro e vai su Autorizzazioni. Seleziona il nome dell'account tuo e sotto spunta la casella Controllo completo/Consenti. Salva le modifiche ed elimina la sottochiave Explorer.exe
Prima di eliminarla però annota il nome ed il percorso del file che viene indicato nel valore Debugger della sottochiave Explorer.exe, anche questo file sarà da eliminare.

come da esempio
http://img125.imageshack.us/img125/9573/explorerdw9.jpg

[Estacado]

Ho fatto tutto come mi hai indicato, ma Explorer continua a chiudermisi.

[bdoriano]

[Estacado]

Il problema è che quando clicco per scaricare il Tool mi si chiude tutto come prima.

Non riesco proprio a capire.. me lo fà sia con Explorer che con Firefox, praticamente non posso agire in nessun modo.

Conoscete qualche rimedio? anche drastico!...

[bdoriano]

Quindi non riesci a scaricare neanche quell'ultimo tool?
Facciamo un passo indietro.
Riesci a visualizzare le 2 chiavi di registro indicate?
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Se si, puoi riportare i valori che trovi?

[Estacado]

Alla fine sono riuscito a scaricare Avenger, ma al momento di farlo partire da Task Manager non và, si chiude subito da solo, c'è una finestra d'avviso ma nn riesco a leggere.

è successa una cosa nel frattempo.

è Comparsa una pagine blu in cui che mi diceva che il sistema era stato bloccato per evitare danni computer.

diceva inoltre che se era la prima volta che succedeva di riavviare normalmente il pc ma se fosse riapparsa di seguire una procedere per cancellare chace e memorie dal bios o di contattore il venditore per farmene dare una versiona aggiornata.

c'era inoltre la scritta

PAGE_DEFAULT_IN_NONPAGED_AREA

e sotto una serie di numeri

Stop: 0x00000050 (0xE14fb000, 0x00000000, 0x80536EFF, 0x00000001)

Che ho combinato?..


Per le chiavi invece non ho problemi a trovarle e questoè quello che riportano

Explorer.exe (predefinito) REG_SZ (valore non impostato)
Debugger REG_SZ (C:Windows\w32dbg.exe)
per Winlogon ho difficoltà a riportare tutti i valori sono molte voce e Copia incolla non và.

Cosa fare? come procedo?

[Orange]

ciao, Estacado, benvenuto anche dalla parte mia!

avevi terminato il processo explorer.exe prima di usare Avenger?

proviamo ad eliminarla manualmente quella chiave.
avvia in modalità provvisoria
termina il processo explorer.exe dal task manager
portati alla chiave HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
clic con tasto destro su explorer.exe
seleziona l'opzione autorizzazioni, seleziona il tuo account e spunta la casella controllo completo nella colonna consenti.
poi clic con destro sulla chiave e scegli elimina

[Estacado]

Ciao Orange

Grazie per l'aiuto, ho fatto come mi hai detto in Modalità Provissoria, cancellando quella chiave.

Ora cosa dovrei essere in grado di fare?...


Ho anche trovato quei valori da Winlogon:

C:\Windows\System32\userinit.exe - C:\Windows\delldsk.exe - C:\Windows\wifinet.exe - C:\Windows\Siemens-Driver.exe - C:\Windows\Philpiservice.exe


Erano questi i valori da riportare?

[bdoriano]

Il contenuto di Winlogon\UserInit deve diventare così:
C:\Windows\System32\userinit.exe,
quindi cancella tutto quello che non serve (non dimenticare di lasciare la virgola finale!!!!).
A questo punto, dovresti essere in grado di avviare Avenger da Task Manager:
- clicca sulla voce Input script manually
- clicca sull'icona della lente di ingrandimento
- nella finestra, inserisci quello che è scritto qui sotto:

[Estacado]

Ho cancellato le voci da Winlogon come suggerito ma Avenger continua a non avviarsi,appare e scompare subuto dopo.

Nel frattempo sono riuscito a salvare Hijackthis ma cliccandoci fà esattmente la stessa cosa di Avenger..

Altre vie?..

[Estacado]

OK!!!
HO capito che a bloccarmi l'esecuzione di Avenger e HiJackthis era PhilpiService.exe.. l'ho terminato con Task Manager e quindi..

..SOno riuscito a fare il log con HiJackTHis!

Per me è come Aramaico Antico!

Eccolo!

Log:

Logfile of HijackThis v1.99.1
Scan saved at 12.29.53, on 31/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Sony\MD Simple Burner\NetMDSB.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\system32\TBLMOUSE.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\DOCUME~1\Fab\IMPOST~1\Temp\svchots.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\D-Link AirPlus\AirPlus.exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\Programmi\Philips ToUcam Camera\GameCam SE\Program\RFTray.exe
C:\Documents and Settings\Fab\Menu Avvio\Programmi\Esecuzione automatica\ctfmon.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\Java\jre1.5.0_10\bin\jucheck.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Fab\Documenti\File ricevuti\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\philipsservice.exe",
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [shbb1.exe] C:\WINDOWS\TEMP\shbb1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [mmtask] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\yslwvrgb.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Restore Operation] C:\DOCUME~1\Fab\IMPOST~1\Temp\svchots.exe
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ctfmon.exe
O4 - Startup: imfe.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Reality Fusion GameCam SE.lnk = C:\Programmi\Philips ToUcam Camera\GameCam SE\Program\RFTray.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.75\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\npjpi150_10.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{38F34D0E-AF85-4178-834A-FD2E173C63EF}: NameServer = 192.168.123.254
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programmi\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe

[bdoriano]

Domanda: le operazioni descritte precedentemente le fai dopo aver terminato il processo Explorer.exe?

Se riesci ad avviare Avenger da task manager, queste sono le righe da inserire:

[Estacado]

Le operazioni le faccio dopo aver terminato il Processo Explorer.exe da Task Manager.

Ho rilanciato Avenger e inserito le stringhe che mi indicato.

Il pc si è riavviato.

Alla schermata di carimento di XP sono comparse delle finestre che dicevano che Explorer.exe non è riuscito a partire, di contrallare A: e di vedere se il carrello sia correttamente chiuso (? non sò di cosa parli..)

Ho scelto su Continua.

Una volta avviato XP è comparsa una finestra di DOS con delle righe, non ho fatto in tempo a leggere bene ma riportava i le stesse cose che ho messo su Avenger.

Dopo di che però XP si è bloccato ed è comparsa la solita schermata blu con la scritta che mi dice che il sistema è stato arrestato per evitare danni al computer.

Ho riavviato il pc.

All'avvio di XP è comparsa una finestra di avviso con questa frase

ERROE DURANTE CARICAMENTE C:\Windows\System32\yslwrgb.dll

Impossibile trovare modulo specificato.

ho dato OK.


DOpo queste operazioni fatte con Avenger cosa è cambiato nel pc? cosa ho eliminato?..

CHe problemi dovrei aver risolto?.. e quali avevo??

Come procedo ora?..

[Orange]

ciao.

è difficile dire cosa hai eliminato e cosa ti è rimasto senza il log di Avenger..
ricontrolla tutte le chiavi sopra indicate.
scarica anche questo tool di rimozione e fai lo scan completo

metti qui il risultato.

[Estacado]

Ecco il log risultato dal tool di Rimozione.

Removal tool loaded into memory
Removing ADS stream: C:\WINDOWS\system32:vlaa.dll:$DATA
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\System32\lpt5.psc
\\?\C:\WINDOWS\System32\lpt5.psc
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\System\hROnUc.exe
Removing protected file: C:\Programmi\File comuni\System\OKHPN.exe
Removing protected file: C:\Programmi\File comuni\System\PxB.exe
Removing protected file: C:\Programmi\File comuni\System\ugB.exe
Removing protected file: C:\Programmi\File comuni\System\uSkXTo.exe
Removing protected file: C:\Programmi\File comuni\System\vKRyx.exe
Removing protected file: C:\Programmi\File comuni\System\WzH.exe
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\bgqax1.dll
Removed!


Trojan.Gromozon Removed!

Cosa ne viene fuori?

Mi continuano ad apparie su Firefox pagine di siti porno automaticamente.

E mi si aprono pagine (di msn) di Explorer.

Come lo posso risolvere? suggerimenti?