Olimpo Informatico

[Legatoalfuturo]

Buongiorno a tutti,

vi chiedo gentilmente una mano a risolvere un problema.
Il notebook della mia ragazza (Acer Travelmate 4050lmi) ultimamente è lentissimo e fa apparire messaggi strani di allarme indicando che è stato rilevato un tentativo di intrusione nel sistema e che per controllare il sistema dovrei cliccare su OK, cosa che non faccio.
Nel systray vedo lampeggiare una icona rossa con una X gialla all'interno.
Cliccando su Norton Antivirus si bloccava tutto, così come accedendo a Windows Media Player.

Quindi ho disinstallato Norton e ho fatto una scansione con Spybot Search and Destroy ma sebbene abbia tolto della immondizia, i problemi non sono scomparsi.

Quindi, mi ritrovo con un notebook senza Antivirus e con una scansione di HijackThis che vi allego.

Qualcuno sa dirmi se il notebook è infetto con del malware e di che tipo?

Vi ringrazio infinitamente per l'aiuto che vorrete darmi.

Marco

*********************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.26.00, on 17/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Rar$EX03.000\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: RDL Rolex - {C2A24021-8E30-4C40-8266-844A2746CA3B} - C:\WINDOWS\dgtxrdfmdl.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: ekvgsnw - {C04BC04E-1F31-4C85-801C-ACE5B1E84251} - C:\WINDOWS\ekvgsnw.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [antiviirus] C:\Programmi\antiviirus.exe
O4 - HKLM\..\Run: [ptask] C:\Programmi\BastioneAntivirus\ptask.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB3518] command /c del "C:\WINDOWS\bxlrvps.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1925] cmd /c del "C:\WINDOWS\bxlrvps.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4750] command /c del "C:\WINDOWS\ekvgsnw.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5143] cmd /c del "C:\WINDOWS\ekvgsnw.dll_old"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.20.0002/OCI/setup.exe
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737}
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.pvw.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O21 - SSODL: bxlrvps - {34D3A7B5-D9A5-4B9B-A6E4-D1FB6614C81E} - C:\WINDOWS\bxlrvps.dll (file missing)
O21 - SSODL: alofkmn - {41B76F88-2C2A-4823-957A-7F74AB9ABF4D} - C:\WINDOWS\alofkmn.dll
O21 - SSODL: MonKbd - {5ccea86d-81f5-42aa-bb1d-a4cc514f04b3} - C:\WINDOWS\Installer\{5ccea86d-81f5-42aa-bb1d-a4cc514f04b3}\MonKbd.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

--
End of file - 6319 bytes

[bdoriano]

Eh già!

Direi proprio che il pc è messo molto male!!!
Si sono installati almeno un paio di Rogue Antivirus e altre schifezzuole varie.

Procediamo con le pulizie generali:

• Disabilita il ripristino di sistema.
  
• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Fai questa scansione con RogueRemoverFree
  
• Scarica Norman Malware Cleaner e NOD32 Scanner.
  
• Avvia il pc in modalità provvisoria.
  
• Avvia NOD32 e fagli fare la scansione completa.
  
• Avvia Norman Malware Cleaner e fagli fare la scansione completa.
  Viene generato un log sul desktop chiamandolo NFix_2008-03-gg_hh-mm-ss.log, alla fine della scansione caricalo su FreeFileHosting come indicato qui e posta il link che ti viene assegnato.
  
• Segui le istruzioni di questo topic per postare il log di combofix.

PS: hijackthis va salvato in una sua cartella non temporanea e non sul desktop.

[Legatoalfuturo]

Ciao Bdoriano,

grazie per il tuo messaggio. Seguirò alla lettera le tue indicazioni.

Siccome non potrò operare sul notebook prima di domani sera (è di una mia amica e fino a domani sera non la vedo!!) ti risponderò Giovedì mattina.

Grazie infinite per il tuo supporto.....intanto scarico i programmi che mi hai suggerito.

A dopodomani!!

Ciao

Marco

[bdoriano]

Allora, ti aggiungo altre operazioni da fare dopo le precedenti...

• Disabilita il tuo antivirus
  Collegati a BitDefender (con IE) e fai la scansione completa.
  
• Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
  Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.

[Legatoalfuturo]

Ok.

Ma, siccome non ho attualmente nessun antivirus installato, intendi che debba disabilitare il NOD32 scanner prima di effettuare le operazioni di cui parli qui?

E poi, devo eseguirle in modalità normale o provvisoria?

Grazie

[bdoriano]

1. RogueRemover: normale (è l'unico che va aggiornato prima della scansione, quindi necessita di internet per almeno un paio di minuti)
   
2. NOD32 Scanner: provvisoria
   
3. Norman Malware: provvisoria
   
4. Combofix: normale
   
5. Hijackthis: normale
   
6. BitDefender online: normale
   
7. Kaspersky online: normale

In tutti i casi il tuo antivirus va disabilitato (visto che non è servito a molto, lo disinstallerei anche).

Il mio consiglio è, per i punti da 1 a 5, scaricati i programmi da un pc sano, copiali sul pc infetto ed esegui le varie scansioni scollegato da internet.
Per i punti da 6 a 7, devi rimanere collegato a internet il tempo necessario a scaricare i motori di scansione e le firme virali.

[Legatoalfuturo]

Grazie!!!

Seguirò le tue indicazioni in maniera scrupolosa e Giovedì mattina mi rifarò vivo.

Ciao

[Legatoalfuturo]

Ciao Bdoriano,

purtroppo non riuscirò a mettere le mani su questo notebook fino alla settimana prossima. Ci riaggiorniamo ok?

Volevo avvisarti perchè ti avevo promesso che avrei avuto una risposta per oggi.....Buona Pasqua!!!!!

Marco

[Legatoalfuturo]

Ciao Bdoriano

dopo lungo lavoro eccomi qua a postarti un pò di <LOG>......come la vedi la situazione adesso? Aspetto tue preziose dritte..Grazie




Questo è il link del log di Norman Malware:
NFix_2008-03-26_22-13-25.log




Di seguito il log di Combofix:
**********************************************************
ComboFix 08-03-25.4 - Giovanna 2008-03-26 22.48.36.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1040.18.79 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Giovanna\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Giovanna\Preferiti\Error Cleaner.url
C:\Documents and Settings\Giovanna\Preferiti\Privacy Protector.url
C:\Documents and Settings\Giovanna\Preferiti\Spyware&Malware Protection.url
C:\WINDOWS\rs.txt

.
((((((((((((((((((((((((( Files Creati Da 2008-02-26 al 2008-03-26 )))))))))))))))))))))))))))))))))))
.

2008-03-26 21:35 . 2008-03-26 21:35 <DIR> d-------- C:\Programmi\RogueRemover FREE
2008-03-26 21:30 . 2008-03-26 21:30 <DIR> d-------- C:\Programmi\CCleaner
2008-03-25 19:45 . 2008-03-25 19:45 <DIR> d-------- C:\Documents and Settings\Administrator\Dati applicazioni\Corel
2008-03-25 19:43 . 2008-03-25 19:43 <DIR> d-------- C:\Documents and Settings\Administrator\Contacts
2008-03-19 20:10 . 2008-03-19 20:10 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-03-15 19:39 . 2008-03-15 19:39 133 --a------ C:\WINDOWS\wininit.ini
2008-03-08 19:55 . 2008-03-08 19:55 <DIR> d-------- C:\Programmi\Spybot - Search & Destroy
2008-03-08 19:55 . 2008-03-08 19:55 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-03-08 19:11 . 2004-10-07 17:04 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2008-03-08 19:11 . 2004-10-07 17:04 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2008-03-08 19:11 . 2004-10-07 17:22 <DIR> dr------- C:\Documents and Settings\Administrator\Preferiti
2008-03-08 19:11 . 2004-10-07 17:04 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2008-03-08 19:11 . 2004-10-07 17:04 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2008-03-08 19:11 . 2004-10-07 17:04 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2008-03-08 19:11 . 2004-10-07 17:22 <DIR> dr------- C:\Documents and Settings\Administrator\Documenti
2008-03-08 19:11 . 2004-10-07 17:04 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni
2008-02-29 02:10 . 2008-02-29 02:10 <DIR> d-------- C:\Programmi\Windows Sidebar
2008-02-29 02:09 . 2008-02-29 02:11 10,652 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-02-29 02:09 . 2008-02-29 02:11 806 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-02-29 01:23 . 2008-02-29 01:23 <DIR> d--hs---- C:\BastioneAntivirus
2008-02-29 01:21 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-02-29 01:21 . 2004-10-07 13:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-02-29 01:21 . 2004-10-07 13:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-02-29 01:21 . 2004-10-07 13:39 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2008-02-29 01:21 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 00:35 --------- d-----w C:\Programmi\Real
2008-02-03 00:35 --------- d-----w C:\Programmi\Google
2008-02-03 00:35 --------- d-----w C:\Programmi\File comuni\Real
2008-01-31 19:57 --------- d-----w C:\Programmi\Microsoft CAPICOM 2.1.0.2
2008-01-31 19:52 --------- d-----w C:\Programmi\MSXML 4.0
2008-01-31 19:51 --------- d-----w C:\Programmi\Windows Live Favorites
2008-01-11 05:32 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2A24021-8E30-4C40-8266-844A2746CA3B}]
C:\WINDOWS\dgtxrdfmdl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{C04BC04E-1F31-4C85-801C-ACE5B1E84251}"= "C:\WINDOWS\ekvgsnw.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{c04bc04e-1f31-4c85-801c-ace5b1e84251}]
[HKEY_CLASSES_ROOT\ekvgsnw.1]
[HKEY_CLASSES_ROOT\TypeLib\{E618CE58-2285-4047-B8CA-F468463AD08E}]
[HKEY_CLASSES_ROOT\ekvgsnw]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 05:00 15360]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-12 21:41 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2003-10-02 14:37 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2003-10-02 14:19 118784]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 13:38 88361 C:\WINDOWS\AGRSMMSG.exe]
"LtMoh"="C:\Programmi\ltmoh\Ltmoh.exe" [2003-03-19 00:39 184320]
"SynTPLpr"="C:\Programmi\Synaptics\SynTP\SynTPLpr.exe" [2004-08-12 15:13 102400]
"SynTPEnh"="C:\Programmi\Synaptics\SynTP\SynTPEnh.exe" [2004-08-12 15:12 684032]
"RemoteControl"="C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 11:52 40960]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-19 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-19 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-19 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-19 05:00 455168]
"EPM-DM"="C:\Acer\ePM\EPM-DM.exe" [2004-10-27 20:16 163840]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2004-11-02 21:43 2884096]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.EXE" [2004-10-01 16:46 262144]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2007-02-16 10:54 282624]
"iTunesHelper"="C:\Programmi\iTunes\iTunesHelper.exe" [2007-03-14 19:05 257088]
"ptask"="C:\Programmi\BastioneAntivirus\ptask.exe" [ ]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-19 05:00 160256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 05:00 15360]
"ALUAlert"="C:\Programmi\Symantec\LiveUpdate\ALUNotify.exe" [ ]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
Corel MEDIA FOLDERS INDEXER 8.LNK - C:\Corel\Graphics8\Programs\MFIndexer.exe [2005-10-25 21:03:20 83456]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"MonKbd"= {5ccea86d-81f5-42aa-bb1d-a4cc514f04b3} - C:\WINDOWS\Installer\{5ccea86d-81f5-42aa-bb1d-a4cc514f04b3}\MonKbd.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ccSetMgr"=2 (0x2)
"CLTNetCnService"=2 (0x2)
"ccEvtMgr"=2 (0x2)
"Symantec Core LC"=3 (0x3)
"CiSvc"=3 (0x3)
"MDM"=2 (0x2)
"LiveUpdate Notice"=2 (0x2)
"LiveUpdate"=3 (0x3)
"gusvc"=3 (0x3)
"iPod Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\Messenger\\MSMSGS.EXE"=
"C:\\Programmi\\iTunes\\iTunes.exe"=
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programmi\\MSN Messenger\\livecall.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 13:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2004-09-02 17:27]
S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys []
S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 13:51]
S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 13:52]
S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 13:53]
S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 13:54]
S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 13:55]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{efbe3d58-cfe1-11db-aa0c-00023f0e3778}]
\Shell\AutoRun\command - E:\Autorun.exe /run
\Shell\Shell00\Command - E:\Autorun.exe /run
\Shell\Shell01\Command - E:\Autorun.exe /action
\Shell\Shell02\Command - E:\Autorun.exe /uninstall

.
Contenuto della cartella 'Scheduled Tasks'
"2008-03-26 20:36:02 C:\WINDOWS\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job"
- C:\Programmi\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-26 22:50:33
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-03-26 22.50.53
ComboFix-quarantined-files.txt 2008-03-26 21:50:52
.
2008-03-19 19:11:20 --- E O F ---
*************************************************************



Questo è il link al log dello Scanner Online di Kaspersky:
Kaspersky onine scanner log.html




Ed infine questo è il log di Hijackhis:
***************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.07.12, on 27/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\ePM\EPM-DM.exe
C:\PROGRA~1\LAUNCH~1\LManager.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Giovanna\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: RDL Rolex - {C2A24021-8E30-4C40-8266-844A2746CA3B} - C:\WINDOWS\dgtxrdfmdl.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: ekvgsnw - {C04BC04E-1F31-4C85-801C-ACE5B1E84251} - C:\WINDOWS\ekvgsnw.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ptask] C:\Programmi\BastioneAntivirus\ptask.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?e41d047d3f13466188c2bb95bad46426
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?e41d047d3f13466188c2bb95bad46426
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.20.0002/OCI/setup.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cosiliberachevolo.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.pvw.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O21 - SSODL: MonKbd - {5ccea86d-81f5-42aa-bb1d-a4cc514f04b3} - C:\WINDOWS\Installer\{5ccea86d-81f5-42aa-bb1d-a4cc514f04b3}\MonKbd.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 8191 bytes
**********************************************************

[bdoriano]

Cominciamo a ragionare.

Crea un file di testo con le seguenti istruzioni:

[Legatoalfuturo]

Ciao,

è un pò che non ci si sente, eh?

Bdoriano, spero che tu non prenda ciò che sto per scrivere come una mancanza di fiducia nei tuoi confronti ma, dopo quel che è successo al mio PC dopo lo script che mi avevio detto di eseguire, ho un pò di paura a lanciare un altro script del genere sul notebook della mia girl.

Sai anche perchè? Ha il drive del CD-ROM rotto, quindi non posso utilizzare nè CD nè DVD di sorta e se devo ripristinare qualcosa tramite disco stiamo freschi!!!

Posso andare sul sicuro?

[bdoriano]

Rieccomi qui.
Devo essere sincero, mi aspettavo un minimo di dubbio da parte tua.

Sospetto che l'esito negativo avuto sul tuo pc fosse dovuto a qualche problema pre-esistente nel file di registro. Però non ne ho la certezza assoluta.

Quelle voci che ho indicato nello script dovranno essere eliminate (soprattutto i files).
Mi dispiace che il lettore cd del portatile sia fuori uso, in caso di problemi poteva essere un toccasana. Tieni conto, però, che puoi usare anche una chiavetta USB per installarvi UBCD4WIN. Per le istruzioni in dettaglio su come fare, ti rimando al file PE2USB.TXT presente nella cartella in cui hai installato UBCD4WIN.

[Legatoalfuturo]

Perfetto Bdoriano

Adesso sono più tranquillo

Ti faccio sapere

[Legatoalfuturo]

Ciao

Ecci qua con i log dl notebook della mia ragazza, che ne dici capo?

Combofix.txt


hijackthis_.txt

[bdoriano]

I logs sembrano ok.
Riscontri ancora problemi?

[Legatoalfuturo]

Ieri sera ho chiuso il notebook giusto dopo aver scritto il messaggio sul forum, ma mi sembrava tutto a posto.

L'unica cosa è che mi si bloccava Explorer quando tentavo di chiudere la finestra.