Olimpo Informatico

[pigions]

ciao!
preavviso che sono assolutamente inesperta in materia informatica, vi prego pertanto di avere un poco di pazienza se deciderete d aiutarmi e soprattutto di spiegarvi con un linguaggio a me comprensibile!
poi... il problema è il fomoso RavMonLog...
ho trovato altre discussioni in merito ed ho provato a seguire le istruzioni date, ma senza risultati.

non so che informazioni dare, comincio col dire che ho trovato il file RavMonLog sulla pendrive, sull'harddisj esterno e in C:\Documents and Settings\Pilvietta (che è il mio nome user);
ho scaricato HiJack e questo è il contenuto del risultato scansione

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:48:43, on 04-06-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Programmi\ASUS\Splendid\ACMON.exe
C:\Programmi\Wireless Console 2\wcourier.exe
C:\Programmi\ASUS\ATK Media\DMEDIA.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ASUS\Net4Switch\Net4Switch.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\ASUS\Asus MultiFrame\MultiFrame.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\Java\jre1.5.0_07\bin\jucheck.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pilvietta\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PowerForPhone] C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ACMON] C:\Programmi\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programmi\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programmi\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Net4Switch] C:\Program Files\ASUS\Net4Switch\Net4Switch.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: MultiFrame.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.79\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.79\MediaManager\grab.html
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 8827 bytes


sicuro ci saranno 2000 cose che non vano nel mio computer...
attendo istruzioni!

[Sante62]

Ciao pigions e benvenuto...
Intanto per adesso disattiva il riconoscimento automatico della pen drive:
serve il programma TweakUI scaricabile da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:

[pigions]

orbene, ho seguito le istruzioni e,
disattivato il riconoscimento automatico della pen drive e dell'hardisk esterno,
eseguito scansione con CCleaner,
Combofix:

[URL="http://www.freefilehosting.net/files/3i3k8"]combofix_1212615986469.txt[/URL]

Virit:

[URL="http://www.freefilehosting.net/files/3i3k6"]virit.txt[/URL]

Systemscan:

[URL="http://www.freefilehosting.net/files/3i3k5"]04_06_2008_22_26_report.zip[/URL]

e HiJack

[URL="http://www.freefilehosting.net/files/3i3k9"]hijackthis_1212616153964.log[/URL]

Spero vada bene. Resto in attesa

[pigions]

no non va bene.. devo aver sbagliato qualcosa con freefilehosting...
riprovo a mandare intanto il link per systemscan e vedo se funziona

http://www.freefilehosting.net/files/3i3kc"]04_06_2008_22_26_report_1212617187480.zip

[pigions]

ok perfetto allora rimando anche gli altri

Combofix
http://www.freefilehosting.net/files/3i3ke"]combofix_1212617449235.txt

Virit
http://www.freefilehosting.net/files/3i3kf"]virit_1212617523106.txt

Scusate non ci capisco niente!

[Sante62]

Non vedo altre tracce di RavMonlog, ma un'altra infezione causata dalla chiavetta, che ti consiglio di formattare prima di utilizzarla e riattivare il riconoscimento automatico;

l'infezione è questa:

[pigions]

ho eliminato la chiave indicata in rosso
questo è il log di combofix

http://www.freefilehosting.net/files/3i3l4"]log combofix_1212621053088.txt

effettivamente il file RavMonLog che era in C:Documents and Setting\Pilvietta
non c'è più (adesso è in C:\Qoobox\Quarantine\C\Documents and Setting\Pilvietta)
ma nella pendrive e nell'hard-disk c'è ancora!
formattare la pendrive non è un problema ma come faccio per il disco esterno???

[pigions]

ancora io, mortale devoto.
ho formattato la pennina e sembra che il file RavMonLog non ricompaia. l'ho semplicemente cancellato dall'hard-disk e anche lì sembra per il momento non ricomparire (prima tornava sempre)...
aspetto in ogni caso conferma per riattivare l'autoplay

[Sante62]

Collegati a Kaspersky online scanner e procedi con la scansione estesa del PC;

collega anche l'hard disk esterno così verrà scansionato, ma senza riattivare l'autoplay...

[pigions]

ho fatto come richiesto la scansione con karspersky questo è il report della scansione

http://www.freefilehosting.net/files/3i4ba"]report kaspersky_1212692707596.html

prima di farla ho attaccato al computer anche la memoria della macchina fotografica (H:\) che ho scoperto essere infettata ma dalla quale non sono riuscita ad eliminare il virus perchè mi dice che "il disco è protetto da scrittura"

[Sante62]

Elimina manualmente questi file:
H:\bittorrent.exe
H:\AUTORUN.INF

Se non riesci ad eliminarli devi formattarla;

Per il resto è tutto OK....

[pigions]

non riesco nè a cancellare manualmente il file nè a formattare perchè dice che il disco è protetto da scrittura... come faccio a rimuovere la protezione?

[Sante62]

Vai su Risorse del computer e clicca col tasto destro del mouse sulla periferica interessata in questo caso "H"->Proprietà;

Vai sul tab Protezione;

seleziona il tuo account;

metti la spunta su Controllo Completo alla colonna Consenti;

adesso dovresti essere in grado di accedere...

[pigions]

no scusa ma non capisco, se clicco col destro sulla periferica e vado su proprietà spunta la finestra con Generale, Autoplay, Strumenti, Hardware, Condviosione...
che faccio?
non capisco qual'è il tab protezione dove selezionare il mio account...

anche se vado su Risorse del Computer, Proprietà, Hardware, Gestione Periferiche, seleziono quella interessata e vado su proprietà mi spunta finestra con Generale, Criteri, Volumi, Driver, Dettagli e di nuovo non so che fare...

[Sante62]

Hai ragione, perchè si tratta di una periferica esterna e non del disco fisso;

Vedi se collegando la memoria alla macchina fotografica e attaverso le opzioni di questa riesci a disattivare la protezione e a formattare...

[pigions]

perfetto
ho formattato la memoria della macchina fotografica direttamente dalla macchina ed eseguito lo scan della periferica dal computer e pare non esserci più niente!
anche il RavMonLog non è più tornato!
grazie dell'aiuto e della pazienza, buon proseguo!

[Sante62]