Olimpo Informatico

[cristy85]

ciao holifay ho letto il mess privato...se per piacere mi aiuti a togliere questo trojan mi faresti un favorone perchè non so più cosa fare...
inoltre adesso ho anche il trojan Win32:Small-BTG (trj)

[holifay]

Ciao Cristy

postami il log di HijackThis. Leggi la prima parte della guida ed il log di RKR. Quando lo fai, non usare il PC finchè non ha finito.

[cristy85]

ciao questo è il log di hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 15.11.18, on 12/10/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RMCTRL.EXE
C:\PROGRAMMI\A4TECH\MOUSE\AWMMAIN.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\WINZIP\WZQKPICK.EXE
C:\PROGRAMMI\C6 MESSENGER\C6MESSENGER.EXE
C:\PROGRAMMI\IVT CORPORATION\BLUESOLEIL\BLUESOLEIL.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\CMMON32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kataweb.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {D80F320B-7B1B-C284-FE2C-E6C29AA4A108} - C:\WINDOWS\VSIYL1.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\SYSTEM\rmctrl.exe
O4 - HKLM\..\Run: [WheelMouse] C:\Programmi\A4tech\Mouse\AWMMAIN.EXE
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [fix] C:\WINDOWS\SYSTEM\regfishdettaglio.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServicesOnce: [*pV] "C:\PROGRAMMI\FILE COMUNI\SYSTEM\UBJRQ.EXE" HZimXeV
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [wke.exe] C:\WINDOWS\SYSTEM\wke.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Startup: C6 Messenger.lnk = C:\Programmi\C6 Messenger\c6Messenger.exe
O4 - Startup: BlueSoleil.lnk = C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programmi\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programmi\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O15 - Trusted Zone: www.super-videochat-community.biz
O15 - Trusted Zone: www.nanobyte.biz
O15 - Trusted Zone: www.umts-gprs-mondo-telefonino-cellulare.biz
O15 - Trusted Zone: www.popup-freesex-adv.biz
O15 - Trusted Zone: www.ricercadoppia.com
O15 - Trusted Zone: www.playmore.biz
O15 - Trusted Zone: www.ciritorno.biz
O15 - Trusted Zone: www.melagodo.biz
O15 - Trusted Zone: www.pergentina.biz
O15 - Trusted Zone: static.zangocash.com
O15 - Trusted Zone: cds.zangocash.com
O15 - Trusted Zone: content.licenseacquisition.org
O15 - Trusted Zone: www.phishingfix.biz
O15 - Trusted Zone: www.dettaglio.biz
O15 - Trusted Zone: www.preferiti-windows.com
O15 - Trusted Zone: www.scalalap.com
O15 - Trusted Zone: www.what-you-want.biz
O15 - Trusted Zone: www.tuttaqualita.com
O15 - Trusted Zone: www.vispateresa.biz
O15 - Trusted Zone: www.coppiastrana.biz
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2F6C63DF-48AD-44C3-A761-7FB53ECF064A} - http://www.ricercadoppia.com/tangary.exe
O16 - DPF: {C3CDCDA1-FD97-488D-8EE8-24098CD9C0D2} - http://www.popup-freesex-adv.biz/start.exe
O16 - DPF: {4BEF29D6-A5C7-4330-9B56-2AF01286E45B} - http://www.popup-freesex-adv.biz/regphidett.exe
O16 - DPF: {03E9BA8E-B2A3-437C-AA3F-0EE4A6B1C224} - http://www.popup-freesex-adv.biz/PhisInstaller.exe
O16 - DPF: {9F54BF10-C88E-43FD-AA9E-16BF45747C72} - http://www.ricercadoppia.com/LinkShare.exe
O16 - DPF: {CFF7AE90-C92F-4E67-AFAF-505418D4326B} - ms-its:mhtml:file://c:mp.mht!http://gromozon.com/a9fd44b1/50305/4//x.chm::/x.ocx
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/download/DownloaderActiveX.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

[Smjert]

Hai il LinkOptimizer assieme ad altre schifezze...

Scarica il tool della Symantec, avvialo, premi Start e aspetta che abbia finito.

Poi avvia HijackThis e premi Do a system scan only, spunta queste voci(se ci sono) e poi premi Fix Checked:

[BilloKenobi]

però, con tutte quelle voci si fa un log intero

[holifay]

[cristy85]

ciao senti avenger non si apre perchè dice che non supporta il mio windows
e neppure FixLinkOpt questo dice che manca un file...

[chemicalbit]

[Smjert]

Già purtroppo Avenger non funziona con quel OS.
Prima di tutto scarica questo tool della Prevx per rimuovere il Link Optimizer, avvialo e clicca Scan, ti dirà che deve riavviare il pc tu accetta.

Usiamo poi un trucco della valigia:

[cristy85]

ho riavviato il pc ma alcuni file ci sono sempre....cosa faccio vado ugualmente su autoexec e cancello tutto o no?

ciao holifay

[Smjert]

Accidenti... evidentemente i file vengono eseguiti prima dell'autoexec :\ mmm ci sarebbero 2 modi per toglierli:

1) Solo se vuoi farlo, è un esperimento (non dannoso eh!) che mi interesserebbe fare per sapere se funziona, per poi poterlo applicare...
Vai in c:\ crea un nuovo file txt e copiaci dentro quello che c'era in Autoexec.bat (meno l'ultima riga), salva e rinomina il file delete.bat (cancella pure il contenuto di Autoexec.bat).
Apri poi il registro di sistema (Start->Esegui->digita regedit e dai invio) naviga fino alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce selezionala e nella parte destra della finestra clicca con il destro->Nuovo->Valore stringa, chiamalo ad esempio delete, poi clicca sul valore e fai Modifica e in Dati valore copiaci questo C:\delete.bat a questo punto riavvia e controlla se ti ha cancellato i file

2)Riavvia in Modalità Provvisoria (F8 al boot) e cerca i file da cancellare, cancellali e poi riavvia in Modalità Normale (rimangono valide le mie richieste precedenti riguardo ai log).

Se tu provi il primo modo e scopriamo che funziona provo a fare un programmino in c++ che funzioni su "tutte" le versioni di Windows (già con Avenger non capisco quale sia il problema...)

[holifay]

Prova a scaricare Virit, aggiornalo e fai una (o più se ti trova qualcosa) scansione dalla modalità provvisoria.

Posta il log di quello che ti trova

Per lo script, forse è meglio provare a metterci prima di DEL il comando attrib, in questo modo:
attrib -s -h -r nomefile
del nomefile