Olimpo Informatico

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Salve a tutti.
Purtroppo tramite l'antivirus AVIRA ho riscontrato il seguente VIRUS, presente sia nella cartella C\Windows\System32, sia ogni volta che inserisco la mia pennetta-USB.
Appaiono inoltre queste indicazioni: VBS\Small.NAA e VBS\Sasan.98.
Spero che qualcuno mi possa dare una mano e chiedo se é un virus pericoloso o innocuo.

Riporto qui il risultato di Hi-Jack-This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:24, on 15/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Programmi\Winamp\winamp.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HP\Smart Web Printing\hpswp_clipbook.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\user\Desktop\Christian Desktop\AFTER FORMAT (2008)\Hard disk\VIRUS\Hi-Jack-This (setup).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Traduttore in Internet - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - C:\Programmi\TG 6.0\TGWeb.exe (file missing)
O9 - Extra 'Tools' menuitem: Traduttore in Internet - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - C:\Programmi\TG 6.0\TGWeb.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe

--
End of file - 9454 bytes

bdoriano

Ciao 101south e benvenuto, Ciao

L'unica voce sospetta identificata nel log di HijackThis e MediaAccess (che, probabilmente, verrà automaticamente eliminata da ComboFix).

Fai queste operazioni:

Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Segui le istruzioni di questo topic per usare MBAM.
Segui le istruzioni di questo topic per eseguire combofix.
Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend e posta il Forum Link che ti viene assegnato.
- Carica il log di Combofix su WikiSend e posta il Forum Link che ti viene assegnato.

PS: se vuoi, puoi presentarti qui

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Salve, ho fatto tutto quanto mi hai consigliato.

Ho pulito prima i files temporanei con ATF-Cleaner e CCleaner. Ho scannato il PC e la pennetta-USB con MBAM e COMBOFIX. Ho caricato i risultati sul sito WIKISEND.

Ecco i relativi Forum-Link:

Combo-Fix (Report).txt

mbam-log-8-15-2008 (20-21-01).txt

I risultati:

A) Sul computer (sempre nella cartella WINDOWS/System32) il file killVBS.vbs c'é sempre, e viene segnalato dall'antivirus AVIRA come "virus".

B) Sulla pennetta é apparso lo stesso file (l'ho provato su un altro PC) e l'ho cancellato sembra con successo: infatti sul mio PC non é stato piú rilevato.

Le domande:

1) devo ritenermi tranquillo con quel file "killVBS.vbs" perennemente presente sulla mia cartella "System32" ?

2) Di che file si tratta ?

3) Come rendere le pennette-USB immuni da questo file ?

Grazie in anticipo per l'interesse e le risposte.

bdoriano

MBAM ha rilevato un adware infiltrato nel tuo pc legato a MediaAccess.
Il file killvbs in Windows\System32 non dovrebbe esistere. Posso anche fartelo cancellare da ComboFix ma, probabilmente, non risolveremo il problema.
Andiamo più in profondità... Think

Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato.

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Salve, vorrei utilizzare Systemscan, ma non mi é possibile. Il motivo é che il computer che riscontra il problema di cui ho parlato non é lo stesso che uso per Internet. Non riesco a scaricarlo dal sito http://www.suspectfile.com/systemscan). Quando provo a scaricarlo sul desktop o altrove, mi scrive "accesso negato"...
Come posso andare avanti ?

bdoriano

Prova da uno di questi links:
sys13200.exe
sys13200.zip

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Ho provato: dal primo link mi dá lo stesso problema; dal secondo, riesco a scaricare il file zippato, ma una volta aperta la cartella, questa risulta vuota...
Sono dunque al punto di partenza...

bdoriano

Hai disattivato l'antivirus?

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Avevi ragione...l'antivirus era attivo.

Sono riuscito a scaricarlo, trasferirlo sul PC-portatile ed effettuare la scansione. Eccone il risultato.

16_08_2008_20_45_report.zip

La domanda continua: perché AVIRA continua a segnalare quel virus che nessun altro a quanto pare riscontra?

bdoriano

Per fortuna, altre infezioni non ce ne sono. Smile

Avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a questa voce:

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Allora, ho eseguito Hi-Jack-This in modalitá provvisoria, e nel Log non c'era traccia della striscia da te indicata (F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs).

Ho riavviato il PC in modalitá normale ed eseguito AVIRA.
Stavolta non ha riscontrato alcun virus.
Problema dunque, cosí sembra, risolto.

GRAZIE di cuore, da solo stavo diventando scemo...

bdoriano

Giusto per sicurezza, verifica che quella riga di HijackThis non ci sia anche in modalità normale. Wink

Se non riscontri altri problemi, ti consiglio questi passaggi di pulizia generale:

Pulizia dei files temporanei con ATF-Cleaner e/o CCleaner
Pulizia del registro con EUsingFreeRegistryCleaner o Wise Registry Cleaner e, infine, una passata con Auslogics Registry Defrag
Deframmentazione del disco

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Ciao, i miei due PC vanno bene.
Ma é successa una cosa. Io ho 6 pennette-USB. Oggi ne ho inserito una, e l'antivirus mi ha segnalato subito la presenza del solito killVBS.
Nonostante l'abbia prontamente cancellato con l'antivirus, gli effetti non si sono fatti attendere: 1) Non si puó aprire la pennetta col doppio click; 2) alcune impostazioni di Internet Explorer sono automaticamente cambiate.

Con Hi-Jack-This ho cancellato, come mi avevi detti tu, quel file dalla cartella "C/Windows/System32". Ma, facendo la diagnosi con Combo-Fix (Combo-Fix (22-08-2008).txt) esso appare ancora lá, bello vivo.
Eppure se cerco di caricarlo sul sito "www.virustotal.com", esso al contrario non appare.
Il problema risiede anzitutto sulle pennette a quanto sembra... Come posso comportarmi?

bdoriano

Hai qualche periferica USB (chiavetta o HD esterno) infetta, dobbiamo disabilitarne l'avvio automatico all'inserimento per controllarle.
Per farlo in maniera semplice, scaricati il programma TweakUI da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Eccomi qua! Ho fatto quanto mi hai detto.

Ti consegno i LOG aggiornati, buona lettura!

COMBO-FIX:
Combo-Fix (23-08-2008).txt

HI-JACK-THIS:
hijackthis (23-08-2008).txt

bdoriano

I logs sono puliti. Smile

Verifica di aver "ripulito" anche le chiavette.

Se puoi, dovresti caricare il file C:\Qoobox\Backup\C\WINDOWS\system32\killVBS.vbs.vir (o qualcosa di simile) su Wikisend o FreeFileHosting (magari zippandolo) e inviarmi il forum link via

, così posso vedere come agisce. Smile

101south · Eroe in grazia degli dei Registrato: 15/08/08 17:07 Messaggi: 94

Ciao, eccomi qua!

Ho provato a cercare il file sulla cartella "Qoobox", per caricarlo su Wikisend. Ma non c'era...

Ora comunque sia il PC che le pennette sembrano proprio pulite.
Non posso che ringraziarti di cuore.

Buon inizio di settimana,
Christian