Olimpo Informatico

[Blax]

Ciao a tutti,

purtroppo ho avuto la pessima idea di collegare al mio portatile tramite usb un hard-disk di un'altra persona non sapendo che era pieno di virus. Ora mi ritrovo con il pc lento che carica in continuazione, messaggi di errori e VirIT che mi continua ad avvisare di un certo virus Cherbunden o qualcosa del genere.
Ho fatto un log di Hijackthis, aiutatemi a scovare questi virus e a eliminarli, grazie mille (il pc è un po' vecchiotto quindi non vi stupite di vedere Windows 2000):


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.56.48, on 27/03/2010
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\setrysvc.exe
C:\WINNT\System32\semwltry.exe
C:\VEXPLITE\viritsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINNT\system32\bhfjtecgu.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\fonts\services.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINNT\System32\Rundll32.exe
C:\WINNT\System32\3931,193.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\WINNT\fonts\services.exe
F3 - REG:win.ini: run=C:\WINNT\fonts\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programmi\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [GCXX-Manager-Class] "C:\Programmi\Sony Ericsson\Wireless Manager\GCXXManager.exe" -startup
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programmi\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINNT\system32\bhfjtecgu.exe
O4 - HKLM\..\Run: [cbfufs] RUNDLL32.EXE C:\WINNT\system32\msqmoqhu.dll,w
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [exec] C:\WINNT\fonts\services.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219217542296
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C325A060-5C5C-47BF-807B-B6BA28DBF264}: NameServer = 192.168.1.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: setrysvc - Unknown owner - C:\WINNT\System32\setrysvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 4611 bytes

[lorenaino]

ciao,prova a fare una scansione con combofix e malwarebytes e posta i relativi log così gli esperti ti potranno aiutare.
Leggi questo topic per usare i sopradetti tools:

http://forum.zeusnews.com/viewtopic.php?t=26910

[Blax]

Mi trovo in seria difficoltà perchè non riesco a far partire nessuno di quei programmi.

Se faccio partire Combofix mi dice che il programma è stato compromesso probabilmente da un virus (virut), sia in modalità normale che in quella provvisoria.

Malwarebytes non me lo installa perchè a un certo punto mi da un errore.

Ho provato anche Elibagla ma anche lui mi dice che il file è stato modificato da un virus, sia in modalità normale che provvisoria.

Aiuto come posso fare?

[R16]

Ciao. Sei pieno come un uovo.
E se veramente hai il "Virut", hai poche speranze.
Eccoti un piccolo "assaggio":

http://forum.zeusnews.com/viewtopic.php?t=46694

Comunque proviamo:

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema.
http://forum.zeusnews.com/viewtopic.php?t=22084

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

F3 - REG:win.ini: load=C:\WINNT\fonts\services.exe
F3 - REG:win.ini: run=C:\WINNT\fonts\services.exe
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O4 - HKLM\..\Run: [MDM Rock 4] C:\WINNT\system32\bhfjtecgu.exe
O4 - HKLM\..\Run: [cbfufs] RUNDLL32.EXE C:\WINNT\system32\msqmoqhu.dll,w
O4 - HKLM\..\Policies\Explorer\Run: [exec] C:\WINNT\fonts\services.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

Segui questi percorsi, ed elimina i file in rosso:

C:\WINNT\system32\bhfjtecgu.exe
C:\WINNT\fonts\services.exe
C:\WINNT\System32\3931,193.exe
C:\WINNT\system32\msqmoqhu.dll

Fai una pulizia, (registro compreso) con CCleaner.

Riavvia il pc.

Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.

Segui le istruzioni di questo topic per usare Combofix: (Disistalla la versione che hai sul pc.)
http://forum.zeusnews.com/viewtopic.php?t=45224
N.B:
In fase di scaricamento, rinominalo con un nome di fantasia, come indicato nella guida.

Carica i log di MBAM, Combofix, su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link