Olimpo Informatico

[ziowill]

Ciao a tutti.
Primo messaggio.
Ho scoperto oggi Hijack This e mi hanno consigliato questo forum.
Posto il log, ringraziando in anticipo chi ha la bontà e la pazienza di dirmi qualcosa (soprattutto per quel sospetto Himemsyst.exe)
Ciao

Logfile of HijackThis v1.99.0
Scan saved at 13.10.53, on 24/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ESB.exe
C:\PNP\AUDIO\SOUNDMAN.EXE
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\HIMENSYST.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Documents and Settings\PC\Documenti\File di installazione\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.packardbell.it/center
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [Audio] C:\PNP\AUDIO\SOUNDMAN.EXE
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [Windows File Migration Wizard] HIMENSYST.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Windows File Migration Wizard] HIMENSYST.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=www.packardbell.it/center
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150484018323
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146907946253
O17 - HKLM\System\CS2\Services\Tcpip\..\{3F7D25BA-33A6-41CB-9E4B-9EBE74C766BE}: NameServer = 85.37.17.8 85.38.28.73
O23 - Service: Kaspersky Anti-Virus 6.0 - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[holifay]

Ciao, benvenuto nei nostri forum e scusa il ritardo nella risposta

Mi manderesti questo file HIMENSYST.EXE zippato a suspectfile.com? Il file è elencato da PrevX tra i nuovi malware, non ancora riconosciuti dalla maggior parte degli AV http://fileinfo.prevx.com/spyware/qq0d3423551345-HIME16577294/HIMENSYST.EXE.html

Dovresti controllare e cofermarmi che il processo Soundman che si trova in C:>PNP>AUDIO, appartiene effettivamente alla gestione della scheda audio, come sembra.

Avvia HijackThis, poi chiudi tutte le finestre lasciando aperto solo HijackThis. Clicca Do a System Scan only, metti un segno di spunta sulla casella accanto a queste voci e al temine premi Fix checked

[ziowill]

Prima di tutto, grazie per la risposta.
Allora, il file HIMENSYST.EXE, nella cartella c:\windows\system32 non c'è. Eppure, zone alarm continua a rilevarlo.
Quindi non posso postare il file. Adesso provvedo a fixare con hijack come hai detto, e poi vediamo..

Ciao e grazie ancora.

[ziowill]

Ah, dimenticavo. Il file SOUNDMAN dovrebbe essere proprio quello della scheda audio.

[holifay]

Cercalo dalla modalità provvisoria (F8 al boot), dopo aver visualizzato i file nascosti e di sistema:

[ziowill]

Fatto. Ho spedito il file zippato a suspectfile.com. Non so se il file dovevo spedirlo a qualche indirizzo particolare. Nel caso, dimmelo, che lo riposto.
Per quanto riguarda hijackThis, ho provato a fixare ma il file è sempre li. Devo farlo in modalità provvisoria? O dici di provare con Prevx?
Ciao

[holifay]

Se non riesci, prova dalla provvisoria, ma dovresti riuscire senza problemi anche dalla modalità normale. Devi mettere un segno di spunta nella casellina accanto a quelle due voci, poi chiudere tutte le applicazioni e le finestre del browser e premere Fix Checked.

Il file NON viene cancellato, ma solo le due voci dal log di HijackThis. Eliminandole anche il virus diventa inattivo perchè non è più caricato all´avvio.

Grazie per l´invio. Kasperky e Panda sono in grado di riconoscerlo e rimuoverlo: lo identifica come Win32.Rbot.gen. Oltre a Kaspersky e Panda solo pochi altro lo riconoscono (F-prot, Fortinet, Norman e Microsoft).

E´ un trojan che viene controllato via IRC, ruba le password FTP e di siti per pagamenti online come PayPal, conduce attacchi DoS e apre server Socks e Http sui PC infettati. Si trasmette sfruttando diverse vulnerabilità non corrette o installate da altri trojan.

Insomma.. è da eliminare. Entra in modalità provvisoria e cancellalo. Poi fai una scansione online con Kaspersky, alla fine salva il log e postalo qui insieme al nuovo log di HijackThis
http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html

Se non riesci a fare quella di Kaspersky, prova con la scansione di Panda: http://www.pandasoftware.com/activescan

Non dovresti averne bisogno, ma se proprio vuoi scaricare/installare PrevX fallo pure (è più che sicuro) solo che non so quanto dura la versione trial.

Ciao

[ziowill]

Grazie ancora e ciao.

[holifay]