Olimpo Informatico

[Spinnaker]

ciao a tutti
ho un problemone, si disattiva il security control center (lo riattivo a mano dai servizi, ma al riavvio e' ancora disattivato) e l'installazione degli antivirus come AVG, SpyBot, Kasper, Bitdefender, ecc (ne ho provati molti) si arresta in quanto il sistema ne cancella gli eseguibili (per AVG il file avgansvr.exe, per esempio).
Inoltre il sistema (Windows XP Prof. SP2) non si avvia in modalita' provvisoria ma si blocca.
Ho staccato il disco fisso e l'ho connesso come secondario su una seconda macchina e ho lanciato uno scan con AVG: ha trovato un file infettato con trojanHorse Proxy.FTE, eliminato il file e riattaccato il disco al pc.
Non e' cambiato nulla, il sistema continua a cancellarmi gli eseguibili degli antivirus.
Allego il log di HijackThis.



Logfile of HijackThis v1.99.1
Scan saved at 14:10:26, on 20/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\DESKTO~1\TLDL.EXE
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\HACE\Mmm\Mmm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Delux\PS2 Keyboard English Edition 2.0\kb_2k.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Paperinik\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O4 - HKLM\..\Run: [Desktop Lock Loader] C:\PROGRA~1\DESKTO~1\TLDL.EXE /BOOT
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Mmm] "C:\Programmi\HACE\Mmm\Mmm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Startup: PS2 Keyboard English Edition 2.0.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: PS2 Keyboard English Edition 2.0.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/230?95ce3bd55aa24d7ba3491c1fffd3a4dd
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/229?95ce3bd55aa24d7ba3491c1fffd3a4dd
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122288641359
O17 - HKLM\System\CCS\Services\Tcpip\..\{96E0F038-829A-46BB-BEE6-F9FD13A8FA24}: NameServer = 213.205.32.70,195.130.224.18
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe


Costruisco un monumento a chi mi riesce a dare una mano, un GRAZIE anticipato.

Bye,
Spinnaker

[holifay]

Ciao e benvenuto

dal log non vedo nulla

Scarica GMER (www.gmer.net) e fai due scansioni, una dal tab Rootkit e l´altra dal tab Autostart con l´opzione Show all attivata.

Poi copi i risultati e li incolli qui

[Spinnaker]

grazie...... purtroppo ci si sente solo nel momento del bisogno.....

il log e' chilometrico posso mandare uno zip?

Spinnaker

[Spinnaker]

intanto che lo genera.... ho scoperto che all'inizio tendeva ad aprire finestre di iexplore.exe che puntavano a vari siti tutti non pingabili ad una pagina mul2.php.

Spinnaker

[holifay]

non puoi mandare uno zip, ma puoi allegarlo su www.mytempdir.com

[Smjert]

Aspettando Holifay (per ora non vedo niente di strano nel tuo log, anche se hai un sacco di voci, ma nn vuol dire niente) sai cos'è questo file? C:\Programmi\HACE\Mmm\Mmm.exe
è qualcosa che hai installato tu? (perchè ho letto che potrebbe essere un malware).
Poi dato che non riesci a far partire gli antivirus ti consiglio di fare una scansione online con Panda e Kaspersky (scegli Kaspersky Online Scanner).

PS: OOPS c'ho messo 3 ore a scrivere e avevate già fatto una bella chiaccherata sorry XD

[Spinnaker]

ciao, MMM e' una utility che gestisce il menu contestuale, e ti permette di controllare le voci che escono col tasto destro del topolino..... la uso da un paio di anni senza problemi.

[Smjert]

Ok chiedo scusa ma mi sono confuso (dicono fosse il Map Maker di Winsnap)
Vi lascio...

[Spinnaker]

eccomi, il file generato da gmer e' qui:

http://www.mytempdir.com/940852

[Spinnaker]

ci deve essere qualche servizio, magari ellegato ai file tipo svchost, che monitorizza e fa danni, e' strano anche il fatto che cancella gli eseguibili degli antivirus....

[holifay]

Ciao, ho potuto guardarlo un po´ di fretta, spero basti così a risolvere

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in rosso


files to delete:
C:\WINDOWS\system32\hldrrr.exe

registry keys to delete:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\hldrrr

folders to delete:
C:\Documents and Settings\Paperinik

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Una volta riavviato il pc,collegati e posta il contenuto del file C:\Avenger.txt e i nuovi log di GMER. Per favore, seleziona show all solo per il tab autostart, non quello rootkit

Ciao

[Spinnaker]

hai scaricato il log dal sito?

[holifay]

sì, leggi sopra

[Spinnaker]

se cancello la directory
"C:\Documents and Settings\Paperinik "

non mi sego tutti i documenti, il desktop e compagnia bella?

[Spinnaker]

c'e' qualcosa che continua a disabilitare i servizi del "centro sicurezza pc", "il firewall" e "aggiornamenti automatici".

[holifay]

Paperinik era il tuo nome utente nel PC? Mi devi scusare, ma proprio non mi è venuto in mente

Pensavo ad un utente fake, come quelli creati da gromozon, dato che al suo interno c´era un rootkit che nascondeva la chiave di avvio di un trojan. Se hai cancellato la cartella avrai perso in effetti il tuo desktop e le impostazioni personalizzzate dei programmi.... sorry

Per favore, posta di nuovo i due log di GMER, con l´opzione show all attivata solo per il tab Autostart