Olimpo Informatico

[frax_bigos]

Salve a tutti, avrei bisogno del vostro aiuto per rimuovere un trojan che mi ha gia' danneggiato il sitema operativo. Si tratta di clicker.cvf.
Mi ha costretto a formattare, ma subito dopo la formazzazione installo AVG e rieccolo sul mio PC!!!

1. Come e' possibile che dopo una formattaizone lo stesso virus sia ancora presente sul PC?

2. Qualche consiglio su come eliminarlo definitivamente?

Vi posto il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15.32.12, on 23/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSRaid] C:\Program Files\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

credo si tratti di quel maledetto service32, ma AVG mi ha trovato l'infezione sul file taskmgr32.dll

Vi prego! Aiutatemi! Ho gia perso dati importanti, non vorrei essere costretto a riformattare!

Ciao
Francesco

[holifay]

sì, il file infetto è service32.exe, ma probabilmente è creato da un altro file. Occorre individuare quello che lo genera

Ti intendi di registro di sistema? Aprilo con regedit.exe e naviga fino a questa chiave

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run

Dovrebbe essere vuota, ma in caso di Trojan clicker troverai nel pannello di destra un riferimento ad un file di sistema. E´ quello che genera il trojan clicker ed il service32. Cancella il riferimento dal pannello di destra di regedit e chiaramente anche il file

Quello che ti trova AVG ovviamente cancellalo e guarda anche in c:/windows se trovi file eseguibili con il nome uguale ad un numero. Ad esempio 982398479.exe

Altri file collegati al trojan sono :
c:/windows/syst32.dll
c:/windows/syshost.dll

Comunque se vuoi, posta il log di GMER (www.gmer.net). Scaricalo, clicca sul tab autostart >> Scan e copia/incolla qui il risultato

Ciao

[frax_bigos]

Ciao! grazie mille per l'aiuto.
Ho cancellato il file service32.exe ed il riferimento al file nel registro di sistema.
Non ho trovato gli altri due files (syst32.dll e syshost.dll)

ecco il log di gmer:

GMER 1.0.11.11384 - http://www.gmer.net
Autostart 2006-09-25 14:12:24
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Avg7Alrt /*AVG7 Alert Manager Server*/@ = C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
Avg7UpdSvc /*AVG7 Update Service*/@ = C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
AVGEMS /*AVG E-mail Scanner*/@ = C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
Spooler /*Print Spooler*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@SiSUSBRGC:\WINDOWS\SiSUSBrg.exe = C:\WINDOWS\SiSUSBrg.exe
@SiSPowerRundll32.exe SiSPower.dll,ModeAgent = Rundll32.exe SiSPower.dll,ModeAgent
@SoundManSOUNDMAN.EXE = SOUNDMAN.EXE
@SiSRaidC:\Program Files\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe = C:\Program Files\Silicon Integrated Systems\SiSRaidPackage\SRaid.exe
@AVG7_CCC:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP = C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@MSMSGS"C:\Program Files\Messenger\msmsgs.exe" /background = "C:\Program Files\Messenger\msmsgs.exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Display Panning CPL Extension*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} /*AVG7 Shell Extension*/C:\Program Files\Grisoft\AVG7\avgse.dll = C:\Program Files\Grisoft\AVG7\avgse.dll
@{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} /*AVG7 Find Extension*/C:\Program Files\Grisoft\AVG7\avgse.dll = C:\Program Files\Grisoft\AVG7\avgse.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Program Files\WinRAR\rarext.dll = C:\Program Files\WinRAR\rarext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Program Files\Grisoft\AVG7\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Program Files\Grisoft\AVG7\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Program Files\WinRAR\rarext.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Start Menu\Programs\Startup = Utility Tray.lnk

---- EOF - GMER 1.0.11 ----

Avrei un'altra domanda: sul PC ho due hard disc, non e' che il virus si trova proprio nell'altro HD?

Grazie ancora
Francesco

[holifay]

direi di no, dovrebbe installarsi in %windir%

Il log adesso mi sembra a posto. Hai trovato e cancellato il file taskmgr32.dll?
Probabilmente tu hai quello invece di syst32.dll. Un altro nome possibile è mdm32.dll

Ciao

[frax_bigos]

Trovato (anche con AVG) e cancellato, mdm32.dll non c'e'.
Ora spero che non si faccia piu' vivo!
Grazie per il tempestivo aiuto, te ne sono grato!
Ciao!

Francesco

[chemicalbit]

[frax_bigos]

[chemicalbit]

quindi hai instllato windows dopo aver spento o resettatoil pc, difficile che ia rimastoin memoria.

Però dici di aver scaricato AVG : ti sei connesso ad internet?

[frax_bigos]

Certo, mi sono connesso a internet ma ho solo effettuato una ricerca per trovare il sito di avg.

Comunque penso di aver capito: in effetti non ti ho detto una cosa.
Quando ho deciso di formattare, per non perdere tutto ho istallato un'altro HD sul quale ho istallato windows ed il vecchio l'ho usato come secondario.
Sul vecchio HD era ancora presente la cartella c:\windows quindi presumo che il virus era ancora presente sul secondo HD.

Avrei un'altra domanda che pero' riguarda un altro computer che uso in sala di registrazione. Stamattina l'ho avviato ed e' partita da sola l'utilità scandisc che mi ha trovato un errore sull'unita' F:\ (sono presenti 3 HD) arrivata ad un certo punto si e' bloccata. Ho riavviato il PC e non mi rilevava piu' l'HD primario (C:\). Sono andato nel bios e per l'HD primario non mi trovava niente. Ho messo "auto" e me lo ha rilevato. Ho riavviato ed ecco la bella sorpresina: non e' possibile avviare windows perche' un file di sistema .dll manca nella cartella principale di windows (non mi ricordo il nome del file).

Ho portato il PC in assistenza ed il tecnico mi ha detto che molto probabilmente qualche HD e' "partito".
Non e' che sostituendo quel file si puo' in qualche modo ripristinare windows senza perdere niente?
Esiste un modo per recuperare i dati da un HD nel caso in cui qualche file di sistema sia corrotto?

Ancora grazie
Francesco

[tore010]

Ciao
sinceramente non sono un grande esperto,,,infatti per un nulla formatto subito,,ma tante volre a formattare poi? Se il computer non cambia nulla!
Ho l'antivirus AGV
"ma ecco il problema,all'improviso ed a giorni quando sono in internet,,la pagina web scompare,,,oppure riavvia

cosa ho nel mio computer!


ciao tore

[chemicalbit]

scusami tore010, ma proprio non ho capito il tuo problema.

Potresti descriverlo meglio, con più dettagli?