Olimpo Informatico

[myland]

Mi si continuava a riavviare il portatile. Ho trovato il ttool (quello che crea un file .exe con tanti numeri, ora non li ricordo); è ancora residente sul mio pc.
Questo è il log, secondo voi cosa devo fare? Grazie in anticipo!

Andrea

Logfile of HijackThis v1.99.1
Scan saved at 22.17.48, on 01/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Corel\Graphics8\programs\MFIndexer.exe
C:\Programmi\HPQ\SHARED\HPQWMI.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Programmi\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\regedit.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\SpamPal\spampal.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programmi\vmntoolbar\vmntoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programmi\vmntoolbar\vmntoolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NielsenOnline] C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - Startup: SpamPal.lnk = C:\Programmi\SpamPal\spampal.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Controllo del Calendario di Ulead Photo Express.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O12 - Plugin for .UVR: C:\Programmi\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {96A10D6D-49EB-468E-BB36-A00DFE219147} (PhotoEdit Control) - http://joy.it.lgmobile.com/enjoy/photoeditor/UK/woweditor.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[Orange]

ciao, myland e benvenuto nel forum

dal log non risulta nulla, a parte che non stai usando nessun firewall...
pero sono in dubbio su questo:
O4 - HKLM\..\Run: [NielsenOnline] C:\Programmi\NetRatingsNetSight\NetSight\NielsenOnline.exe (lo conosci questo sito?)

il problema del riavvio potrebbe anche essere causato da qualcos'altro..
prova:
pulsante destro su risorse del computer--> proprietà--> Avanzate,
nella sezione "avvio e ripristino" clicca su "impostazioni"
togli togli la spunta da "riavvia automaticamente"

al primo problema, windows lascerà la schermata blu con un codice di errore, riporta qui quel codice.

[myland]

Ciao Orange, grazie per il benvenuto e per la risposta

Il firewall è integrato nel modem wireless, quindi non dovrebbero esserci problemi... quel programmino l'ha installato mio fratello, è tutto ok.

Stasera a casa provo il suggerimento che mi hai dato. Il mio grosso problema è che adesso ogni volta che accendo lo spyboat vieta a ttool di elimare la voce di registro 9129837.exe
Se non ho capito male è un trojan... se guardo nel registro non trovo quella voce. Lo spyboat (siccome per sbaglio gli ho fatto memorizzare l'azione) continua a respingere la modifia in loop.

[Orange]

allora aspetta, il file 9129837.exe è della famiglia di service32.exe e cioè di rootkit.

scarica questi due tool
della PREVX
di SIMANTEC

Scarica GMER

Decomprimi il programma
Avvialo,portati sul tag "Rootkit"
Clicca su "Scan"

Se individua il processo service32.exe come ***Hidden***
Cliccaci sopra con il tasto destro e seleziona KILL Process

lo Spy Bot lo devi momentaneamente disattivare, perche vieta le modifiche al registro

[otrebla900]

non sono felice ma ne hai bisogno, hai in virus infilato via posta che per l'esattezza si chiama Wroom e si inocula, dopo il riavvio, creando in file.exe nella cartella sistem32 ,se hai xp e mi pare che sia così, si nasconde grazie alla "signature microsoft" che porta al suo interno, è per questo che l'antivirus non lo rileva, ora calmati, la minaccia è alta ma la cura semplice, il file.exe mette la porta 46 in ascolto ed invia secondo la richiesta file, pw, e tutte le notizie che il tuo aggressore richiede, se fai uno scan.ip vedrai che invii ,a tua insaputa, una emile, e la ricevi anche, dall'indirizzo 121.01.1.1 detto "loopdor" o "back end" al momento non posso dirti perchè non li so' a memoria, gli "oggetto" e le "estensioni" con cui sguazza sul tuo disco fisso, anche perchè sono davvero tante.
La descrizione sommaria è questa: il modo per togliere tutti questi indesiderati è abbastanza facile però devi farlo a mano e non sperare in qualche programmino che ti aiuti perchè non lo fà, per i motivi descritti sù, però puoi iniziare a togliere lo smistatore di posta che osipiti: avviare il sistema in modalità provvisoria entrare come administrator e eliminare: C:\WINDOWS\System32\svchost.exe questi li vedo nel tuo post esono due ma è in seplice doppio avvio dello stesso sembrano sevizi "dell'oste" ma non è il tuo è dell'aggressore, infatti se vai poi a leggerlo vedi le sorprese, il resto te lo posto appena posso perchè e molto lungo.Ma una volta eliminata la talpa che essendo in un file di sitema diventa "propietario" quindi non rilevabile dagli antivirus, a questo punto forsre, forse, possono aiutarti degli antivirus ma non ci credo tanto devi andare a mano, qomunque dopo questa operazione pui cercare il file "SVCHOST" con cui il wrom è entrato e che genere il file svchost.exe e per il momento pui vivere molto meglio. appena posso ti posto il seguito ciao Alberto

[myland]

Non me lo lascia cancellare in nessun modo. Neppure da dos.
Ho cercato di rimuovere i processi attivi e win mi da 50 secondi prima di spegnersi. Al che sono riuscito a rinominarlo... il problema è che mi è andato a farsi benedire tutto il pc. ho reinstallato win, ma i problemi persistono e se ne sono aggiunti di altri (è una cagata, ma per esempio, non riesco più a mettere il theme tipico di win xp)
sono disperato...

ah, ovviamente spybot continua a negare la scrittura al ttool

[Orange]

scusa, ma quali consigli hai seguito???

[myland]

Orange, ho seguito i tuoi consigli, provati tutti ma niente... trova anche un processo hidden (l'exe col numero però), ma non me lo fa killare.
Ho provato a seguire il consiglio di rimuovere svchost, ma a quel punto è successo il degenero

[Orange]

riesci a fare il ripristino? PRIMA che hai fatto il casino... altrimenti l'unica soluzione è quella di fare il backup dei dati piu importanti e fare un bel C:/ format........... mi dispiace...


@otrebla900 La prossima volta astieniti a fare dei commenti quando un utente viene già seguito...

Per quanto le operazioni date da otrebla900 siano scorrette non vi è nessun problema nel fatto che un utente ne aiuti altro.
Inoltre è scorretto attaccare l'utente come hai fatto tu - edited by Smjert

[myland]

minch*a che p*rla che sono stato... dar retta ad un pivello
Cmq:
-ieri sera ho fatto il ripristino... + o - è tutto come prima, a parte il theme di win xp che non me lo fa riattivare, ma è il minore dei male
-il ttool tenta ancora di rimuovermi la solita voce
-il tool della symantec dice che non c'è nulla
-il gmer trova come processo hidden c:\windows\9129837.exe, ma non me lo fa killare. Trova anche delle modifiche nelle voci SSDT che hanno in comune il file hide_evr2.sys

Aggiornamento: mi si spento. Le info tecniche dicono:

STOP: 0x0000007F (0x0000000D 0x00000000 0x00000000 0x00000000)
Era questoc he ti serviva?

Credo sia tutto.

Ti ringrazio ancora per la tua pazienza!

Ateriscata frase un po' ... scurrile - n.d. chemicalbit, moderatore

[Orange]

[Smjert]

Nel caso tu non riesca a rimuovere quel file normalmente scarica Avenger (mettilo sul desktop).

Adesso avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte qui sotto:

[myland]

Mi hai letto nel pensiero
Stavo giusto tornando nel forum per dire che
-C:\WINDOWS\9129837.exe non lo riuscivo a trovare in nessun modo
-secondo me il problema stava nell'hide_evr2 (che rimuovevo da registro, ma si continuava a ricreare)

...e ho letto la tua risposta anticipatrice. Ho fatto tutto quanto, ti copio il log e ovviamente vi ringrazio ancora per la disponibilità nei miei confronti!


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\InetData


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | ttool


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gcxpxwin

*******************

Script file located at: \??\C:\WINDOWS\nltkwlcx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\9129837.exe deleted successfully.
File C:\WINDOWS\hide_evr2.sys deleted successfully.


File C:\Windows\trust.exe not found!
Deletion of file C:\Windows\trust.exe failed!

Could not process line:
C:\Windows\trust.exe
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2 deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HIDE_EVR2 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Smjert]

mmm ho sbagliato qualcosa nella sintassi delle prime due righe.. controlla questo post che ti metto il secondo script da avviare.

Ecco qua, fai la stessa cosa di prima con avenger ma nel box bianco copiaci questo:

[myland]

ecco qua


AGGIUNTA: strano, eppure esiste la inetdata e ha dentro le voci k1 e k2 che sono da rimuovere, giusto?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mqmfuptd

*******************

Script file located at: \??\C:\Documents and Settings\hpjjsiaq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKU\Software\Microsoft\InetData not found!
Deletion of registry key HKU\Software\Microsoft\InetData failed!
Status: 0xc0000034



Could not delete registry value HKU\Software\Microsoft\Windows\CurrentVersion\Run|ttool
Deletion of registry value HKU\Software\Microsoft\Windows\CurrentVersion\Run|ttool failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[Smjert]

Sei andato a vedere nel registro se era presente la chiave?
Se sì posta il percorso completo di dove si trova la chiave.

[myland]

HKEY_CURRENT_USER
Software
Microsoft
InetData

Mi pare identica a quello che avevi scritto tu :O


La trovo anche nella sottocartella S-1-5-21-1685406293-756592128-2684521207-500 di HKEY_USERS

[Smjert]

A questo punto cancella la chiave InetData dall'editor di registro.

[myland]

fatto!

[Smjert]

Come va ora?