Olimpo Informatico

maxjeezus · Mortale devoto Registrato: 28/02/07 15:53 Messaggi: 13

Salve a tutti, curiosando sul PC di mio figlio (col suo consenso naturalmente) ho notato la presenza di alcuni account utente dal nome incomprensibile creati, immagino, da un qualche virus maligno...

Ho fatto una scansione con VirIt trovando una chiave di registro che ho già cancellato, ho poi installato (al posto di AntivirPE che non si aggiornava più) Avast che ha trovato la dll NPNd2fn.dll, tra i plugins di Firefox, infettata da Win32:Adware-gen e l'ho buttata nel cestino.

Gli account presenti nella cartella Documents & settings sono:
Administrator
Administrator.BELFIORI
Administrator.BELFIORI.000
All Users
Default User
LocalService
NetworkService
QAxpEzfWXYnYg
UjPopYye
UTENTE (questo è l'account usato per accedere al PC)

A parte i due dal nome incomprensibile che ooviamente sono abusivi, gli altri sono tutti necessari?

Posto anche il log di Hijackthis nel quale ci sono un paio di voci sospette e resto in attesa del vostro aiuto.
Grazie e ciao a tutti.
Massimo & Jacopo

Logfile of HijackThis v1.99.1
Scan saved at 13.46.07, on 25/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\eMule0.47c\emule.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\CachemanXP\CachemanXP.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRAMMI\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule0.47c\emule.exe -AutoStart

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\Programmi\CachemanXP\CachemanXP.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\PROGRAMMI\VEXPLITE\viritsvc.exe

bdoriano · Inviato: 25 Apr 2007 13:49 Oggetto:

Gromozon o qualche sua variante.
Prova a scaricare uno di questi ed eseguirlo:
Prevx1
Symantec

oppure, segui questa guida

Cmq, nel log non vedo cose strane.
Se devi solo eliminare questi account, da Start\Esegui digita:
Control Userpasswords2
selezioni i 2 account strani (uno alla volta) e clicchi su "Rimuovi".

Gli altri account NON TOCCARLI!!! (solo per sicurezza).

holifay · Inviato: 25 Apr 2007 20:43 Oggetto:

Orange · Inviato: 25 Apr 2007 21:03 Oggetto:

holifay · Inviato: 25 Apr 2007 21:08 Oggetto:

Orange · Inviato: 25 Apr 2007 21:17 Oggetto:

bdoriano · Inviato: 26 Apr 2007 12:22 Oggetto:

Ciao holifay,

ammetto che non avevo cercato tra i links di zeusnews Embarassed

maxjeezus · Mortale devoto Registrato: 28/02/07 15:53 Messaggi: 13

Ho tentato di eliminaree i 2 profili come suggerito da Bdoriano ma sono ancora presenti. Mi son detto: "forse devo loggarmi come administrator" ma l'unico profilo disponibile all'avvio è quello col nome di mio figlio che dovrebbe anche avere i privilegi di amministratore.
Come procedo?

Segnalo un'altra stranezza che ieri avevo dimenticato: nell'elenco dei programmi installati c'è un certo "Meta paladin" che ad un tentativo di disinstallazione mi ha reindirizzato ad una pagina web (ma non ho preso nota dell'indirizzo) contenete un solo tasto con scritto "disinstallazione" . Ovviamente non l'ho cliccato ...

E ancora: un primo giro con il tool della prevx non segnala niente di anormale. Adesso provo anche con quello della symantec e poi vi faccio sapere.

Grazie e ciao a tutti, Massimo

maxjeezus · Mortale devoto Registrato: 28/02/07 15:53 Messaggi: 13

Scusate se vi do le informazioni a pezzi e bocconi ma m'è venuto in mente di curiosare anche nei servizi e c'è n'è uno, disattivato, che si chiama ONQHL e che fa riferimento ad un eseguibile inesistente nella cartella
C:\Documents and Settings\UTENTE\Impostazioni locali\Temp

Nella stessa cartella però c'è un file temp che non riesco a cancellare.

Grazie ancora, Massimo

maxjeezus · Mortale devoto Registrato: 28/02/07 15:53 Messaggi: 13

Ulteriore aggiornamento:
anche il Fixlinkopt della Symantec mi dice che Lynkoptimizer non è presente.

Riciao e rigrazie, Massimo

bdoriano · Inviato: 26 Apr 2007 20:02 Oggetto:

Se era il LinkOptimizer, probabilmente è stato reso innocuo.
Oppure era una delle sue recenti varianti.

Il fatto che i 2 account non vengano cancellati definitivamente è sintomo di servizi intestati a loro nome.

Sembra che si possano eliminare questi servizi utilizzando questo tool. Però non ti so dire come utilizzarlo perché non l'ho mai usato.

Spero che qualche altra anima pia possa darti maggiori indicazioni.

gfransb · Inviato: 26 Apr 2007 22:01 Oggetto:

holifay · Inviato: 26 Apr 2007 22:18 Oggetto:

maxjeezus, se hai voglia, fai un log con questo

Poi caricalo su www.easy-share.com e posta qui il link al file, così gli dò una occhiata. Se sei infetto o se hai dei residui, si vede

aris73 · Inviato: 27 Apr 2007 14:22 Oggetto:

potresti provare ad eseguire questa procedura apri il registro di sistema (Start--> Esegui--> regedit) trova la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e controllare se esiste una sottochiave \Explorer.exe
Se c'è, clicca sopra con il tasto destro e vai su Autorizzazioni. Seleziona il nome dell'account tuo e sotto spunta la casella Controllo completo/Consenti. Salva le modifiche ed elimina la sottochiave Explorer.exe
Prima di eliminarla però annota il nome ed il percorso del file che viene indicato nel valore Debugger della sottochiave Explorer.exe, anche questo file sarà da eliminare.

come da esempio
http://img125.imageshack.us/img125/9573/explorerdw9.jpg

ciao

maxjeezus · Mortale devoto Registrato: 28/02/07 15:53 Messaggi: 13

Eccomi di nuovo qui:
comincio a sospettare anch'io che i 2 profili siano il residuo di una vecchia infezione avvenuta un paio di mesi fa e che avevo "debellato" seguendo la guida di ZeusNews. In ogni caso alla fine sono riuscito a cancellarli.

Ho comunque utilizzato Suspectfile come suggerito: ecco il link per il log
http://w13.easy-share.com/1047971.html

Inoltre allego anche il log di Rootkitreveal che mi segnala 4 righe di registro sospette, cosa ne faccio?

HKU\S-1-5-21-1482476501-1767777339-725345543-500\RemoteAccess\InternetProfile 02/08/2006 18.30 19 bytes Data mismatch between Windows API and raw hive data.

HKLM\SECURITY\Policy\Secrets\SAC* 26/10/2004 23.25 0 bytes Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI* 26/10/2004 23.25 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 26/03/2007 17.23 0 bytes Key name contains embedded nulls (*)

Veramente grazie a tutti per i consigli, grazie e ancora grazie.
Ciao, Max

holifay · Dio maturo Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano

Si, sono il residuo di vecchie infezioni da gromozon. Scarica The Avenger ed estrai l´eseguibile sul desktop.

Seleziona il contenuto in grassetto qui sotto con il mouse e copialo negli appunti (premi CTRL+C)

Files to delete:
C:\DOCUME~1\UTENTE\IMPOST~1\Temp\ONQHL.exe

Folders to delete:
c:\documents and settings\UjPopYye
c:\documents and settings\QAxpEzfWXYnYg

Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|UjPopYye
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|QAxpEzfWXYnYg

registry keys to delete:
hklm\system\currentcontrolset\services\ONQHL

- avvia The Avenger e seleziona Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incolla quanto copiato sopra premendo Ctrl+V
- clicca Done
- clicca l´icona con il semaforo con la luce verde per avviare lo script
- rispondi Yes due volte

se il PC non si riavvia da solo, riavvialo manualmente. Al riavvio posta il contenuto del file c:/avenger.txt

maxjeezus · Mortale devoto Registrato: 28/02/07 15:53 Messaggi: 13

A dir la verità avevo già provveduto ad eliminare a manaccia i due profili incriminati, così come il servizio me l'ero tolto dai piedi grazie ad hijackthis, l'eseguibile nella cartella temp non c'è più, insomma erano rimaste le due righe del registro che ho tolto sempre "a mano", senza usare avenger.
Quindi niente log di avenger.
Per essere sicuri che la situazione sia risolta volete che posti un qualche log?

Grazie ancora di tutto e ciao, Max

holifay · Dio maturo Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano

per quanto mi riguarda è tutto a posto, comprese le voci trovate da RKR

maxjeezus · Mortale devoto Registrato: 28/02/07 15:53 Messaggi: 13

Pare che anche a me che sia tutto a posto...
Grazie ancora dell'aiuto e ciao, Massimo