Precedente :: Successivo |
Autore |
Messaggio |
maxjeezus Mortale devoto
Registrato: 28/02/07 15:53 Messaggi: 13
|
Inviato: 25 Apr 2007 13:16 Oggetto: Account indesiderati = Virus? |
|
|
Salve a tutti, curiosando sul PC di mio figlio (col suo consenso naturalmente) ho notato la presenza di alcuni account utente dal nome incomprensibile creati, immagino, da un qualche virus maligno...
Ho fatto una scansione con VirIt trovando una chiave di registro che ho già cancellato, ho poi installato (al posto di AntivirPE che non si aggiornava più) Avast che ha trovato la dll NPNd2fn.dll, tra i plugins di Firefox, infettata da Win32:Adware-gen e l'ho buttata nel cestino.
Gli account presenti nella cartella Documents & settings sono:
Administrator
Administrator.BELFIORI
Administrator.BELFIORI.000
All Users
Default User
LocalService
NetworkService
QAxpEzfWXYnYg
UjPopYye
UTENTE (questo è l'account usato per accedere al PC)
A parte i due dal nome incomprensibile che ooviamente sono abusivi, gli altri sono tutti necessari?
Posto anche il log di Hijackthis nel quale ci sono un paio di voci sospette e resto in attesa del vostro aiuto.
Grazie e ciao a tutti.
Massimo & Jacopo
Logfile of HijackThis v1.99.1
Scan saved at 13.46.07, on 25/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\eMule0.47c\emule.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\CachemanXP\CachemanXP.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRAMMI\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule0.47c\emule.exe -AutoStart
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\Programmi\CachemanXP\CachemanXP.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\PROGRAMMI\VEXPLITE\viritsvc.exe |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 25 Apr 2007 13:49 Oggetto: |
|
|
Gromozon o qualche sua variante.
Prova a scaricare uno di questi ed eseguirlo:
Prevx1
Symantec
oppure, segui questa guida
Cmq, nel log non vedo cose strane.
Se devi solo eliminare questi account, da Start\Esegui digita:
Control Userpasswords2
selezioni i 2 account strani (uno alla volta) e clicchi su "Rimuovi".
Gli altri account NON TOCCARLI!!! (solo per sicurezza). |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 25 Apr 2007 20:43 Oggetto: |
|
|
...quando gli altri siti brancolavano nel buio, ZeusNews aveva già la sua guida per la rimozione manuale di gromozon. |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 25 Apr 2007 21:03 Oggetto: |
|
|
holifay ha scritto: | ..quando gli altri siti brancolavano nel buio, ZeusNews aveva già la sua guida per la rimozione manuale di gromozon. |
Holifay, quale onore!!
stai facendo un gran lavoro al SuspectFile complimenti!!
scusate l'OT-- sarà l'emozione |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 25 Apr 2007 21:08 Oggetto: |
|
|
Orange ha scritto: | Holifay, quale onore!!
stai facendo un gran lavoro al SuspectFile complimenti!!
scusate l'OT-- sarà l'emozione |
ci conosciamo, per caso?
piacere mio, comunque
così raddoppiamo l'OT |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 25 Apr 2007 21:17 Oggetto: |
|
|
holifay ha scritto: | ci conosciamo, per caso? |
adesso sì...
seguo il tuo blog... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 26 Apr 2007 12:22 Oggetto: |
|
|
Ciao holifay,
ammetto che non avevo cercato tra i links di zeusnews |
|
Top |
|
|
maxjeezus Mortale devoto
Registrato: 28/02/07 15:53 Messaggi: 13
|
Inviato: 26 Apr 2007 18:09 Oggetto: |
|
|
Ho tentato di eliminaree i 2 profili come suggerito da Bdoriano ma sono ancora presenti. Mi son detto: "forse devo loggarmi come administrator" ma l'unico profilo disponibile all'avvio è quello col nome di mio figlio che dovrebbe anche avere i privilegi di amministratore.
Come procedo?
Segnalo un'altra stranezza che ieri avevo dimenticato: nell'elenco dei programmi installati c'è un certo "Meta paladin" che ad un tentativo di disinstallazione mi ha reindirizzato ad una pagina web (ma non ho preso nota dell'indirizzo) contenete un solo tasto con scritto "disinstallazione" . Ovviamente non l'ho cliccato ...
E ancora: un primo giro con il tool della prevx non segnala niente di anormale. Adesso provo anche con quello della symantec e poi vi faccio sapere.
Grazie e ciao a tutti, Massimo |
|
Top |
|
|
maxjeezus Mortale devoto
Registrato: 28/02/07 15:53 Messaggi: 13
|
Inviato: 26 Apr 2007 18:20 Oggetto: |
|
|
Scusate se vi do le informazioni a pezzi e bocconi ma m'è venuto in mente di curiosare anche nei servizi e c'è n'è uno, disattivato, che si chiama ONQHL e che fa riferimento ad un eseguibile inesistente nella cartella
C:\Documents and Settings\UTENTE\Impostazioni locali\Temp
Nella stessa cartella però c'è un file temp che non riesco a cancellare.
Grazie ancora, Massimo |
|
Top |
|
|
maxjeezus Mortale devoto
Registrato: 28/02/07 15:53 Messaggi: 13
|
Inviato: 26 Apr 2007 18:50 Oggetto: |
|
|
Ulteriore aggiornamento:
anche il Fixlinkopt della Symantec mi dice che Lynkoptimizer non è presente.
Riciao e rigrazie, Massimo |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 26 Apr 2007 20:02 Oggetto: |
|
|
Se era il LinkOptimizer, probabilmente è stato reso innocuo.
Oppure era una delle sue recenti varianti.
Il fatto che i 2 account non vengano cancellati definitivamente è sintomo di servizi intestati a loro nome.
Sembra che si possano eliminare questi servizi utilizzando questo tool. Però non ti so dire come utilizzarlo perché non l'ho mai usato.
Spero che qualche altra anima pia possa darti maggiori indicazioni. |
|
Top |
|
|
gfransb Semidio
Registrato: 09/02/06 19:41 Messaggi: 292 Residenza: Bologna
|
Inviato: 26 Apr 2007 22:01 Oggetto: |
|
|
bdoriano ha scritto: | Spero che qualche altra anima pia possa darti maggiori indicazioni. |
Basta chiedere
Gli account
Administrator.BELFIORI
Administrator.BELFIORI.000
Vengono generalmente creati in caso di reinstallazione di Windows o se l'utente principale viene rinominato. E' meglio lasciarli stare.
All Users
Default User
LocalService
NetworkService
sono regolari, anche questi non vanno eliminati.
QAxpEzfWXYnYg
UjPopYye
Questi invece puoi cancellarli, dovrebbero essere residui di LinkOptimizer. Il Fix per LinkOptimizer va fatto girare dalla modalità provvisoria (premere F8 all'avvio) e dalla modalità provisoria è anche possibile accedere dall'account Administrator che dovrebbe consentirti di cancellarli. Sempre dalla modalità provvisoria fai andare CCleaner o analogo programma suggerito da Bdoriano per pulire le cartelle Temporanee.
Un'altro controllo manuale che puoi fare è di andare in Pannello di Controllo > Installazione Applicazioni e togliere tutti i programmi sospetti (in genere di piccole dimensioni e senza descrizione alcuna) o che non hai consapevolmente installato tu. Meta Paladin è uno di quelli da disinstallare. E l'unica maniera per farlo è cliccare sul collegamento "Uninstall" della pagina Internet che si presenta.
Non aver timori, anche un eventuale tracciamento può essere vanificato facendo succesivamente girare i programmi di pulizia e antispyware.
Poi facci un sunto di come va. |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 26 Apr 2007 22:18 Oggetto: |
|
|
maxjeezus, se hai voglia, fai un log con questo
Poi caricalo su www.easy-share.com e posta qui il link al file, così gli dò una occhiata. Se sei infetto o se hai dei residui, si vede |
|
Top |
|
|
aris73 Eroe in grazia degli dei
Registrato: 26/04/07 21:33 Messaggi: 102
|
Inviato: 27 Apr 2007 14:22 Oggetto: |
|
|
potresti provare ad eseguire questa procedura apri il registro di sistema (Start--> Esegui--> regedit) trova la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e controllare se esiste una sottochiave \Explorer.exe
Se c'è, clicca sopra con il tasto destro e vai su Autorizzazioni. Seleziona il nome dell'account tuo e sotto spunta la casella Controllo completo/Consenti. Salva le modifiche ed elimina la sottochiave Explorer.exe
Prima di eliminarla però annota il nome ed il percorso del file che viene indicato nel valore Debugger della sottochiave Explorer.exe, anche questo file sarà da eliminare.
come da esempio
http://img125.imageshack.us/img125/9573/explorerdw9.jpg
ciao |
|
Top |
|
|
maxjeezus Mortale devoto
Registrato: 28/02/07 15:53 Messaggi: 13
|
Inviato: 02 Mag 2007 08:12 Oggetto: |
|
|
Eccomi di nuovo qui:
comincio a sospettare anch'io che i 2 profili siano il residuo di una vecchia infezione avvenuta un paio di mesi fa e che avevo "debellato" seguendo la guida di ZeusNews. In ogni caso alla fine sono riuscito a cancellarli.
Ho comunque utilizzato Suspectfile come suggerito: ecco il link per il log
http://w13.easy-share.com/1047971.html
Inoltre allego anche il log di Rootkitreveal che mi segnala 4 righe di registro sospette, cosa ne faccio?
HKU\S-1-5-21-1482476501-1767777339-725345543-500\RemoteAccess\InternetProfile 02/08/2006 18.30 19 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 26/10/2004 23.25 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 26/10/2004 23.25 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 26/03/2007 17.23 0 bytes Key name contains embedded nulls (*)
Veramente grazie a tutti per i consigli, grazie e ancora grazie.
Ciao, Max |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 02 Mag 2007 14:09 Oggetto: |
|
|
Si, sono il residuo di vecchie infezioni da gromozon. Scarica The Avenger ed estrai l´eseguibile sul desktop.
Seleziona il contenuto in grassetto qui sotto con il mouse e copialo negli appunti (premi CTRL+C)
Files to delete:
C:\DOCUME~1\UTENTE\IMPOST~1\Temp\ONQHL.exe
Folders to delete:
c:\documents and settings\UjPopYye
c:\documents and settings\QAxpEzfWXYnYg
Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|UjPopYye
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList|QAxpEzfWXYnYg
registry keys to delete:
hklm\system\currentcontrolset\services\ONQHL
- avvia The Avenger e seleziona Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incolla quanto copiato sopra premendo Ctrl+V
- clicca Done
- clicca l´icona con il semaforo con la luce verde per avviare lo script
- rispondi Yes due volte
se il PC non si riavvia da solo, riavvialo manualmente. Al riavvio posta il contenuto del file c:/avenger.txt |
|
Top |
|
|
maxjeezus Mortale devoto
Registrato: 28/02/07 15:53 Messaggi: 13
|
Inviato: 02 Mag 2007 15:45 Oggetto: |
|
|
A dir la verità avevo già provveduto ad eliminare a manaccia i due profili incriminati, così come il servizio me l'ero tolto dai piedi grazie ad hijackthis, l'eseguibile nella cartella temp non c'è più, insomma erano rimaste le due righe del registro che ho tolto sempre "a mano", senza usare avenger.
Quindi niente log di avenger.
Per essere sicuri che la situazione sia risolta volete che posti un qualche log?
Grazie ancora di tutto e ciao, Max |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 02 Mag 2007 15:49 Oggetto: |
|
|
per quanto mi riguarda è tutto a posto, comprese le voci trovate da RKR |
|
Top |
|
|
maxjeezus Mortale devoto
Registrato: 28/02/07 15:53 Messaggi: 13
|
Inviato: 02 Mag 2007 17:46 Oggetto: |
|
|
Pare che anche a me che sia tutto a posto...
Grazie ancora dell'aiuto e ciao, Massimo |
|
Top |
|
|
|