Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
RasApi32.dll (Trojan.Win32.Agent.amf)
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 16 Nov 2007 16:44    Oggetto: Rispondi citando

Ciao atutti,sono un nuovo arrivato e ho un problema simile,apro alice adsl e mi esce un riquadro con scritto impossibile avviare l'applicazione specificata.RASAPI32.dll non è stato trovato.una nuova installazione dell'applicazione potrebbe risolvere il problema.Cosa devo fare?Ho provato a disinstallare Alice adsl e non me lo disinstalla...aiutooooo
Sad d'oh!
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 17:19
Messaggi: 1619
Residenza: Perso nella rete

MessaggioInviato: 16 Nov 2007 17:48    Oggetto: Rispondi citando

Benvenuto!

Fai girare HijackThis come indicato qui, e poi FindAWF come indicato qui.

Se vuoi ti puoi presentarti qui Wink
Top
Profilo Invia messaggio privato HomePage
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 12:48    Oggetto: Rispondi citando

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.41.08, on 17/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\cartella hijackthis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
ora cosa devo fare? grazie comunque della vostra disponibilità.
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 17:19
Messaggi: 1619
Residenza: Perso nella rete

MessaggioInviato: 17 Nov 2007 12:54    Oggetto: Rispondi citando

Strano che sia così corto..
L'hai fatto da modalità normale usando un account amministratore?

Comunque devi far girare anche FindAWF (l'ho scritto nel post precedente Wink ).
Top
Profilo Invia messaggio privato HomePage
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 13:41
Messaggi: 1920
Residenza: Italy

MessaggioInviato: 17 Nov 2007 12:54    Oggetto: Rispondi citando

il log di hijackthis è copiato solo a metà, fai attenzione e ricopialo tutto...

manca inoltre la scansione, come diceva Smjert, con FindAWF
Top
Profilo Invia messaggio privato HomePage
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 13:41
Messaggi: 1920
Residenza: Italy

MessaggioInviato: 17 Nov 2007 13:02    Oggetto: Rispondi citando

Smjert ha scritto:
Strano che sia così corto..
L'hai fatto da modalità normale usando un account amministratore?

Comunque devi far girare anche FindAWF (l'ho scritto nel post precedente Wink ).


OT: Paripost! /OT 8)
Top
Profilo Invia messaggio privato HomePage
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 13:03    Oggetto: Rispondi citando

Questo è invece il log di find awf

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE

Directory di C:\PROGRA~1\APOINT2K\BAK

19/10/2001 13.46 118.784 Apoint.exe
1 File 118.784 byte
2 Directory 8.124.788.736 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE

Directory di C:\PROGRA~1\LAUNCH~1\BAK

29/05/2002 12.53 139.264 QtaET2S.EXE
1 File 139.264 byte
2 Directory 8.124.788.736 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 8.124.784.640 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE

Directory di C:\VIRUSF~1\BIN\BAK

31/05/2006 10.22 135.168 ZLH.EXE
1 File 135.168 byte
2 Directory 8.124.784.640 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE

Directory di C:\WINDOWS\SYSTEM32\BAK

10/09/2002 13.00 13.312 ctfmon.exe
1 File 13.312 byte
2 Directory 8.124.784.640 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE

Directory di C:\WINDOWS\TEMP\BAK

10/09/2002 13.00 65.024 xzsmaa.exe
1 File 65.024 byte
2 Directory 8.124.784.640 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 3CC3-68FE

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

08/12/2003 17.35 32.768 PDVDServ.exe
1 File 32.768 byte
2 Directory 8.124.784.640 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

118784 19 Oct 2001 "C:\Programmi\Apoint2K\bak\Apoint.exe"
139264 29 May 2002 "C:\Programmi\Launch Manager\bak\QtaET2S.EXE"
135168 31 May 2006 "C:\VIRUSfighter\Bin\bak\ZLH.EXE"
13312 10 Sep 2002 "C:\WINDOWS\system32\ctfmon.exe"
13312 10 Sep 2002 "C:\WINDOWS\system32\bak\ctfmon.exe"
65024 10 Sep 2002 "C:\WINDOWS\Temp\bak\xzsmaa.exe"
32768 8 Dec 2003 "C:\Programmi\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe"


end of report
Top
Profilo Invia messaggio privato
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 13:41
Messaggi: 1920
Residenza: Italy

MessaggioInviato: 17 Nov 2007 13:09    Oggetto: Rispondi citando

scarica avenger
aprilo
vai su input script manually
poi sulla lente
copia quanto segue:

Files to delete:
C:\WINDOWS\system32\ctfmon.exe

Files to move:
C:\Programmi\Apoint2K\bak\Apoint.exe | C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\Launch Manager\bak\QtaET2S.EXE | C:\Programmi\Launch Manager\QtaET2S.EXE
C:\VIRUSfighter\Bin\bak\ZLH.EXE | C:\VIRUSfighter\Bin\ZLH.EXE
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe


poi vai su done
poi sul semaforino
acconsenti
a questo punto il computer dovrebbe riavviarsi, altrimenti fallo tu
al riavvio posta il contenuto dle blocco note che apparirà...

sappici dire come va

Ciao
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 17 Nov 2007 13:16    Oggetto: Rispondi citando

NO! Shocked

Non eseguire lo script proposto da ste_95!!!

NESSUNO dei files indicati da FindAWF contiene virus.

Il virus di Instant Access si riconosce per la dimensione (tra i 20KB e i 24KB circa) e la data (hanno tutti la stessa data). Nessun file presente nel log soddisfa quelle 2 condizioni.

Non è con la fretta che si risolvono le infezioni.
Top
Profilo Invia messaggio privato
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 13:41
Messaggi: 1920
Residenza: Italy

MessaggioInviato: 17 Nov 2007 13:22    Oggetto: Rispondi citando

Silenced Silenced Silenced Silenced

pensavo fosse in grado di camuffarsi...

Silenced Silenced Silenced Silenced
Top
Profilo Invia messaggio privato HomePage
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 15:17    Oggetto: Rispondi citando

e allora che faccio?
ma va bene il log di hijackthis?
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 15:27    Oggetto: Rispondi citando

Scusatemi,avevate ragione il log era stato copiato solo a metà,ora vi riporto di seguito il log completo,grazie.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.41.08, on 17/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.exe
C:\Programmi\OpenOffice.org 2.3\program\soffice.BIN
C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\cartella hijackthis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programmi\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)

--
End of file - 3215 bytes
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 12:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 17 Nov 2007 15:45    Oggetto: Rispondi citando

ciao david76 e benvenuto anche da parte mia. Smile

il Log HJT mi sembra pulito.
domanda: avevi già fatto i passaggi descritti in quel thread? (quelli di sostituire il file rasapi32.dll infetto con uno pulito, per capirci..)
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 16:12    Oggetto: Rispondi citando

si,solo che ora quando apro alice adsl mi da questo messaggio:impossibile trovare il punto d'ingresso RasfreshKerbCreds della procedura nella libreria di collegamento dinamico rasman.dll
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 17 Nov 2007 16:42    Oggetto: Rispondi citando

Il problema è dato dal fatto che il file RASAPI32.DLL che hai installato è per XP Service Pack 2, mentre tu hai installato solo il Service Pack 1.

Primo consiglio:
Scarica e installa il service pack 2 prima possibile, mi raccomando!!! Old

Poi, prova questa procedura:
ab12c3 ha scritto:
SOLUZIONE SUGGERITAMI (che ho eseguito):
verificare con una ricerca su C: e sue sottocartelle se cercando il nomefile "rasapi*.*" ne uscivano più ricorrenze; in caso positivo queste dovevano essere "quanto meno" le seguenti:

- rasapi32.dl_ : file di tipo compresso, mi hanno spiegato, da conservare;
- rasapi32.dll : nella cartella c:\windows\sistem32\ ; potenziale file inserito dal virus con lo stesso nome e al posto del file Windows originale;
- rasapixxxx.dll : nella stessa cartella system32; dove xxxx sta per un numero diverso dall'originale "32": io avevo un "rasapi86.dll"
- eventuali altri "rasapi32".

Dunque il rasapi32 corretto era stato rinominato a rasapi86 (per questo motivo le chiamate al file Windows originale andavano a vuoto) e al suo posto c'era un rasapi32 "fasullo" e di DIMENSIONI DIVERSE da quello rinominato "...86" dal virus; gli altri falsi rasapi32 si riconoscevano anche perchè avevano le stesse dimensioni di quello infilato dal virus in system32 !

Gli ulteriori falsi rasapi32, nel mio caso, stavano in 2 sottocartelle di system32, nel cui path comparivano "ntuninstall" e "softwaredownload".

A questo punto, in linea logica bastava cancellare i falsi rasapi32 e rinominare il rasapi86 a rasapi32. Tuttavia, essendo facilmente alcuni di questi file in uso da qualche processo, il modo più certo di eliminarli che mi hanno indicato è:

- fare un riavvio del PC
- andare in modalità manutenzione premendo F8 appena il PC riparte
- dalla schermata che compare scgliere "modalità provvisoria con prompt dei comandi" (alcuni PC danno modo di scegliere subito la modalità DOS, il mio no, ad es.)
- scegliere il sistema operativo con cui si vuole operare in provvisoria nel caso mio solo Windows XP (non ho l'opzione DOS)
- eventualmente riaccertarsi della posizione dei diversi rasapi tramite comando "dir rasapi*.* /s"
- fare erase dei rasapi32.dll nelle varie cartelle in cui compaiono (NON VA FATTO INVECE ERASE DI "rasapi32.dl_")
- fare rename di rasapixxxx in rasapi32 nella sottocartella system32 (nel mio caso era rasapi86, ma può essere un numero diverso ! )
- riavviare il sistema in modalità normale
- nel mio caso le Connessioni di Rete erano nuovamente funzionanti e non ho neppure dovuto ridefinire le connesisoni ai diversi provider, le ho ritrovate intatte come prima del guasto.

Spero sia utile, auguri a tutti --- ab12c3

Se ci sono dei passaggi poco chiari, chiedi pure. Wink
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 17 Nov 2007 17:37    Oggetto: Rispondi citando

Grazie,adesso provo a eseguire i vostri suggerimenti.
Grazie
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14296
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 18 Nov 2007 08:35    Oggetto: Rispondi citando

Una volta che hai finito con quei passaggi, collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.
Top
Profilo Invia messaggio privato
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 18 Nov 2007 11:15    Oggetto: Rispondi citando

Intanto vorrei ringraziarvi per la vostra disponibilità.Di quei passaggi ho fatto solo il primo,cioè ho scaricato il servicepack2 e l' ho installato.Ora che il problema sembra risolto devo fare lo stesso il secondo passaggio?
Grazie ancora.
Top
Profilo Invia messaggio privato
ste_95
Dio maturo
Dio maturo


Registrato: 03/08/07 13:41
Messaggi: 1920
Residenza: Italy

MessaggioInviato: 18 Nov 2007 11:22    Oggetto: Rispondi citando

per sicurezza sarebbe bene di si...non è comunque essenziale..come vuoi tu
Top
Profilo Invia messaggio privato HomePage
david76
Mortale devoto
Mortale devoto


Registrato: 16/11/07 16:36
Messaggi: 17

MessaggioInviato: 18 Nov 2007 11:52    Oggetto: Rispondi

Sinceramente ho provato, ho cliccato F8 all' avvio del computer ho seguito le tue ulteriori indicazioni solo che non ho capito bene il passaggio di rinominazione del file infetto.Scusa la mia ignoranza ma potresti spiegarmelo più semplicemente?Grazie ancora.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi