Olimpo Informatico

[lori63]

Ho un pc portatile con Windows XP.
Tempo fa il browser Exploree ha iniziato ad avere comportamenti strani tipi reindirizzamenti a pagine non richieste.
Ho cercato di disinstallarlo con scarsi risultati ed ho continuato usando netscape e firefox.
Da qualche tempo la riaccensione e' lentissima ed vari antivirus (norton virit nod32) hanno identificato e tolto numerosi virus.

ho fatto piu' volte la scansione anche con VIRIT(anche in modalita' provvisoria)
ma il virus sul registro ed altri 8 file infettai non si tolgono.

vi accludo il log fatto con Hijackthis.

Grazie...

Logfile of HijackThis v1.99.1
Scan saved at 16.37.35, on 21/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Netscape\Navigator 9\navigator.exe
C:\DOCUME~1\Vasile\IMPOST~1\Temp\Rar$EX00.209\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgsoft.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul0.dll
O2 - BHO: Invoke Class - {4ECB0596-9689-47a4-8F1D-732B88B59C02} - C:\WINDOWS\system32\4531.dll
O2 - BHO: ff Class - {B9751A53-4494-4d7c-9732-AE3058D8145F} - C:\WINDOWS\system32\4531.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul0.dll
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPHUPD05] C:\Programmi\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [N2PTray] C:\Program Files\Net2Phone\Net2fone.exe /boot
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\RunOnce: [imrur] %systemroot%\system32\Rundll32.exe %systemroot%\system32\imrur.dll,DllUnregisterServer
O4 - HKLM\..\RunOnce: [w1ctyqqkk] %systemroot%\system32\Rundll32.exe %systemroot%\system32\w1ctyqqkk.dll,DllUnregisterServer
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\RunOnce: [SpywareTerminatorScan] "C:\Programmi\Spyware Terminator\SpywareTerminator.exe" /SCAN
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Programma di lancio per TrueSync.lnk = C:\Programmi\Starfish\TrueSync\TSTool.exe
O4 - Global Startup: Image Transfer.lnk = C:\Programmi\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Access Internet Keyword - C:\Program Files\OCINS\cnrbtn.html
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: (no name) - {B012491E-8FA4-4851-AA9B-22E33784FBAD} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {0C302B0A-9DB9-479F-A710-4E34960976E8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {2057E707-FA09-451B-972F-9CFBA9F2423C} (Tiscali702) - http://www.tiscali.it/cabs/Tiscali702.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Windows Management Prints System (spoo1v) - Unknown owner - spoo1v.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

[Sante62]

Ciao lori63
Hai ancora i log delle scansioni antivirus che hai già fatto?
Tanto per sapere che tipi di malware hanno trovato.
Prima di avviare HJT mettilo in una sua cartella non temporanea e non sul desktop.
Avvia HJT e spunta a sinistra queste righe:

[lori63]

[ste_95]

Segui alla lettera questo post per postare i logs di GMER, Attenzione, è importante farli entrambi!

[lori63]

ECCO IL LINK
[URL="http://www.freefilehosting.net/files/Mzk3OTI="]GMERLORI63.rtf[/URL]

http://www.freefilehosting.net/download/Mzk3OTI=

ora faccio la seconda parte..

[ste_95]

attendo l'altro che in questo caos è il più importante...

per ora nella lista nera ci sono:

spoo1v /*Windows Management Prints System*/@ = spoo1v.exe /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@ox90c5qi = rundll32 "C:\WINDOWS\Downlo~1\ox90c5qi.dll",Run

[Sante62]

Se non erro vedo tracce di rootkit:
iak43w - iak43w32\DRIVERS\iak43w.sys - System32\DRIVERS\iak43w.sys
xggsq - xggsqm32\DRIVERS\xggsq.sys - System32\DRIVERS\xggsq.sys
che ovviamente non sono stati eliminati da Virit.
Scarica Rustbfix
e fai la scansione del PC.
Se viene trovata l'infezione verrà chiesto di riavviare, riavvia il computer.
Probabilmente il computer si riavvierà due volte una dopo l'altra, è normale.
Come sempre alla fine posta il risultato con un log aggiornato di Hijackthis.

[lori63]

eccovi il secondo link..
ho chiuso tutto quello che potevo.

grazie ancora..

GMERSECONDO.rtf

[Sante62]

I processi sospetti si vedono anche in quest'altro log.
Guarda il mio post di qualche minuto fa.

[lori63]

ok capo!

Grazie.

(ps. non mi sembra vero avere risposte cosi' veloci e in italiano...)

[lori63]

ops...

troppo veloce?

************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
22/11/2007 16.01.14,26

No Rustock.b-rootkits found

******************************* End of Logfile ********************************

[Sante62]

OK, adesso facciamo un altro controllo. Scarica Systemscan
e posta il log come indicato. Non lo postare quì perchè è troppo lungo e verrebbe tagliato.

PS: Perchè, ti aspettavi risposte in inglese?

[lori63]

http://www.freefilehosting.net/download/Mzk4NjM=

[URL="http://www.freefilehosting.net/files/Mzk4NjM="]22_11_2007_18_08_report.zip[/URL]

ECCO IL LOG.

[lori63]

p.s.
avevo trovato tutti forum in inglese..

[Sante62]

Strano non ho visto quello che mi aspettavo.
Appoena possibile, collegati a Kaspersky online scanner
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus ed eventualmente anche il firewall. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato.

[lori63]

devo per forza usare IExplorer?

[Sante62]

Con Kaspersky si, ma non ti preoccupare, è solo una cosa momentanea.

[lori63]

MESSAGGIO!!

UPDATE PROCESS FAILED. nO FURTHER antivirus can be performed!
Attentio, you must be online to activate Kaspersky Online Scanner, since the latest Anti-Virus bases versionmust be downloaded prior to scan.
Otherwise we cannot guarantee detection of latest viruses. [21]

provo a dare ok..

niente:

update filed!

che faccio?

[lori63]

Buongiorno..

sono riuscita poi a fare la scansione online.

questo e' il file HTML
http://www.freefilehosting.net/download/NDAxMDM=

grazie..

[ste_95]

diciamo che c'è un po' di tutto ....

allora...

Disattiva il ripristino e avvia in modalità provvisoria

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\Programmi\eMule\Incoming\file scaricatiemule\Ron & Friends - Ma Quando Dici Amore.rar
C:\Programmi\eMule\Incoming\file scaricatiemule\Discografia completa - Samuele Bersani.rar
C:\Documents and Settings\Vasile\Dati applicazioni\Microsoft\Internet Explorer\Quick Launch\Mostra Desktop.rar
C:\Documents and Settings\Vasile\RGShell.dll
C:\Documents and Settings\Vasile\todd.exe
D:\fle completati emule\BRASIL la grande musica brasiliana (completa n.8 CDs).rarC:\Documents and Settings\Vasile\Impostazioni locali\Temp\Temporary Internet Files\Content.IE5\IZSLJFUD\miniup[3].exe
C:\Documents and Settings\Vasile\Impostazioni locali\Temp\Temporary Internet Files\Content.IE5\IZSLJFUD\miniup[2].exe
C:\WINDOWS\abf41.txt
C:\WINDOWS\system32\tapi34.dll
C:\WINDOWS\system32\unyf09.dll
C:\WINDOWS\system32\041.dll
C:\WINDOWS\system32\53481.exe
C:\WINDOWS\system32\RGShell.dll

Folders to delete:
C:\Documents and Settings\Vasile\Impostazioni locali\Temp
C:\WINDOWS\Temp


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.