Olimpo Informatico

Josp · Mortale adepto Registrato: 03/07/08 17:58 Messaggi: 35

Ciao ragazzi, da tre giorni ogni volta che avvio una conversazione su messenger mi compare sul desktop un'inquietante finestrella dal titolo Riahnna2 che si clona automaticamente ogni 5 secondi...ma appena chiudo la finestra di conversazione di messenger, cessa di moltiplicarsi. Ho avviato una scansione del sistema con Avast! ma non ha rilevato nessun virus; ho disinstallato messenger e reinstallato ex novo, ma niente di fatto, ogni volta che avvio una conversazione eccolo lì che rispunta!

Qualcuno saprebbe consigliarmi una soluzione per debellare il malefico dal mio computer?

bdoriano

Ciao Josp e benvenuto, Ciao

Prima, facciamo un controllo approfondito del sistema... Wink

Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Fai una scansione con Norman Malware Cleaner.
Riavvia il computer in modalità normale
Segui le istruzioni di questo topic per eseguire combofix.
Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di Norman Malware Cleaner su WikiSend e posta il Forum Link che ti viene assegnato
- Il log di Combofix generalmente non è molto lungo, quindi postalo direttamente nel messaggio

PS: se vuoi, puoi presentarti qui

Josp · Mortale adepto Registrato: 03/07/08 17:58 Messaggi: 35

Ciao bdoriano, grazie moltissimo per avver accolto il mio SOS!
Pur non essendo un soggetto molto abile nel mondo dell'informatica e nell'utilizzo di programmi , ho seguito alla lettera le tue indicazioni fino al 4° punto...!
Al termine dell'avvio di Cobofix ho riavviato messenger per verificare l'esito ma l'unica cosa che è cambiata è stato il nome che compare nella finestrella -virus: da "Riahnna2" adesso è "WINISOXP"!

Di seguito ti riporto il log di Combofix come mi hai chiesto

ComboFix 08-07-04.1 - Jooosp 2008-07-04 21.38.26.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.208 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Jooosp\Documenti\ComboooFix.exe
* Creato nuovo punto di ripristino

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf

.
((((((((((((((((((((((((( Files Creati Da 2008-06-04 al 2008-07-04 )))))))))))))))))))))))))))))))))))
.

2008-07-04 20:34 . 2008-07-04 20:34 <DIR> d-------- C:\Programmi\CCleaner
2008-06-30 21:23 . 2008-06-30 21:50 104,448 --a------ C:\WINDOWS\system32\hostES.exe
2008-06-30 18:23 . 2008-06-30 18:39 377,856 --a------ C:\WINDOWS\system32\Rihanna2.exe
2008-06-10 20:28 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 20:28 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 19:19 --------- d-----w C:\Programmi\eMule
2008-07-02 23:09 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\WLInstaller
2008-07-02 23:07 --------- d-----w C:\Programmi\Windows Live
2008-06-01 00:09 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,292,800 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]
"MsnMsgr"="C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"DAEMON Tools Lite"="C:\Programmi\DAEMON Tools Lite\daemon.exe" [2008-01-03 15:54 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-09-18 23:29 141848]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-09-18 23:29 166424]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-09-18 23:29 137752]
"Cpqset"="C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe" [2007-01-02 16:46 40960]
"SynTPEnh"="C:\Programmi\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 15:36 827392]
"GrooveMonitor"="C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"RealTray"="C:\Programmi\Real\RealPlayer\RealPlay.exe" [2008-01-16 02:46 26112]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2008-01-16 03:13 98304]
"RemoteControl"="C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 12:01 319488]
"WinisoXP"="c:\programmi\internet explorer\WinisoXP.exe" [2008-06-30 21:50 377856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Svchost64"="C:\Programmi\Windows Media Player\WMupdate.exe" [2008-06-30 22:49 104448]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

C:\Documents and Settings\Jooosp\Menu Avvio\Programmi\Esecuzione automatica\
Ritaglio schermata e avvio di OneNote 2007.lnk - C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 21:24:54 98632]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
WinZip Quick Pick.lnk - C:\Programmi\WinZip\WZQKPICK.EXE [2008-01-16 02:12:04 118784]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programmi\\eMule\\emule.exe"=
"C:\\Programmi\\Internet Explorer\\iexplore.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
S3 PAC207;Trust Webcam Live;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-04-12 17:50]
S3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-04 21:39:37
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe??@???????????????@?????@S????????@???????@
WinisoXP = c:\programmi\internet explorer\WinisoXP.exe???

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-07-04 21.40.29
ComboFix-quarantined-files.txt 2008-07-04 19:40:23

10 Directory 37,016,518,656 byte disponibili
13 Directory 37,013,532,672 byte disponibili

94 --- E O F --- 2008-06-21 17:29:38[/color]

Questo invece è il Forum Link del log di Norman Malware Cleaner:

NFix_2008-07-04_20-46-46.log

Non so quale può essere lo step successivo, in ogni modo grazie ancora per la tua disponidilità.

Josp

bdoriano

Non ti preoccupare, che te ne facciamo uscire... Razz

Apri il Blocco note e crea un file di testo con le seguenti istruzioni:

Josp · Mortale adepto Registrato: 03/07/08 17:58 Messaggi: 35

ComboFix 08-07-04.6 - Jooosp 2008-07-05 15.44.28.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.233 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Jooosp\Desktop\CombooooFix.exe
Command switches used :: C:\Documents and Settings\Jooosp\Desktop\CFScript.txt
* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
c:\programmi\internet explorer\WinisoXP.exe
C:\Programmi\Windows Media Player\WMupdate.exe
C:\WINDOWS\system32\hostES.exe
C:\WINDOWS\system32\Rihanna2.exe
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\hostES.exe
C:\WINDOWS\system32\Rihanna2.exe

.
((((((((((((((((((((((((( Files Creati Da 2008-06-05 al 2008-07-05 )))))))))))))))))))))))))))))))))))
.

2008-07-04 20:34 . 2008-07-04 20:34 <DIR> d-------- C:\Programmi\CCleaner
2008-06-10 20:28 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 20:28 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-05 13:24 --------- d-----w C:\Programmi\eMule
2008-07-02 23:09 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\WLInstaller
2008-07-02 23:07 --------- d-----w C:\Programmi\Windows Live
2008-06-01 00:09 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,292,800 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-04_21.40.16,14 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-04 19:25:01 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-04 20:27:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-04 22:26:34 22,528 ----a-w C:\WINDOWS\system32\drivers\etc\unis32pocket.exe
- 2008-07-04 19:29:40 60,958 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-04 20:31:28 60,958 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-07-04 19:29:40 73,304 ----a-w C:\WINDOWS\system32\perfc010.dat
+ 2008-07-04 20:31:28 73,304 ----a-w C:\WINDOWS\system32\perfc010.dat
- 2008-07-04 19:29:40 400,798 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-04 20:31:28 400,798 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-07-04 19:29:40 446,994 ----a-w C:\WINDOWS\system32\perfh010.dat
+ 2008-07-04 20:31:28 446,994 ----a-w C:\WINDOWS\system32\perfh010.dat
+ 2008-07-04 20:27:15 16,384 ------w C:\WINDOWS\Temp\Perflib_Perfdata_6f0.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]
"MsnMsgr"="C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"DAEMON Tools Lite"="C:\Programmi\DAEMON Tools Lite\daemon.exe" [2008-01-03 15:54 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-09-18 23:29 141848]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-09-18 23:29 166424]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-09-18 23:29 137752]
"Cpqset"="C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe" [2007-01-02 16:46 40960]
"SynTPEnh"="C:\Programmi\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 15:36 827392]
"GrooveMonitor"="C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47 31016]
"RealTray"="C:\Programmi\Real\RealPlayer\RealPlay.exe" [2008-01-16 02:46 26112]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2008-01-16 03:13 98304]
"RemoteControl"="C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 12:01 319488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

C:\Documents and Settings\Jooosp\Menu Avvio\Programmi\Esecuzione automatica\
Ritaglio schermata e avvio di OneNote 2007.lnk - C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 21:24:54 98632]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
WinZip Quick Pick.lnk - C:\Programmi\WinZip\WZQKPICK.EXE [2008-01-16 02:12:04 118784]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programmi\\eMule\\emule.exe"=
"C:\\Programmi\\Internet Explorer\\iexplore.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
S3 PAC207;Trust Webcam Live;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-04-12 17:50]
S3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-05 15:46:18
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programmi\Hewlett-Packard\Default Settings\cpqset.exe??@???????????????@?????@S????????@???????@

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-07-05 15.47.10
ComboFix-quarantined-files.txt 2008-07-05 13:47:06
ComboFix2.txt 2008-07-04 19:40:30

10 Directory 36,466,212,864 byte disponibili
13 Directory 36,459,937,792 byte disponibili

110 --- E O F --- 2008-06-21 17:29:38

Josp · Mortale adepto Registrato: 03/07/08 17:58 Messaggi: 35

la scansione on line non mi riesce

"Could not load the Online Scanner!".
--------------------------------------------------------------------------------
Crying or Very sad

Josp · Mortale adepto Registrato: 03/07/08 17:58 Messaggi: 35

HEY HEY ATTENZIONE!! NON SO PER QUALE MOTIVO MA LA FINESTRELLA-VIRUS è SCOMPARSA! RIESCO AD AVVIARE UNA CONVERSAZIONE MESSENGER SENZA CHE COMPAIA!

CHE SARò SUCCESSO?

L'ABBIAMO DEBELLATO o è un virus intelligente che si è solo nascosto?
Avast! di tanto in tanto mi dice che ha trovato un virus e mi consiglia di spostarlo nel cestino...

Rolling Eyes

bdoriano

Quale scansione non ti riesce? BitDefender?

Non funziona neanche quella di Kaspersky?

PS: dovremmo esserci quasi. Se riesci a fare almeno una delle 2 scansioni, completiamo l'opera. Wink

Josp · Mortale adepto Registrato: 03/07/08 17:58 Messaggi: 35

sono riuscito ad avviare una delle due scansioni on line! Razz

Questo è il Forum link della scansione con BitDefender

BitDefender Online Scanner.html

ti aggiungo anche questo, non so se può esserti utile

scan Info.txt

bdoriano

Sembrerebbe tutto a posto. Razz

Fai una scansione completa del pc con il tuo antivirus e, dopo, fai queste pulizie generali del pc:

Pulizia dei files temporanei con ATF-Cleaner e/o CCleaner
Pulizia del registro con EUsingFreeRegistryCleaner o Wise Registry Cleaner e, infine, una passata con Auslogics Registry Defrag
Deframmentazione del disco

Se riscontri altri problemi, fai un fischio. Whistle

Josp · Mortale adepto Registrato: 03/07/08 17:58 Messaggi: 35

Bhe credo che ci siamo allora

guarda comunque questo risultato

Auslogics Registry Defrag Report.mht

che ne dici, posso ritenermi salvo?! ti ripeto, ora riesco a chattare senza essere disturbato da quella finestrella malefica che in principio fu Riahnna2! il mio timore è che si sia solo nascosto...

bdoriano

Se vuoi toglierti ogni dubbio, fai questa scansione con SystemScan e posta il log su WikiSend e posta il Forum Link che ti viene assegnato. Wink

Josp · Mortale adepto Registrato: 03/07/08 17:58 Messaggi: 35

Ciao!

Grazie per questo ulteriore suggerimento.

Ho avviato la scansione di SuspectFile, non riuscendo però a spuntare l'ultima voce ("Include HIJACKTHIS log (not found)").

In ogni modo ecco il risultato

06_07_2008_13_52_report.zip

report.txt

Che te ne pare? Confused

bdoriano

Oggi ho la testa abbastanza fusa... Hypno

ti saprò dire qualcosa di più martedì pomeriggio. Razz

bdoriano

Riecchime... Ciao

Il log mi sembra pulito. Razz

Riscontri altri problemi?