Olimpo Informatico

[eins]

Temo di aver bisogno dell'aiuto di qualcuno più esperto, quasi sicuramente ho il PC (Atom 330 1,6GHz WinXp Pro Sp3 con una miriade di programmi istallati e dati vitali) invaso da qualche malware che però finora non ho identificato (ma i sintomi ci sono tutti, comprese cartelle nascoste che crescono come funghi e processi strani che non conosco e che non riesco a rimuovere).

Il grave è che ho anche una manciata di pennette (piene di dati) che circolano tra il mio PC fisso, il mio portatile, il fisso della mia compagna e il portatile di un amico, ma temo che l'elenco non sia finito qui. Le cartelle fantasma si creano da sole (e nascoste) anche in tutte le pennette e nei citati computers).

Come AV uso regolarmente Avira che aggiorno e disistallo e reistallo regolarmente e AVG al bisogno, ma entrambi non mi detectano nulla (forse è il processo "svchost.exe" che si vede in HJT??!!).

Grazie in anticipo a chi mi vorrà guidare nella bonifica.

Faccio seguito con il log di HJT in un momento in cui avevo solo l'Avira e Ad-Aware nella TrayBar:







Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.10.38, on 20/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~3\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Hotspot Shield\bin\openvpnas.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\PROGRA~3\AVG\AVG8\avgrsx.exe
C:\PROGRA~3\AVG\AVG8\avgnsx.exe
C:\Programmi\Hotspot Shield\HssWPR\hsssrv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lkcitdl.exe
C:\WINDOWS\system32\lkads.exe
C:\WINDOWS\system32\lktsrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\National Instruments\MAX\nimxs.exe
C:\Programmi\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS\system32\nisvcloc.exe
C:\Programmi\National Instruments\Shared\Tagger\tagsrv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\TeamViewer\Version5\TeamViewer_Service.exe
C:\Programmi\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe
C:\WINDOWS\system32\nipalsm.exe
C:\Programmi\IVI Foundation\VISA\WinNT\NIvisa\niLxiDiscovery.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\STI_188.EXE
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://babelfish.iamwired.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: babelfishnetwork - {d41e1116-0006-ad0c-7b71-199ab11d38a4} - C:\WINDOWS\system32\7_-F-_xSd_-vZ.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programmi\Hotspot Shield\hssie\HssIE.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [BigDog188] C:\WINDOWS\STI_188.EXE USB PC Camera (188)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~3\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~3\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~3\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\national instruments\shared\mdns responder\nimdnsnsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C93AE67-7C80-40A1-AA7F-B5C7BD03C986}: NameServer = 62.149.128.4,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{85CCF267-CAB1-4793-ACC5-BAD6C2F97966}: NameServer = 62.149.128.4,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A5E2A40-F936-41F1-8A77-B0ACF334BDF0}: NameServer = 62.149.128.4,208.67.222.222
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~3\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~3\AVG\AVG8\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio di Google Update (gupdate1c9c40e2c40fc94) (gupdate1c9c40e2c40fc94) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programmi\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Programmi\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments Corporation - C:\WINDOWS\system32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments Corporation - C:\WINDOWS\system32\lktsrv.exe
O23 - Service: NI Configuration Manager (mxssvr) - National Instruments Corporation - C:\Programmi\National Instruments\MAX\nimxs.exe
O23 - Service: NI Device Loader (nidevldu) - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments Corporation - C:\Programmi\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License Manager (NILM License manager) - Macrovision Corporation - C:\Programmi\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: National Instruments LXI Discovery Service (niLXIDiscovery) - National Instruments Corporation - C:\Programmi\IVI Foundation\VISA\WinNT\NIvisa\niLxiDiscovery.exe
O23 - Service: National Instruments mDNS Responder Service (nimDNSResponder) - National Instruments Corporation - C:\Programmi\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe
O23 - Service: NI PXI Resource Manager (nipxirmu) - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corporation - C:\WINDOWS\system32\nisvcloc.exe
O23 - Service: National Instruments Variable Engine (NITaggerService) - National Instruments Corporation - C:\Programmi\National Instruments\Shared\Tagger\tagsrv.exe
O23 - Service: OpcEnum - OPC Foundation - C:\WINDOWS\system32\OpcEnum.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Programmi\TeamViewer\Version5\TeamViewer_Service.exe

--
End of file - 10336 bytes

[R16]

Ciao.
Disistalla AVG8, che oltre a non servire, è obsoleto.

Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Scarica e installa la versione Free di SuperAntispyware:
link
la configuri come da immagini :
http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
Esegui una scansione completa.

Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina i file infetti trovati.

Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Carica i log di SuperAntispyware, MBAM, Combofix, su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link

[eins]

R1 grazie della tua sollecita e cortese risposta, sto eseguendo alla lettera i passi che mi hai consigliati, ma ancora sono alla scansione del mio HardDisk con SUPERAntiSpyware, anche se ho iniziato circa dieci ore fa, immediatamente dopo che tu mi hai risposto (ho due partizioni e più di un milione di file). Per ora sono a circa 30.000 file analizzati.

Pensi che potrei limitarmi a scansionare la sola prima partizione per far prima?

Ancora grazie dell'aiuto.

[R16]

Ciao.
Ci deve essere per forza, qualcosa che non và.
10 ore per scansionare solo 30.000 file, sono troppe.
Potresti fare questa scansione, per vedere se l'MBR è infetto:
Scarica MBR.EXE direttamente nella Directory C:\ (è importante che venga scaricato in C:\ )
link
Avvia il Pc in modalità provvisoria

Fai: Start - Esegui - copia-incolla questo comando: C:\mbr.exe -f e clicca su OK
Non digitare quel comando; FAI il copia-incolla.(si deve rispettare uno spazio che c'è dopo exe )
La scansione, dovrebbe durare un paio di minuti al massimo.
Posta il log, che troverai, dove hai scaricato il Tool, ovvero in C:\

Poi prova a fare la scansione con Malwarebytes.
Per accelerare i tempi, scansiona solo la partizione, dove si trova il S.O, e fai la scansione rapida.
In seguito, si potrà fare quella completa.
Elimina gli eventuali file infetti rilevati.
Posta il log.

[eins]

R1 grazie del tuo aiuto, sono in panne ma appena ci riesco ti invio i log, intanto sto cercando di fare letteralmente quanto mi hai indicato (spero presto)

[eins]

R1 ecco i log:

SUPERAntiSpyware Scan Log - 02-21-2010 - 16-51-50.log

mbam-log-2010-02-21 (23-56-51).txt

mbr.log

ComboFix.txt

spero di aver fatto bene, ma se serve rifaccio tutto, grazie ancora del tuo aiuto

[R16]

Ciao.
Cominciamo con le buone notizie:
Superantispyware, ha trovato poco niente.
L'MBR, (Master Boot Record) è a posto.
Malwarebytes, ha trovato(e spero, che tu abbia eliminato) delle infezioni (più che altro Crack) in C: e D:.
Vorrei sapere, a cosa si riferisce la lettera D: (Se è una periferica esterna, oppure una partizione del HD).

Note dolenti:
Combofix, non ha rilevato infezioni,ma ci sono una marea di servizi, e driver, di cui non sò la provenienza. (dai Crack forse?)
Per cui, mettersi a eliminare tutta quella roba,potresti ritrovarti, che i tuoi beneamati "Keygen", non funzionino più.
Di una cosa sono sicuro: quei servizi, e driver, non appartengono a Windows.
Poi,devo per forza farti una domanda: il S.O è originale?
Se vuoi, puoi rispondermi in P.M.

Dopo le scansioni fatte,ci sono stati miglioramenti?

[eins]

C:(Fat32) e D:(NTFS) sono due partizioni di un unico disco fisico, dove C: è la primaria (attivata) e D: è la estesa (non attivata).

Allego il report di HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.01.16, on 25/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Hotspot Shield\bin\openvpnas.exe
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\Programmi\Hotspot Shield\HssWPR\hsssrv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lkcitdl.exe
C:\WINDOWS\system32\lkads.exe
C:\WINDOWS\system32\lktsrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\National Instruments\MAX\nimxs.exe
C:\Programmi\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS\system32\nisvcloc.exe
C:\Programmi\National Instruments\Shared\Tagger\tagsrv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe
C:\WINDOWS\system32\nipalsm.exe
C:\Programmi\IVI Foundation\VISA\WinNT\NIvisa\niLxiDiscovery.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programmi\Hotspot Shield\hssie\HssIE.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~3\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~3\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~3\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\national instruments\shared\mdns responder\nimdnsnsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C93AE67-7C80-40A1-AA7F-B5C7BD03C986}: NameServer = 62.149.128.4,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{85CCF267-CAB1-4793-ACC5-BAD6C2F97966}: NameServer = 62.149.128.4,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A5E2A40-F936-41F1-8A77-B0ACF334BDF0}: NameServer = 62.149.128.4,208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~3\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio di Google Update (gupdate1c9c40e2c40fc94) (gupdate1c9c40e2c40fc94) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programmi\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Helper Service (HssSrv) - AnchorFree Inc. - C:\Programmi\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments Corporation - C:\WINDOWS\system32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments Corporation - C:\WINDOWS\system32\lktsrv.exe
O23 - Service: NI Configuration Manager (mxssvr) - National Instruments Corporation - C:\Programmi\National Instruments\MAX\nimxs.exe
O23 - Service: NI Device Loader (nidevldu) - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments Corporation - C:\Programmi\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License Manager (NILM License manager) - Macrovision Corporation - C:\Programmi\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: National Instruments LXI Discovery Service (niLXIDiscovery) - National Instruments Corporation - C:\Programmi\IVI Foundation\VISA\WinNT\NIvisa\niLxiDiscovery.exe
O23 - Service: National Instruments mDNS Responder Service (nimDNSResponder) - National Instruments Corporation - C:\Programmi\National Instruments\Shared\mDNS Responder\nimdnsResponder.exe
O23 - Service: NI PXI Resource Manager (nipxirmu) - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corporation - C:\WINDOWS\system32\nisvcloc.exe
O23 - Service: National Instruments Variable Engine (NITaggerService) - National Instruments Corporation - C:\Programmi\National Instruments\Shared\Tagger\tagsrv.exe
O23 - Service: OpcEnum - OPC Foundation - C:\WINDOWS\system32\OpcEnum.exe
--
End of file - 9009 bytes



Qualche leggero miglioramento c'è stato, specie il boot è più rapido (ma forse perché ho tolto dall'avvio automatico un po' di roba, anche se in genere ne tengo sempre poca in autorun), ma noto ancora il crearsi di cartelle strane (specie sulle pennette) e sopratutto nella navigazione con FireFox (3.6+gmail notifier) spesso mentre sono su una pagina questa si trasforma improvvisamente in un'altra, come se io avessi dato dei comandi di navigazione che invece non ho dato. Allego gli screenshot di un paio di queste pagine, dove si vede che sono state bloccate da "gmail notifier" di firefix:

PassaDaSoloAQuestaPagina1.JPG
PassaDaSoloAQuestaPagina2.JPG

Allego anche lo sceeenshot di TaskManager:
TaskManager25-02-10_10-25.JPG
dove in particolare si vede varie volte il processo SVCHOST.EXE che io non avevo mai visto e che non capisco da dove venga.

Più tardi rifarò tutta la serie di scansioni, anche nel timore di reinfezioni reiterate da pennette.

Grazie R1.

[R16]

Ciao.
Quelli sono reindirizzamenti da virus.
Probabilmente sono le chiavette a generare le infezioni.
Fai così:
Bisogna disattivare momentaneamente il riconoscimento automatico delle periferiche USB;
serve il programma TweakUI scaricabile in questa pagina (lo trovi sulla destra verso metà pagina) e installalo:
link
Una volta installato, eseguilo e procedi con questi passaggi:

clicca sul simbolo + la sezione My Computer
clicca sul simbolo [+] la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI

Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le chiavette .
Clicca su "Risorse del Computer".
Clicca con il tasto destro sopra la lettera a cui fà riferimento la chiavetta.
Scegli "Scansiona con " (il tuo antivirus) e per sicurezza, fai anche una scansione con Malwarebytes.
Altra cosa:
Hai una marea di servizi attivi.
Puoi entrare nei Servizi, ( Start\Esegui\ digita services.msc e poi Ok) e disattivare, o mettere in manuale tutti quelli che non ti servono.

Poi esegui queste scansioni :
Tool di Kaspersky: (armati di santa pazienza, perchè sarà molto lunga)

http://forum.zeusnews.com/viewtopic.php?p=297845

Poi:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548
Ricorda di disattivare l'antivirus, e chiudere la connessione.
Finita la scansione, riattiva l'antivirus.

[eins]

1) autoplay disattivato secondo la tua accuratissima descrizione;

2) ho passato il tool offline di karspersky, che ha trovato diversa robaccia che io ho poi rimosso (dieci ore di scanning), ma non sono riuscito a trovare come salvare il report, che quindi non ti posso allegare (ma rifarò una scansione completa stanotte per vedere se ha effettivamente eliminato quanto precedentemente trovato;

3) ho passato il SuspectFile ed allego il relativo report:
26_02_2010_14_41_report.zip

Comunque un qualche ulteriore miglioramento mi sembra che ci sia stato, se non altro non vedo più il proliferare di file e cartelle fantasma su tutte le unità USB che connetto, qualcosa lo abbiamo ottenuto.

Ma purtroppo ancora continua il reindirizzamento web di FireFox (non so su IExplorer perché non lo uso, ma se serve lo apro apposta).

Grazie R1.

[R16]

Ciao.
Facciamo cosi, finchè guardo il log di Systemscan:
Prova a vedere se con IE, ti fà lo stesso scherzo.
Se non lo fà, prova a disistallare Firefox, fai una pulizia con CCleaner, e lo reistalli.

[eins]

Ok, lo faccio subito.

Ma ho un piccolo problema anche con il tool offline di karspersky: l'ho eseguito più volte e ogni volta mi segnala di aver trovato un po' di robaccia, ma io NON SONO assolutamente stato capace di vedere o salvare il report. Nella versione 2010 del tool, l'interfaccia è cambiata rispetto alla guida scritta da bdoriano e io (mi spiace ammetterlo) non sono stato in grado di trovare come salvare un report da allegare qui. Provo a guardarmi il manuale e vediamo se ci riuscirò.

Intanto procedo con la reistallazione del FireFox (mi salverò tutti i miei link preferiti (che sono tantissimi), speriamo che non vi sia codice malevolo annidato lì!.

Ciao.

[R16]

Ciao.
Volevo farti una domanda:
Lo hai creato tu quell'account Temp ?

[eins]

Sì, l'account "Temp" l'ho creato io inizialmente per avere un account senza privilegi di amministratore per poter operare per le funzioni più comuni con un po' più di tranquillità, ma poi non l'ho mai utilizzato, comunque è regolare.

Intanto ho reistallato il firefox e passato il ccleaner, dopo aver anche ripulito i prefetch, vediamo se era annidata lì la causa; per ora lo userò tutto il giorno per vedere come si comporta.

Ciao R1, buona domenica.

[R16]

Ciao.
Hai fatto la prova con IE ?
Sappiami dire, se dopo la reistallazione di Firefox, riscontri ancora problemi.

[eins]

Si, prova fatta con IE. Direi che molti problemi sono andati sotto controllo. Ho reistallato FireFox e adesso mi sembra più stabile. Rimangono però ancora tre piccoli problemi:

1) comunque sia su FF che su IE ogni tanto, quando si apre una pagina, dopo pochissimi secondi il tutto scorre in basso di pochi centimetri come per fare spazio ad un banner in alto, che però non appare; come se vi fosse un tardivo inserimento, che però non riesce ad essere completato;

2) le mie pennette erano tutte contaminate, ora con gli strumenti che mi hai indicato le sto finendo di bonificare tutte, ma resta il rpoblema che tutto ciò che ho fatto su questo PC lo dovrò fare anche su tutti gli altri venuti in contatto con queste pennette. Giusto? Almeno un controllo approfondito ..

3) restano i molti (troppi) processi che partono al boot, io non so né come disabilitarli, né (sopratutto) quali disabilitare. Ritieni che questo possa essere un argomento per un nuovo tread? Eventualmente in quale sezione?

A presto.

[R16]

Ciao.
1) Non lo sò perchè, avviene quel tipo di comportamento.
Di solito, succede una cosa simile, quando si scarica, o si visualizza qualcosa da internet, (è una forma di protezione) che avvisa, che il file o il programma, che stà per scaricare, può non essere sicuro.)
Ma dovrebbe comparirti anche una finestra. (barra informazioni).

2) Sì, tutti i pc, che sono venuti a contatto con quelle pennette, molto probabilmente sono rimasti infettati.

3)Per disattivare i processi da boot, fai così:
Start
Esegui
Digita msconfig
Ok

Vai nel tab "Avvio" e vedi tutti i programmi che partono all'avvio del tuo sistema .
Da qui ti basterà togliere, o mettere il segno di spunta al programma che deciderai di avviare o meno in automatico ...
Alla fine della scelta , clicca su Applica , poi su ok , e infine riavvia il sistema per far si che le modifiche abbiano effetto .
Nessuno meglio di te, conosce i programmi che hai installato....
A grandi linee, (ma non sono davanti al tuo pc) lascia la spunta alle voci di sicurezza, (antivirus, Firewall,ecc..) il resto, le puoi togliere.
Se noti malfunzionamenti (tieni conto del S.O che hai) a qualche programma, rimetti la spunta, dove l'hai tolta, e riavvia il pc.

[eins]

Si grazie R1, conosco quella finestra, ma lì in avvio ho solo il "ctfmon" e l'antivirus, il resto parte da solo nascostamente .. ho provato anche con l'autorun (che ne visualizza molti più), ma non mi raccapezzo con tutti i processi che mostra ..

In particolare il task manager riporta che ho un certo processo SVCHOST.EXE che si ripete 7 o 8 volte .. mi sembrano troppe .. sarà qualcosa di anomalo?

Altro: ho seguito tutte le tue chiarissime indicazioni, escluso quella relativa al Systemscan, lì non ho capito come usarlo. Se mi dai qualche indicazione maggiore lo metto subito al lavoro. Quale è il suo fine? Detectare e basta o anche pulire?

Ciao e .. ancora veramente grazie, siamo quasi alla fine della pulizia .. e io all'inizio di un po' più di luce su come affrontare questi problemi. Te ne sono veramente grato.

[R16]

Ciao.
1)SVCHOST.EXE è un processo generato automaticamente da Windows.
La sua presenza, dipende dai vari programmi che sono installati nel tuo pc, e che ne richiedono l'uso.
Per cui, non è anomalo, trovarne anche molti.
link
Esistono dei software specifici, che sono in grado di elencare, tutte le istanze svchost, e vedere i servizi, che essi contengono.
Uno dei tanti è questo: Svchost Process Analyzer
link
Vedi se ti può servire.

2)Il fine di Systemscan, è quello di "fotografare" in profondità, il S.O.
Non elimina niente, ma ti dà la possibilità di individuare eventuali virus, o file infetti, nascosti, che poi si possono eliminare con altri software. (Avenger, per esempio.)
Per saperlo usare, correttamente, richiede, una buona dose, di conoscenze informatiche.
All'utente alle prime armi,non serve a niente.
Ciao.

[eins]

Ciao R1,

scusa la lunga latitanza, durante la quale ho ripetuto le stesse procedure che mi hai suggerito qui anche su tutti gli altri miei PC e su quelli dei miei conoscenti con cui vi erano stati scambi di pennette (purtroppo mi rendo conto che la mancanza di un tuo controllo sui log è stata una grossa carenza, ma non me la sono sentita di chiederti altro). Il risultato è stato comunque che tutti erano variamente ma estesamente infetti, ora li sto tenendo sotto stretta osservazione.

Direi che possiamo ritenere chiuso il tread con successo, per ora il mio PC principale (quello di cui ti ho inviato i log) è stabile anche se lento, comunque i dati e programmi sono perfettamente accessibili e questo mi darà il tempo di iniziare una lenta migrazione ad altro Hard Disk ( e OS) nuovo.

Grazie ancora una ultima volta del tuo preziosissimo aiuto, che non è servito solo a togliermi dai pasticci, ma mi ha anche fornito un po' più di cultura informatica e di conoscenze di base sulla difesa dai virus. Di tutto ciò sono molto grato a te e a tutto il forum.

Ciao e buon proseguimento.