Olimpo Informatico

[illusion194]

Ho da poco formattato, e bhè un po incoscientemente ho aspettato fino a ieri per installare Avira Antivir.. pensavo di essermela cavata, quando oggi vado ad accendere il pc e mi escono una ventina di avvisi d'infezione.. non so se l'antivirus me li ha eliminati o cosa.. però vi sarei grato se controllaste un po meglio il mio pc.. grazie in anticipo



Log di HiJackThis.. (se serve altro chiedete..)
[spoiler]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.01.45, on 08/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\S3trayp.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\docume~1\giulio\impost~1\temp\servces.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\Windows3.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\LogMeIn Hamachi\hamachi-2.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Giulio\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Programmi\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Intel i386] c:\docume~1\giulio\impost~1\temp\servces.exe
O4 - HKLM\..\Run: [test] Windows3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1267130827562
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programmi\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: S3LoadSv - Unknown owner - C:\WINDOWS\system32\S3LoadSv.exe (file missing)

--
End of file - 6427 bytes
[/spoiler]

[R16]

Ciao.
Cominciamo a "scremare" un pò di "sporcizia":
Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
C:\Windows\Prefetch

Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223

Scarica e installa la versione Free di SuperAntispyware:
link
la configuri come da immagini :
http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
Esegui una scansione completa.

Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.

Carica i log di SuperAntispyware, MBAM, su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link

[illusion194]

Scusa R1.. è normale che i file cancellati da quella cartella al riavvio ricomapiono?


ecco il log di MBAM:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Versione database: 3970

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

09/04/2010 14.48.57
mbam-log-2010-04-09 (14-48-57).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 225030
Tempo trascorso: 15 ore, 24 minuti, 51 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 4
Voci infette nei dati di registro: 1
Cartelle infette: 0
File infetti: 7

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\imjpmig8.2 (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\intel i386 (Backdoor.IRCBot) -> No action taken.

Voci infette nei dati di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\Documents and Settings\Giulio\Impostazioni locali\Temporary Internet Files\Content.IE5\5XPU1E9K\hypwhc[1].htm (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Giulio\Impostazioni locali\Temporary Internet Files\Content.IE5\H2CNS0KK\kkemu[1].htm (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{D996A9FE-BDA4-4F89-BA19-CE2CE2E0C292}\RP61\A0042341.exe (Trojan.Palevo.Gen.B1) -> No action taken.
C:\WINDOWS\system32\drivers\xoivcyh.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\All Users\Preferiti\_favdata.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\Giulio\csrss.exe (Trojan.Agent) -> No action taken.
c:\Documents and Settings\Giulio\Impostazioni locali\Temp\servces.exe (Backdoor.IRCBot) -> No action taken.


Ps. Ho fatto lo scan anche con super antispyware ma.. non so dove abbia salvato il log..

[R16]

[illusion194]

Ok, Grazie.

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/08/2010 at 11:10 PM

Application Version : 4.35.1002

Core Rules Database Version : 4783
Trace Rules Database Version: 2595

Scan type : Complete Scan
Total Scan Time : 00:25:21

Memory items scanned : 524
Memory threats detected : 0
Registry items scanned : 4242
Registry threats detected : 1
File items scanned : 16268
File threats detected : 15

Adware.Tracking Cookie
C:\Documents and Settings\Giulio\Cookies\giulio@doubleclick[3].txt
C:\Documents and Settings\Giulio\Cookies\giulio@atdmt[2].txt
C:\Documents and Settings\Giulio\Cookies\giulio@doubleclick[1].txt
C:\Documents and Settings\Giulio\Cookies\giulio@kaspersky.122.2o7[1].txt
C:\Documents and Settings\Giulio\Cookies\giulio@atdmt[1].txt

Adware.Vundo Variant/Rel
HKU\S-1-5-21-1844237615-113007714-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run#MSServer [ msfun80.exe ]

Trojan.Agent/Gen-FraudLoad[Crit]
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\663.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\057.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\190021D8.TMP
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\492.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\754.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\779.EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMP\DF7D1EDC.TMP
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\58SC417K\VJENCANICA[1].EXE
C:\DOCUMENTS AND SETTINGS\GIULIO\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\5XPU1E9K\VJENCANICA[1].EXE

Trojan.RootKit/Gen
C:\WINDOWS\SYSTEM32\DRIVERS\XOIVCYH.SYS


(Scusa se non uppo su wikisend va bene lo stesso così?)

ora scarico l'altro programma e ti dico..

[illusion194]

Ecco l'altro log:

log.txt

[R16]

[illusion194]

AVSCAN-20100410-163456-D4EE87E8.LOG

[illusion194]

hijackthis.log

[R16]

Ciao.
Non risultano infezioni nei log.
Se il pc funziona bene, abbiamo finito.

[illusion194]

Grazie R1, mi sei stato di grande aiuto.. comunque.. m'era venuto in mente di provare Windows 7.. c'è un modo di installarlo dall'HD? siccome s'è rotto il lettore.. e avere comunque XP installato in caso di necessità?

[R16]

Sinceramente, non lo sò. (ma penso di sì)
Prova a rivolgerti alla sezione Windows 7:
http://forum.zeusnews.com/viewforum.php?f=90
Loro potranno aiutarti sicuramente, meglio di me.
Ciao!

[illusion194]

Ok. Grazie ancora per l'aiuto.