Olimpo Informatico

[bdoriano]

@Orange
Ho notato.
La cosa interessante è che lo segnala come impossibile da trovare...

Che dici, proviamo una passata con systemscan?

[Adamus]

scusa bdoriano ma non ho capito se è una domanda che facevi a me o ad Orange......
stamane ho trovato tra i cockies questo:
http://88.80.5.21/time.txt
e facendo un controllo su google ho trovato questo:
http://www.suspectfile.com/blog/?postid=9
non che ci abbia capito molto ma una domanda mi sovviene:
forse usando F.F. bypasso il problema ?
certo che non lo risolvo...
ma a che serve sto trojan maledetto ? bohh
cmq sempre grazie dell'aiuto che mi state dando
siete grandi
attendo vostre istruzioni...
ciao
[/list]

[Orange]

la domanda era rivolta a me.

scarica SystemScan
avvialo, spunta tutte le opzioni e fai lo scan completo.
disattiva il tuo AV durante la scansione
carica il log (report.txt) su Freefilehosting e metti qui il link

[Adamus]

[Orange]

prova tenere premuto il tasto CTRL e cliccare sul link

[Adamus]

http://www.freefilehosting.net/download/MjMwODUx

beati voi che ci capite qualcosa....

scusate il ritardo ma qualche giorno di vacanza

ciao a presto e grazie

[bdoriano]

Scarica questo e scompattalo in una sua cartella non temporanea e non sul desktop.
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

[Adamus]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qigfsgrs

*******************

Script file located at: \??\C:\WINDOWS\system32\svxoikjb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\NeroCheck.exe deleted successfully.
File C:\Windows\Tasks\dujwflp.job deleted successfully.
File C:\Windows\Tasks\awbghiu.job deleted successfully.
File C:\Windows\Tasks\gci.job deleted successfully.
File C:\Windows\Tasks\gnyorl.job deleted successfully.
File C:\Windows\Tasks\ycuflwx.job deleted successfully.
File C:\Windows\Tasks\cawfrjm.job deleted successfully.
File C:\Windows\Tasks\dvscej.job deleted successfully.
File C:\Windows\Tasks\mra.job deleted successfully.
File C:\Windows\Tasks\amveievr.job deleted successfully.
File C:\Windows\Tasks\gpqrnrla.job deleted successfully.
File C:\Windows\Tasks\pukhhca.job deleted successfully.
File C:\Windows\Tasks\blzhrys.job deleted successfully.
File C:\Windows\Tasks\dsthyo.job deleted successfully.
File C:\Windows\Tasks\dmeyol.job deleted successfully.
File C:\Windows\Tasks\tbqnjsef.job deleted successfully.
File C:\Windows\Tasks\drkqkq.job deleted successfully.
File C:\Windows\Tasks\ocbvjn.job deleted successfully.
File C:\Windows\Tasks\caycxxfb.job deleted successfully.
File C:\Windows\Tasks\ytolngz.job deleted successfully.
File C:\Windows\Tasks\yoywoi.job deleted successfully.
File C:\Windows\Tasks\lpfti.job deleted successfully.
File C:\Windows\Tasks\kvfzk.job deleted successfully.
File C:\Windows\Tasks\qasfk.job deleted successfully.
File C:\Windows\Tasks\fvj.job deleted successfully.
File C:\Windows\Tasks\pdmsc.job deleted successfully.
File C:\Windows\Tasks\jyufx.job deleted successfully.
File C:\Windows\Tasks\qxdx.job deleted successfully.
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.

Completed script processing.




Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\LEXMAR~1\BAK

0 File 0 byte
2 Directory 10.467.786.752 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\UNLOCKER\BAK

0 File 0 byte
2 Directory 10.467.786.752 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 10.467.782.656 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\ALCATEL\SPEEDT~1\BAK

0 File 0 byte
2 Directory 10.467.782.656 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

30/04/2007 17.42 75.392 ashDisp.exe
1 File 75.392 byte
2 Directory 10.467.782.656 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\LANGUAGE\BAK

0 File 0 byte
2 Directory 10.467.782.656 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

0 File 0 byte
2 Directory 10.467.782.656 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"


end of report


ecco i risultati, che dice il dottore ? aspetto con trepidazione il responso

ciao notte e milioni di grazie

[Adamus]

mando questo post xchè è sempre meglio superare il n° 17
domani mattina appena riavvio il pc controllo subito la presenza della bestia.... sperem
notte

[bdoriano]

Sembrerebbe tutto ok. Aspettiamo anche il parere di Orange sul log di systemscan.

[Adamus]

facendo i debiti scongiuri, stamane al riavvio non noto nulla né sulla cartella temp né sulla cronologia.

Questo è il log di HjT:

Logfile of HijackThis v1.99.1
Scan saved at 8.54.32, on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Anti-Dialer\a2service.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\Rar$EX00.987\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.76\AMVConverter\grab.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.76\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7940FED-AEED-47B7-A7BA-B50A80EFBA1A}: NameServer = 85.37.17.8 85.38.28.73
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Dialer\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

tengo incrociate le dite
e vi mando un grosso grazie



adamus

[Orange]

i scongiuri hanno funzionato. il log è pulito.

[Adamus]

salve ragazzi.

ho passato 3/4 giorni liscio come l'olio ma.....
tornato da un viaggio ieri riaccendo tranquillo, oggi mentre navigo..zac !
mi si disconnette e sorpresa trovo il solito sgradito ospite

proprio non capisco
, per di più al riavvio no trovo tra le icone vicino alla data quelle di avast, di Spyware Terminator e di a-squared Anti-Dialer, dopo aver cancellato dalla temp i soliti intrusi, fixato arabit ritrovo avast e Spyware Terminator (quest'ultimo richiamato manualmente) ma nulla per -squared Anti-Dialer (nemmeno manualmente)

si saranno incattiviti l'arabit ed il dog ???

non so che dire, ditemi una parola di conforto...

cambio antivirus ? metto zonealarm ?

ciao

[bdoriano]

Che strana cosa...
Rifai il log con SystemScan, salvalo su http://www.freefilehosting.net e posta qui il link.

[Sante62]

Ciao. Scusate ma secondo me si dovrebbero effettuare queste altre operazioni con Avenger:

Files to delete:
C:\WINDOWS\SYSTEM32\IFMON.DLL
C:\Programmi\Alwil Software\Avast4\ashDisp.exe

File to Move:
C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exe. E' giusto lo script?

Inoltre il File C:\WINDOWS\SYSTEM32\ASWBOOT.EXE, mi sembra sospetto.
Chiedo ai moderatori ed eventualmente terminiamone il processo dal task manager prima di inserirlo nello script oppure fallo dalla modalità provvisoria. Cancella poi la cartella Bak di C:\Programmi\Alwil Software\Avast4\bak (solo la cartella Bak) e tutte quelle che hai corretto in precedenza nel corso del post. Poi una scansione online con Panda non guasterebbe: www.nanoscan.com/as/v1/principal.aspx
Ciao.

[bdoriano]

Prima di far fare qualsiasi operazione con Avenger, conviene avere sottomano un log aggiornato, per vedere come è cambiata la situazione. Ti pare?
Prima di cancellare il file IFMON.DLL, dobbiamo essere sicuri che sia un virus. Altrimenti rischiamo di rendere instabile il sistema operativo.
Il file ASWBOOT.EXE, dovrebbe far parte dell'antivirus Avast!.

PS: lo script è corretto.

[Smjert]

Se è per quello ci sono (nel vecchio scan) alcuni .ini, .dat sospetti..

[bdoriano]

Ciao Smjert,
E bentornato!
Si, immagino di aver tralasciato qualcosa (systemscan è un ottimo strumento di diagnosi, ma ha la pecca di non essere di facile lettura).
Aspettiamo comunque di avere il nuovo log per vedere come si è evoluta la situazione.

Adamus... siamo in attesa!

[Adamus]

scusate l'attesa :

[URL="http://www.freefilehosting.net/files/MjQzMzMw"]report.txt[/URL]

http://www.freefilehosting.net/download/MjQzMzMw

<a href="http://www.freefilehosting.net/files/MjQzMzMw">report.txt</a>

non ricordo quale link devo mettere e li metto tutti e 3

attendo esito dell'analisi

grazie e salutoni

[bdoriano]

Instant Access!!!

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe: