Olimpo Informatico

[giuggy79]

ciao a tutti e complimenti per il forum...è la prima volta che scrivo qui e spero di risolvere il mio problemino....
VirIT mi riporta da qualche giorno questo log:

13/09/2006 - 14:07:52

[SCANSIONE DEL REGISTRO]
{2a6af021-17a2-4014-8624-cf6015f82fad} Infetto da BHO.Agent.BA

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 1.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 62953.
Files Totali: 62953.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

la voce infetta non posso eliminarla causa fine del periodo di prova...ho trovato una discussione simile ma vorrei cmq sapere se c'è un'altra procedura per eliminare questo problema(ho visto su Internet ma non c'è riferimento alla voce della chiave di registro).
Grazie mille a tutti!
Ciao

[holifay]

Scarica hijackthis, clicca Do a system scan and save a log file e posta il risultato della scansione http://download.hijackthis.eu/hijackthis_199.zip

Ciao

[giuggy79]

ciao,
ecco il log:


Logfile of HijackThis v1.99.1
Scan saved at 23.00.45, on 13/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Le Robert\Le Petit Robert\prhyper.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Desktop\psx - pc\antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Programmi\Le Robert\Le Petit Robert\prhyper.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157020176234
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF261574-1FDB-4EC5-BC58-28017B42AC11}: NameServer = 85.37.17.5 85.38.28.77
O20 - AppInit_DLLs: prova.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

grazie fin da adesso

ciao!

[holifay]

mi sa che sei un caso difficile

dal log non c´è nulla, a parte i tre antivirus che spero non userai in real time contemporaneamente. Per caso hai disinstallato linkoptimizer con la procedura di Virit?

Ti chiedo adesso di fare qualche altro controllo. Per prima cosa connettiti ad Internet e poi:

1) apri una finestra del dos e portati sul desktop (digita cd desktop, invio). Poi digita netstat -a > netlog.txt

2) Scarica RKR e fai una scansione. Non usare il PC finchè non ha finito. Al termine salva il log

3) scarica RegSrch.zip ed estrai lo script dall´archivio. Avvialo e nella finestra digita 2a6af021-17a2-4014-8624-cf6015f82fad (puoi copiare e incollare quello che ho scritto). Al termine della ricerca, copia il risultato della finestra che si aprirà

Poi incollami qui in una tua risposta:

- contenuto del file netlog.txt che trovi sul desktop
- log di RKR che hai salvato
- log di RegSrch che hai copiato.

Ciao

[giuggy79]

ciao e scusa.....allora, sì, avevo rimosso il virus con la procedura guidata Virit e seguendo le indicazioni su vari forum che parlavano di Link Optimizer. Allego i risultati dei tre punti:


1) netlog:


Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP bnv-pma7ty4q39b:epmap bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:microsoft-ds bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:1025 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:1029 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:3260 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:3261 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:5000 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:7250 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:12025 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:12080 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:12110 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:12119 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:12143 bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:netbios-ssn bnv-pma7ty4q39b:0 LISTENING
TCP bnv-pma7ty4q39b:16327 bnv-pma7ty4q39b:0 LISTENING
UDP bnv-pma7ty4q39b:microsoft-ds *:*
UDP bnv-pma7ty4q39b:isakmp *:*
UDP bnv-pma7ty4q39b:1026 *:*
UDP bnv-pma7ty4q39b:1035 *:*
UDP bnv-pma7ty4q39b:1036 *:*
UDP bnv-pma7ty4q39b:1243 *:*
UDP bnv-pma7ty4q39b:4500 *:*
UDP bnv-pma7ty4q39b:ntp *:*
UDP bnv-pma7ty4q39b:1900 *:*
UDP bnv-pma7ty4q39b:10742 *:*
UDP bnv-pma7ty4q39b:48014 *:*
UDP bnv-pma7ty4q39b:ntp *:*
UDP bnv-pma7ty4q39b:1092 *:*
UDP bnv-pma7ty4q39b:1900 *:*
UDP bnv-pma7ty4q39b:ntp *:*
UDP bnv-pma7ty4q39b:netbios-ns *:*
UDP bnv-pma7ty4q39b:netbios-dgm *:*
UDP bnv-pma7ty4q39b:1900 *:*
UDP bnv-pma7ty4q39b:7503 *:*
UDP bnv-pma7ty4q39b:65349 *:*

2) Rootkit reveal:

HKLM\SOFTWARE\Zone Labs\ZoneAlarm\BlockCount 14/09/2006 13.35 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Zone Labs\ZoneAlarm\HackCount 14/09/2006 13.35 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Zone Labs\ZoneAlarm\IncomingCount 14/09/2006 13.35 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 26/04/2006 9.46 0 bytes Access is denied.

3)Regedit:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "2a6af021-17a2-4014-8624-cf6015f82fad" 14/09/2006 14.32.05

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2a6af021-17a2-4014-8624-cf6015f82fad}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2a6af021-17a2-4014-8624-cf6015f82fad}\InprocServer32]

Ciao e grazie!

[holifay]

ciao e scusa te il ritardo nella risposta.

Dunque, connessioni aperte verso altri siti io non ne vedo, malware nascosti (rootkit) non ce ne sono. Rimane solo la presenza di quelle chiavi nel registro.

Se le elimini manualmente, si ricreano?

Che sointomi ha il PC, a parte l´avviso di AVG?

[giuggy79]

ciao e grazie per la tua risposta...non preoccuparti nn c'è problema....beh, fino ad ora non ho provato ad eliminare le chiavi di registro per paura di danneggiare il computer....pensi che sia rischioso eliminarle manualmente?
Il PC in sé non dà particolari problemi...continua a funzionare come sempre(non si blocca, sposta verso siti sconosciuti o roba de genere). L'unica cosa erano queste chiavi di registro....cosa pensi sia meglio fare?Pensi che ci siano problemi quando uso Internet?
Ciao e grazie mille!

[holifay]

Quelle chiavi sono riferite al trojan, che ad esempio Sophos chiama Agent-CRV

Apparentemente però non sono attive (potrebbe essere stato rimosso in precedenza) perchè non compaiono nel log di HijackThis. Il mio dubbio è che la loro presenza fosse nascosta da un rootkit, ma tenderei ad escluderlo dato che il log di RKR era pulito.

Le chiavi sono da eliminare, ma prima puoi per sicurezza esportarle creando un file reg che ti permette di ripristinarle facilemente. Basta che selezioni la chiave e poi scegli File / esporta dal menu di regedit.

Prima però potresti guardare nel pannello di destra di regedit, lla chiave
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2a6af021-17a2-4014-8624-cf6015f82fad}/InprocServer32
a qual dll è (o era) collegata, così poi sapendo il nome la puoi cercare sul computer.

[giuggy79]

ciao!
ho rimosso le chiavi manualmente e spero adesso che sia tutto ok! Per la cronaca, la dll collegata era: xsaa.dll

grazie ancora per l'aiuto e per il tempo che hai dedicato!


Ciao

[holifay]

...immagino che tu l´abbia cercata nel PC senza trovarla

Ciao!

[giuggy79]

ciao!
Sì, l'ho cercata ma non l'ho trovata(nemmeno tra i file nascosti)....deve essere così?

Ciao!