Olimpo Informatico

[chemicalbit]

Dando un'occhiata ai log dell'antivirus, dopo aver guardato le recenmti discussini in questa sezione, mi sono accorto che ho avuto anche io clicker.CVM e clicker.CVF e che io lmio antivirus aveva tolto senza che io ci facessi troppo caso.

Ora sembra non esserci più
ma ho un file c:\windows\240113125225.exe sospetto.



Andiamo con ordine, ho ricostruito una successione conologica dai log dei vari antimalaware (1 antivirus + 3 antispyware + CSWShredder) perché inzia dall'inzio di settembre:

mar 05 sett - AVG Resident: Trojan horse clicker.CVF in c:\windows\SYSHOST.DLL (cleaned . Nella directory non lo vedo più per cui più che pulito, penso l'abbia propio spostato compeltamente nella "virus vault" (*) )

mar 05 sett - AVG Resident Trojan horse Downloader.Zlob.DEZ in ####\Impostazioni locali\Temporary Internet Files\Content.IE5\0TQRC1UB\dvdcodec1051[1].exe (nel log non c'è segnata alcuna azione. Ma da allora le directory temporanee le ho pulite già più volte. )

dom 10 sett - AVG manuale: Java/ByteVerify e Trojan horse Java/ClassLoader(in uno zip nella chache di Java. AVG non è riusicto ad eleiminarlo, perhcé in uno zip. ho svuotato a mano tutta la cache java.)

dom 10 sett - AVG manuale: Trojan horse cliker.CVM c:\windows\1633810547.exe (nel log non c'è indicato che azione ha fatto . Però il file non è più nella direcorry e non c'è nemmeno nella virus vault)

mar 12 sett - AVG resident: Trojan horse Clicker.CVF C:\WINDOWS\syst32.dll (cleaned - spostato nella virus vault (*) )

dom 17 sett - AVG (presumo resident, non c'è scritto) : mi ha spostato nella virus Vault aboutyou.zip (il log non diceda che directory. E stranamente non dice di aver trovato un virus, né che virus sia. Nella virus vault è "moved object" e dice che il virus è I-Worm/Netsky.B . EDIT: ho capito, era un allegato ad un'email)


lun 18 sett - AVG manuale: Trojan horse cliker.CVM in c:\windows\1633810547.exe (il log non riporta che azione è stata eseguita. comunque ricordo che non c'era più nella directory, e nella virus vault non c'è)

Anzi, avevo guardando nella directory mi sono accorto che esiste anche c:\windows\240113125225.exe . Nessun programma che ho me lo rileva come malaware. Click destro, proprietà, non ha la scheda "versione" (ha solo generale, compatibilità, riepilogo)

mar 19 sett 09:06 - AVG Resident Trojan horse cliker.CVM in c:\windows\1633810547.exe (non so che azione abbia fatto.)

mar 19 sett 09:12 - AVG Resident Trojan horse cliker.CVM in c:\windows\1633810547.exe (cleaned - non c'è più nella directory, ed è stato messo nella virus vault)

A questo putno mi sono insospettito. Oltre agli antispyware che avevo già, cioè:

CWShredder: non ha trovato nulla

Lavasoft Adaware e spybot Search&Destroy: non hanno trovato nulla (se non qualche Tracking Cookie ogni tanto se mi dimenticavo di svuotare la cache prima)

ho agiunto Ewido che era un po' che volevo installare.

gio 21 sett 00:28 Ewido - mi ha trovato vari Not-A-Virus.Exploit.IframeJS , in file che mi ero salvato da alcuni siti per leggerli più con calma. Nonostante man mano che li tovava me l'aveva indicato come rischio "high" (alto), nella spiegazione finale diceva che dipende da come vengono usati nel sito. siccome provengono da siti di cui mi fido, li ho tenuti. Ho fatto bene?

gio 21 sett 09:49: Ewido - C:\WINDOWS\system32\qsws\medo.dl -> Backdoor.Flood , C:\WINDOWS\system32\yckug.exe -> Trojan.DNSChanger.ef , C:\WINDOWS\system32\qsws\ksat.bat -> Trojan.Small


nota (*) = questi 3, la virus vault di AVG me li indica non come "moved object" ma come "backup copy". Però nelle posizione di origine non ci sono file con quel nome.


Tra poco posto il log di Hijackthis

Ho provato anche a fare una scansione con RootkitRevealer di Sysinternals (l'avevo scaricato qualche giorno fa vedendolo segnalato in questo forum "vah, appofittiamo per dare una controllata") ma -impiegnadoci tanto tempo- (dopo giornate in cui avevo potuto usare poco il PC perché "impegnato" dagli antivirus & c.) avevo dovuto interrompere. Appena riesco posto anche quello.

[chemicalbit]

Ecco il log di HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 18.03.08, on 22/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\ewido\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\Merijn\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AWMON] "C:\Programmi\F-Secure Internet Security\Anti-Spyware\Ad-Monitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Alice - {F9D8FBCB-A6E2-4AEF-8FB4-B16F528D5DD5} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://forum.zeusnews.com/link/9750]
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{585D785F-5FFD-4EBA-BB77-7874F74E9D8E}: NameServer = 85.37.17.15,85.38.28.74
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ho messo in colore rosso scuro le voci che mi sembrano sospette (o che io non conosco)
System32\ctfmon.exe e NvCplDaemon non ho mai capito cosa siano.
Le due toolbar non so cosa siano.

Particolarmente sospette sono le due righe ProtocolDefaults .. .trusted zone.
Tra l'altro meno male che ho rifatto HijackThis con l'utente che uso di solito. Ieri l'avevo fatto con l'accout amministratore e quel problema non c'è. (in effetti era una cosa che avevo notato guardando al barradi stato di Internet exploere. Avevo guardato le impostaizoni di IE ma non trovo nulal che lo provochi).


e in colore oliva quelle che potrebebro sembrarvi insolte ma io so essere corrette.
(ScanSoft\OmniPageSE\opware32.exe è del programma dello scanner. E' un OCR mi pare
Uso alice che ha personalizzato IE , anche se io in realtà come home page ho about:blank
Organizzatore ricerche dev'essere uan roba di encarta che mi sono trovato (mezzo!) pre-installato sul pc quando l'ho comprato
gl'indirizzi ip 85.37.17.15,85.38.28.74 sono i DNS di Alice -li ho impostati "statici" perché altriemnti ho ogni tanto problemi col router)



p.s. per holifay: devo mandarti il file c:\windows\240113125225.exe zippato?

p.s.bis: noto un po' d'immondizia che mi è rimasta dopo aver disinstallato programmi (ad es. F-Secure). La sistemerò dopo che ho ripulito da (eventuali) virus.

[Smjert]

Ctfmon.exe viene spiegato cos'è qui mentre NvCplDaemon riguarda i driver dell'Nvidia della tua scheda video.

[chemicalbit]

Ok, almeno quello è a posto ...

Nel frattempo ho finito la scansione con RootkitReveal di Sysinternals

c'ha impeigatopoco più di 4 ore
e il log ha i nomi dei file con percorso+noem file più lunghi troncati

ho 1 riga Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1300003180-1417818515-3399203189-1017\RemoteAccess\InternetProfile 16/11/2004 21.39 13 bytes Data mismatch between Windows API and raw hive data.

ho 2 righe Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\upd7bin\u7avi781u77583.bin 24/07/2006 19.07 63.69 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\upd7bin\u7iavi405u40383.bin 24/07/2006 19.07 3.63 KB Visible in Windows API, but not in MFT or directory index.

E ho una molte righe Hidden from Windows API. Ne riporto solo alcune. Tra la'ltro sono di 2 tipi.

Di queste alcune hanno anche :KAVICHS alla fien del nome del file
C:\Documents and Settings\amministratore\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 22/09/2006 19.39 68 bytes Hidden from Windows API.
C:\Documents and Settings\amministratore\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat:KAVICHS 14/02/2006 14.35 68 bytes Hidden from Windows API.
C:\Documents and Settings\amministratore\Impostazioni locali\Temp\jusched.log 22/09/2006 19.49 203 bytes Hidden from Windows API.

e altri non hanno :KAVICHS (vedaimo .. ne prendo uno col nome non troncato nel log io però già ceh ci sono l'accorcio)
C:\Documents and Settings\chemicalbit ....\Trenitalia\menus_f5.gif 14/04/2003 23.01 179 bytes Hidden from Windows API.


Devo postare tutto? sono 262 kb di file di testo

E soprattutto, devo preoccuparmi?

[Smjert]

Ti dico solo di non preoccparti delle voci con :KAVICHS, perchè è Kaspersky che con un nuovo metodo "salva" delle informazioni negli ADS per velocizzare la scansione (spero di averlo spiegato nel modo giusto ).

[Jeppo59]

[holifay]

Ciao Chemical

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

questa dovrebbe essere di McAfee, ma è corrotta, quindi eliminala. Dimmi se hai problemi a cancellarla.

Devi invece assolutamente fixare le voci O15, altrimenti tutte le comunizazioni che usano i protocolli http e https saranno considerate sicure da IE (teusted zone)

Per RKR confermo la diagnosi: niente di preoccupante di quello che hai postato. Purtroppo RKR vede come anomalie i tag che Kaspersky lascia sui file analizzati.

Mandami il file exe, che lo guardo e poi lo invio alle aziende AV. Per il clicker, controlla in questa chiave di registro se vedi qualcosa che è richiamato.

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run

[chemicalbit]

[chemicalbit]

ciao holifay!

[Smjert]

Per rimuovere quelle informazioni scaricati questo programma e scompattalo nel livello + alto della tua partizione (quindi metti l'eseguibile ad esempio in C: ).

Poi devi farlo partire con il parametro -r (quindi o crei un collegamento e in Destinazione alla fine della stringa metti -r oppure usi Start->Esegui).

Aspetti un po' che finisca di lavorare...
Questo lavoro fallo per ogni partizione che hai.

[Jeppo59]

[chemicalbit]

[chemicalbit]

E' tutto a posto ora?

Logfile of HijackThis v1.99.1
Scan saved at 15.23.44, on 24/09/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\ewido\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmi\Merijn\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmi\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Alice - {F9D8FBCB-A6E2-4AEF-8FB4-B16F528D5DD5} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O17 - HKLM\System\CCS\Services\Tcpip\..\{585D785F-5FFD-4EBA-BB77-7874F74E9D8E}: NameServer = 85.37.17.15,85.38.28.74
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Jeppo59]

[holifay]

i file Kavichs sono ADS: per eliminarli dovrebbe bastare HijackThis selezionando l\'opzione ADS SPY da Misc tools section

Ad ogni modo, chemical, quando hai pulito un po´ il log, posta nuovamente i risultati di Rootkitrevealer, così vediamo meglio. Magari prova a fare il log Rootkit di GMER (www.gmer.net) che forse farà prima.

Qui trovi le risposte delle case antivirus al file che hai inviato

Ciao

[chemicalbit]

[chemicalbit]

[holifay]

Molto meglio

[chemicalbit]