Olimpo Informatico

[svasato]

Ciao ragazzi sono nuovo del posto ma vi leggo frequentemente .....

in tante occasioni siete stati molto utili..
vorrei porvi un quesito....

da qualche tempo il portatile allo spegnimento cerca di chiudere un processo (monitor.exe) ma non ci riesce, dopo un paio di prove ho deciso di fare uno scan con HijackThis ....ma mon appena lo apro si richiude subito e scompaiono pure le icone del desktop per riapparire subito dopo !

sapete mica come può essere sto fatto ?



dimenticavo non parte nemmeno in modalità provvisoria!

[Jeppo59]

Ciao e benvenuto!

Servono più notizie, tipo: marca e modello del portatile, sistema operativo, se questo problema lo fa solo quando tenti di avviare Hijack o anche con altri programmi.

[svasato]

Grazie tante per la risposta......
il lavoro mi ha tenuto lontano .... cmq

il portatile è un acer Aspire 3610 con S.O. XP Home Sp2 aggiornato.....
ho notato che non mi fa installare nemmeno Virit , Ccleaner ..... non ho avuto tempo per provarne altri ......
se può essere utile uso avast e il firewoll di xp....

che diamine ho beccato???

[chemicalbit]

Vediamo,

che antimalaware riesci ad avviare?

p.s.: dici che è win "XP Home Sp2 aggiornato....."
Hai per caso fatto qualche aggiornamento poco prima che inziasse questo problema?

[svasato]

ohps.... per quanto rigurda gli aggiornamenti non saprei dirti visto che se li installa da solo ...... in automatico...

riesco a far funzionare Ad-aware se prof. e Spybot 1.4... ma non hanno rilevato nulla

[svasato]

acc**** non ho nemmeno ringraziato per il benvenuto..... ora che ci penso ho notato un'ltra cosa strana , c'era il ripristino conf. di sistema disattivato

sara mica tutto correlato ?

[Smjert]

Ti sei beccato o il Clicker o il LinkOptimizer.
Prova a usare questo HijackThis camuffato da me (mi raccomando, quando lo scompatti non chiamare la cartella HijackThis altrimenti il malware non te la lascia aprire).
Se non gira HJT scarica GMER sempre camuffato (vale la stessa cosa anche con questo).

Avvia GMER e fai due scansioni (tasto Scan) una dal tab rootkit e l´altra dal tab autostart. Copiale tutte e due premendo il tasto Copy nei rispettivi tab e incollali in un file di testo che salverai.

Posta il contenuto di quel file di testo.

[svasato]

Dunque nell'attesa , dato che proprio con le mani no riesco a stare fermo , ho provato ad installare virit in provvisoria e ci sono riuscito...(come son contento ).
parte la scansione e nemmeno 2 secondi dopo mi chiede se voglio rimuovere Trojan.W32.rootkit.E !!!!!!!!

mi sa che non è finita ...
comunque adasso sta facendo la sia bella scansione e al momento a trovato una chiave e un file .....


speriamo bene

[svasato]

provo con gemer hijack modificato non va

la cansione di virit mi ha dato queaso risultato può essere utile ?




VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.E
[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
26/03/2007 - 20:09:20

[SCANSIONE DEL REGISTRO]
{2ee25147-37d4-4640-832c-fccfac8b21d9} Infetto da BHO.Agent.AR
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\alism1.dll Infetto da BHO.LinkOptimizer.N
* * * RIMOSSO * * *
C:\System Volume Information\_restore{40B70121-7FC1-4057-9C2D-765003B2A806}\RP15\A0001193.dll Infetto da BHO.LinkOptimizer.N
* * * RIMOSSO * * *

Chiavi Registro infette: 1.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 57013.
Files Totali: 57013.
Chiavi Registro rimosse: 1.
Virus Rimossi: 2.

[chemicalbit]

[svasato]

ecco i log di Spybot

>>>>process list<<<<

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2007-03-25 unins000.exe (51.41.0.0)
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-01-15 advcheck.dll (1.2.1.0)
2007-01-02 Tools.dll (2.0.1.0)
2007-03-14 Includes\Cookies.sbi
2004-11-29 Includes\LSP.sbi
2007-03-14 Includes\Revision.sbi
2005-02-17 Includes\Tracks.uti
2007-03-14 Includes\DialerC.sbi
2007-03-14 Includes\HijackersC.sbi
2007-03-14 Includes\KeyloggersC.sbi
2007-03-14 Includes\MalwareC.sbi
2007-03-14 Includes\PUPSC.sbi
2007-03-14 Includes\SecurityC.sbi
2007-03-14 Includes\SpybotsC.sbi
2007-03-14 Includes\TrojansC.sbi
2006-12-08 Includes\Dialer.sbi
2007-03-21 Includes\Hijackers.sbi
2006-10-27 Includes\Keyloggers.sbi
2007-03-21 Includes\Malware.sbi
2007-03-21 Includes\PUPS.sbi
2006-12-08 Includes\Security.sbi
2007-03-21 Includes\Spybots.sbi
2007-03-21 Includes\Trojans.sbi

PID: 0 ( 0) [System]
PID: 512 ( 4) \SystemRoot\System32\smss.exe
PID: 592 ( 512) \??\C:\WINDOWS\system32\winlogon.exe
PID: 636 ( 592) C:\WINDOWS\system32\services.exe
size: 108544
MD5: E77F6FA2A15390F1727F4C1C55B69DA6
PID: 648 ( 592) C:\WINDOWS\system32\lsass.exe
size: 13312
MD5: 0815E8DA286775FA432C7C9EE5E10BA1
PID: 788 ( 636) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 73955B04F209D8A1C633867841267A96
PID: 876 ( 636) C:\WINDOWS\System32\svchost.exe
size: 14336
MD5: 73955B04F209D8A1C633867841267A96
PID: 1336 ( 636) C:\WINDOWS\system32\spoolsv.exe
size: 57856
MD5: DA81EC57ACD4CDC3D4C51CF3D409AF9F
PID: 1468 ( 636) C:\Acer\eManager\anbmServ.exe
size: 1273344
MD5: 9493A96D44CC1B9127917E40F2C83F4E
PID: 1520 ( 636) C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
size: 59008
MD5: DC995DA2D258C0590C3AE07EC68BFEE6
PID: 1536 ( 636) C:\Programmi\Alwil Software\Avast4\ashServ.exe
size: 132736
MD5: 8E33DA0415023EA7A9378AFA04D9BF4D
PID: 1616 ( 636) C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
size: 270336
MD5: 8AB250DD3552164F7FC16C6C74096192
PID: 1732 ( 636) C:\WINDOWS\system32\svchost.exe
size: 14336
MD5: 73955B04F209D8A1C633867841267A96
PID: 1904 ( 636) C:\VEXPLITE\viritsvc.exe
size: 53248
MD5: 98B7087A949232FB1389FA305080859B
PID: 2000 (1300) C:\acer\epm\epm-dm.exe
size: 192512
MD5: C1CCD2C438A18C40CD634468757AF1B7
PID: 208 (1300) C:\Programmi\Launch Manager\Wbutton.exe
size: 81920
MD5: 78D5858FA5213F37DBC7D797B84DFA60
PID: 164 (1300) C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
size: 102490
MD5: 2E106877210B59A6A63756D004B7850A
PID: 248 (1300) C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
size: 708698
MD5: 347CF0EE182A56914E783FFE9E1B2371
PID: 228 (1300) C:\WINDOWS\SOUNDMAN.EXE
size: 77824
MD5: D5D0CD6A04617A15C2DF76CD668FF540
PID: 280 (1300) C:\WINDOWS\system32\igfxtray.exe
size: 155648
MD5: DFCBA58A26C6540CB398418A050FFFC3
PID: 396 (1300) C:\Programmi\Acer\eRecovery\Monitor.exe
size: 352256
MD5: A9DD91AACAC785A357E1616A5E8BFD1C
PID: 540 (1300) C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
size: 108160
MD5: 26A15D8D5C81A3B053E82B01A5D8208E
PID: 320 (1300) C:\VEXPLITE\MONLITE.EXE
size: 241664
MD5: 1C16D162C3FA46E24762DA2390E989DD
PID: 960 (1300) C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 5B33B4265966EE063C7FBEA28958D9C2
PID: 1204 (1300) C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
size: 1415824
MD5: 70496EEE0DDBE485F658693826F44D38
PID: 1696 ( 636) C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
size: 255616
MD5: AA6691D73782FA5D94E0CED6D27C3DE8
PID: 1752 ( 636) C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
size: 370304
MD5: D6B2638DDBFB34AC78B153CDD0792C37
PID: 2552 (2540) C:\WINDOWS\explorer.exe
size: 1034752
MD5: 178D42BD8FC34A9837417A6CE1D6BB7B
PID: 4040 (2552) C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
size: 4393096
MD5: 09CA174A605B480318731E691DC98539
PID: 4 ( 0) System
PID: 568 ( 512) CSRSS.EXE
PID: 836 ( 636) SVCHOST.EXE
PID: 924 ( 636) SVCHOST.EXE
PID: 1112 ( 636) SVCHOST.EXE
PID: 1768 ( 636) WDFMGR.EXE
PID: 2168 ( 636) ALG.EXE

>>>>System startup<<<<

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2007-03-25 unins000.exe (51.41.0.0)
2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-01-15 advcheck.dll (1.2.1.0)
2007-01-02 Tools.dll (2.0.1.0)
2007-03-14 Includes\Cookies.sbi
2004-11-29 Includes\LSP.sbi
2007-03-14 Includes\Revision.sbi
2005-02-17 Includes\Tracks.uti
2007-03-14 Includes\DialerC.sbi
2007-03-14 Includes\HijackersC.sbi
2007-03-14 Includes\KeyloggersC.sbi
2007-03-14 Includes\MalwareC.sbi
2007-03-14 Includes\PUPSC.sbi
2007-03-14 Includes\SecurityC.sbi
2007-03-14 Includes\SpybotsC.sbi
2007-03-14 Includes\TrojansC.sbi
2006-12-08 Includes\Dialer.sbi
2007-03-21 Includes\Hijackers.sbi
2006-10-27 Includes\Keyloggers.sbi
2007-03-21 Includes\Malware.sbi
2007-03-21 Includes\PUPS.sbi
2006-12-08 Includes\Security.sbi
2007-03-21 Includes\Spybots.sbi
2007-03-21 Includes\Trojans.sbi

Located: HK_LM:Run, avast!
command: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
file: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
size: 108160
MD5: 26a15d8d5c81a3b053e82b01a5d8208e

Located: HK_LM:Run, epm-dm
command: c:\acer\epm\epm-dm.exe
file: c:\acer\epm\epm-dm.exe
size: 192512
MD5: c1ccd2c438a18c40cd634468757af1b7

Located: HK_LM:Run, ePowerManagement
command: C:\Acer\ePM\ePM.exe boot
file: C:\Acer\ePM\ePM.exe
size: 2893824
MD5: 5bd7ac79525975a097196891b4fd7170

Located: HK_LM:Run, eRecoveryService
command: C:\Programmi\Acer\eRecovery\Monitor.exe
file: C:\Programmi\Acer\eRecovery\Monitor.exe
size: 352256
MD5: a9dd91aacac785a357e1616a5e8bfd1c

Located: HK_LM:Run, IgfxTray
command: C:\WINDOWS\system32\igfxtray.exe
file: C:\WINDOWS\system32\igfxtray.exe
size: 155648
MD5: dfcba58a26c6540cb398418a050fffc3

Located: HK_LM:Run, preload
command: C:\Windows\RUNXMLPL.exe
file: C:\Windows\RUNXMLPL.exe
size: 32768
MD5: b097a1bb009e5f9d63b036d8873d9072

Located: HK_LM:Run, SoundMan
command: SOUNDMAN.EXE
file: C:\WINDOWS\SOUNDMAN.EXE
size: 77824
MD5: d5d0cd6a04617a15c2df76cd668ff540

Located: HK_LM:Run, SynTPEnh
command: C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
file: C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
size: 708698
MD5: 347cf0ee182a56914e783ffe9e1b2371

Located: HK_LM:Run, SynTPLpr
command: C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
file: C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
size: 102490
MD5: 2e106877210b59a6a63756d004b7850a

Located: HK_LM:Run, VIRIT LITE MONITOR
command: C:\VEXPLITE\MONLITE.EXE
file: C:\VEXPLITE\MONLITE.EXE
size: 241664
MD5: 1c16d162c3fa46e24762da2390e989dd

Located: HK_LM:Run, Wbutton
command: "C:\Programmi\Launch Manager\Wbutton.exe"
file: C:\Programmi\Launch Manager\Wbutton.exe
size: 81920
MD5: 78d5858fa5213f37dbc7d797b84dfa60

Located: HK_CU:Run, ctfmon.exe
command: C:\WINDOWS\system32\ctfmon.exe
file: C:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 5b33b4265966ee063c7fbea28958d9c2

Located: HK_CU:Run, SpybotSD TeaTimer
command: C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
file: C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
size: 1415824
MD5: 70496eee0ddbe485f658693826f44d38

Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll

Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll

Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll

Located: WinLogon, igfxcui
command: igfxsrvc.dll
file: igfxsrvc.dll

Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll

Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll

Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll

Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll

Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll

Located: WinLogon, WgaLogon
command: WgaLogon.dll
file: WgaLogon.dll

Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll



Mannaggia quanta roba!!!!!

[Smjert]

Pare che tu abbia proprio il LinkOptimizer.

Scarica sul desktop questi due tool camuffati:

Prevx
http://www.prevx.com/gromozon.asp

Symantec
http://www.mytempdir.com/1229910

Fai partire prima il tool Prevx e fagli fare una scansione, alla fine ti chiederà di riavviare il pc, tu accetta.

Quando ha finito di riavviare il pc tu riavvialo di nuovo in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità).

Da lì scompatta l'archivio e fai partire il tool Symantec facendogli fare una scansione.

Riavvia il pc in Modalità Normale

Vai su Start->Esegui->digita control userpasswords2, ti si apre una finestra con una lista di account, forse ce ne sono alcuni con nomi assurdi (tipo aSFScvE o cose così), selezionali e premi Rimuovi (ASPNET non è da rimuovere!)

Ora sempre da Esegui dai services.msc, ti si apre una finestra con la lista dei servizi, scorrila e cerca se ci sono delle voci che nella colonna Connessione hanno un valore che non sia Sistema locale o Servizio di rete (se li trovi potrai notare che hanno lo stesso nome di quegli account strani che hai trovato).

Vai poi in C:\Documents and Settings\ e cancella le cartelle con quel nome assurdo (nome identico agli account precedentemente rimossi).

Posta un nuovo log di HijackThis, il log del tool Prevx (Gromozon_Removal.log) e del tool Symantec (FixLinkOpt.log)

[svasato]

prevx si è comportato in modo strano ....
dopo che mi ha consigliatodi disattivare l'antivirus e ho cliccato su scan dopo qualche secondo si è chiuso e il sistema si è riavviato da solo
è normale ?

[svasato]

?!?!?!?

non ci sto capendo più niente !!!!
ho fatto la scansione del tool di symantec non ha trovato nulla :
riavvio in modalità normale e mi parte la scansione di prevx che prima non aveva fatto .....e in contemporanea anche quella di virit ????

che significa ?

[svasato]

Allora oggi non hoo avuto tenpo da dedicare al pc.

ho rifatto tutta la procedura a partire dalla scansione di prevx
ecco il log:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.

dopo : riavvio in mod. provv. eseguito il tool di Symantec
ecco il log:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer.

controllato lista account e ho trovato questo: DJitxca....... cancellato !
controllato lista servizi da services.msc e li ho trovato il servizio WebDnd con connessione .\dJitxCa.....

in C:\Documents and Settings\ non c'è nulla di anomalo (non ci sono altre cartelle)

HijackThis non gira ancora ....come gmer ... dunque niente log .

[svasato]

e quando voglio arrestare il sistema o riavviarlo mi rimane sempre il Monitor,exe che windows non riesce a terminare

tra l'altro non funziona nemmeno IE si chiude|

[Smjert]

Allora che prevx ti chieda di riavviare e faccia la scansione all'avvio è normale.
Pure VirIt se non sbaglio di default fa la sua scansione al riavvio.

Per cancellare il servizio che hai trovato vai su Start->Esegui->digita sc stop WebDnd, poi stessa cosa ma dai il comando sc delete WebDnd.
Riesci a fare il log di HijackThis ora?

[svasato]

.... fatto
pero appena ho cliccato sulla cartella che contiene HijackThis mi è sparito tutto tranne la foto che uso come sfondo....
ho potuto solo riavviare da task manager


riprovo ?

[chemicalbit]

Riprova.

Se non riesci, resetta, parti da modalità provvisoria e riprova da lì.
(Se posti il log così ottenuto, però, specifica di averlo fatto in modalità provvisoria).

[svasato]

Allora ho provato in modalità provvisoria ma appena clicco su HijackThis sia la versione normale che la versione camuffata da smjemer mi appare per 2 secondi si richiude e mi da la schegmata dove dice che windows è avviato in modalità provvisoria e bla bla bla ...... praticamente la prima videata che da
quper avvisare che ci si ptrova in modalità provvisoria.....

che faccio ?

prendo un buon martello ? .........(per " buon " intendo grosso e robusto)