Olimpo Informatico

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

salve a tutti
chiedo a voi consiglio perchè ormai la disperazione sta prendendo il sopravvento
tempo fa mi è apparsa su temp la micidiale icona con labbra rosse seguita poi dalla nuova connessione a instant access, cancellato tutto e fixato ma nn risolto problema
ora puntualmente mi compare sulla cartella temp un paio di file uno dat e l'altro pid
il primo è un numero il secondo è abc123
cancello e fixo ma il giorno dopo riappare
sulla cronologia mi ricompare dopo un po il collegamento ai siti in oggetto
dopo ore perse in ricerche in rete non ho risolto nulla (forse perchè non ho ancora capito cosa sono i famosi bak???)
utilizzo avast, a-squared, spyware terminator.
esiste un programma x risolvere senza smanettare per forza tra i file ?? grazie dell'aiuto

kevin

ciao Adamus, potresti postare un log di HJT ?

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

bdoriano

Per problemi di malware (virus, spyware, adware, etc) devi postare in pronto soccorso.

Orange, puoi spostare il topic?

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

kevin

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

ciao, Adamus, benvenuto. Smile

scarica The Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/edit script copia/incolla seguente:

bdoriano

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

Grazie mille dell'aiuto Orange Applause

ecco i file aggiornati:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gqulhkvn

*******************

Script file located at: \??\C:\Documents and Settings\uumioxiu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe deleted successfully.
File C:\Programmi\Unlocker\UnlockerAssistant.exe deleted successfully.
File C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe deleted successfully.
File C:\Programmi\CyberLink\PowerDVD\Language\Language.exe deleted successfully.
File C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe deleted successfully.
File move operation C:\Programmi\Lexmark X1100 Series\bak\lxbkbmgr.exe|C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe completed successfully.
File move operation C:\Programmi\Unlocker\bak\UnlockerAssistant.exe|C:\Programmi\Unlocker\UnlockerAssistant.exe completed successfully.
File move operation C:\Programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe|C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe completed successfully.
File move operation C:\Programmi\CyberLink\PowerDVD\Language\bak\Language.exe|C:\Programmi\CyberLink\PowerDVD\Language\Language.exe completed successfully.
File move operation C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe|C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe completed successfully.

Completed script processing.

*******************

Finished! Terminate.

Find AWF report by noahdfear ©2006

bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\LEXMAR~1\BAK

0 File 0 byte
2 Directory 10.489.982.976 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\UNLOCKER\BAK

0 File 0 byte
2 Directory 10.489.982.976 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\WINDOWS\SYSTEM32\BAK

09/07/2001 10.50 155.648 NeroCheck.exe
1 File 155.648 byte
2 Directory 10.489.978.880 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\ALCATEL\SPEEDT~1\BAK

0 File 0 byte
2 Directory 10.489.978.880 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

30/04/2007 17.42 75.392 ashDisp.exe
1 File 75.392 byte
2 Directory 10.489.978.880 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\LANGUAGE\BAK

0 File 0 byte
2 Directory 10.489.978.880 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

0 File 0 byte
2 Directory 10.489.978.880 byte disponibili

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

23568 4 Jun 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINNT\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"

end of report

sulla stringa 015 di HjT è comparso ancora arabit e l'ho fixato
speriamo bene....

Grazie

Adamus

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

salve a tutti e buona giornata Very Happy

stamane all'accensione del pc la situazione che si presenta è questa:
nella cartella temp trovo: abc123.pid

lancio HjT ed il log è il seguente:

Logfile of HijackThis v1.99.1
Scan saved at 9.01.43, on 14/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\Rar$EX00.417\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.76\AMVConverter\grab.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.76\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7940FED-AEED-47B7-A7BA-B50A80EFBA1A}: NameServer = 85.37.17.8 85.38.28.73
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

awf è lo stesso postato ieri sera.

il cane arabo è ancora lì..... Grrr

provo col martello ???

grazie dell'aiuto che mi darete so di poter contare su di voi (mandatemi l'indirizzo che vi spedisco una torta Wink

)

[/b]

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

sta diventando di moda questo trojan... Grrr

allora:
fissa le stringhe 015 di HiJack
apri il registro Start/Esegui digita regedit/OK
trova questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
nella finestra di destra assicurati che non compare il valore "Lexmark_X79-55" = "%System%\lsasss.exe" (se c'è cancellalo)
trova e se c'è cancella la chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\me.

scarica Del Domains ed eseguilo (se l'antivirus te lo segnala come pericoloso, ignoralo)
(dopo averlo decompresso, click con il tasto destro sul file e seleziona Installa)
serve a riparare la "trusted zone".

dai una ripulita ai files temporanei con CCleaner

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

ciao Orange, grazie dell'aiuto CinCin

la stringa l'ho fissata (ormai lo faccio di prassi...)
ho verificato sul regedit ma non ho trovato nulla, tranne sul run- (quello dopo col trattino che c'era qualcosa di simile ma nn uguale ( volevo uppare l'immagine ma non so come si faccia.... Sad

Lexmark X1100 Series "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"

Del Domains l'ho scaricato ma non l'ho installato perchè non sapevo se fosse conseguenziale all'intervento su Regedit o meno: che faccio ?

per ripulire i file temporanei utilizzo (dopo ogni connessione ma ultimamente anche a random) CleanUp, che dici va bene o è meglio scaricare CCleaner
ciao e grazie mille

Grazie

[/img]

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

bdoriano

Proviamo un altro approccio...
Scarica questo e scompattalo in una sua cartella non temporanea.
Avvialo
clicca su > > >
Clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.

Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

grazie bdoriano,
provo subito
Grazie

Adamus · Eroe Registrato: 07/06/07 22:36 Messaggi: 56

Ecco i log:

http://www.freefilehosting.net/download/MjI0ODMy

http://www.freefilehosting.net/download/MjI0ODMz

incrociamo le dita
Think

Orange · Dio maturo Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma

@BD:

nel log Rootkit è presente (di nuovo) C:\WINDOWS\system32\Drivers\mchInjDrv.sys
lo stesso di twinky.... Think

(stesso problema)
qualche idea?