Olimpo Informatico

[laphytia]

ciao a tutti!
scrivo per una mia amica che ha avuto la stessa fortuna di incortrare sulla sua strada il simpaticissimo virus che elimina rasapi32.
dato che era successa la stessa cosa a me qualche mese fa e qui mi avete salvato la vita, ci riprovo...
la situazione è la stessa, apparizione della finestra con la bocca rossa e continue aperture di finestrelle in cui viene scritto

"impossibile trovare il punto d'ingresso ratget device nameW della procedura nella libreria di collegamento dinamico rasman.dll"

in oltre tutte le icone relative ai programmi internet, come msn skype etc... sono scomparse dal suo desktop e se cerca di aprire connessioni di rete non lo apre... io gli ho passato una copia di rasapi32.dll ma il problema persiste e quindi ho fatto una scansione con hijack e ve la mando
grazie anticipatamente fede

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.15.36, on 06/09/2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\winlogs.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\ATKOSD.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\USER\Dati applicazioni\Verbatim Software\V-Key.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Asus\Asus Hotkey\Hotkey.exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Documents and Settings\USER\Documenti\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [lmliaa.exe] C:\WINDOWS\TEMP\lmliaa.exe
O4 - HKLM\..\Run: [vlgnaa.exe] C:\WINDOWS\TEMP\vlgnaa.exe
O4 - HKLM\..\Run: [hdpkaa.exe] C:\WINDOWS\TEMP\hdpkaa.exe
O4 - HKLM\..\Run: [MalwareBot] C:\Programmi\MalwareBot\MalwareBot.exe -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Store 'n' Go] C:\Documents and Settings\USER\Dati applicazioni\Verbatim Software\V-Key.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS Hotkey.lnk = C:\Programmi\Asus\Asus Hotkey\Hotkey.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe

--
End of file - 7080 bytes

[Orange]

ciao, laphytia, bentornata

per prima cosa consiglierei a tua amica di aggiornare l'XP con Service Pack2.
scarica RogueRemover e decomprimilo sul desktop. avvialo, clicca Scan e segui le istruzioni.

Disattiva il ripristino ed avvia in modalità provvisoria
avvia HiJack, seleziona "Do a system scan only", metti la spunta alle voci segnalate e premi "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

O4 - HKLM\..\Run: [lmliaa.exe] C:\WINDOWS\TEMP\lmliaa.exe
O4 - HKLM\..\Run: [vlgnaa.exe] C:\WINDOWS\TEMP\vlgnaa.exe
O4 - HKLM\..\Run: [hdpkaa.exe] C:\WINDOWS\TEMP\hdpkaa.exe
O4 - HKLM\..\Run: [MalwareBot] C:\Programmi\MalwareBot\MalwareBot.exe -boot


dai anche una passata con Virit.
ed alla fine segui le istruzioni di questo topic e fai un log con FindAWF
posta il log di HJT aggiornato, uno di Virit e uno di FindAWF

[akme]

ciao orange !
sono l'amica di la pythia, che stamattina aveva chiesto consiglio per risolvere il mio problema...putroppo non ci sono buone notizie. Ho seguito tutte le tue istruzioni...dopo aver concluso in modalità provvisoria ho provato a riavviare per poi poterti spedire i nuovi log ma il pc è completamente bloccato...sono ore che è acceso...
ora ho la schermata dentro documenti, con molta fatica sono riuscita ad arrivare premere i pulsanti per fare la scansione con hijack,ma il pc non risponde ai comandi. sembra che abbia una vita propria.
Il problema è che su qualsiasi icona clicchi non risponde se non dopo un'ora e cmq non ho più neanche i colori normali dello schermo e se spingo su start non reagisce ...
credo che il problema sia molto più grave di ciò che sospettavamo.
puoi aiutarmi ?
non voglio agiatrmi ma sono abbastanza preoccupata...
grazie per la disponibilità

Ra

[bdoriano]

Ciao akme,

sei riuscita a fare tutti i passaggi?
Anche la scansione con Virit?
Riesci ad avviarlo in modalità provvisoria e a fare il nuovo log di hijackthis?

PS: se vuoi, puoi presentarti qui

[Orange]

non sarà mica l'opera di Instant Access? Riesci ad avviare FindAWF?

ah, benvenuta akme!

[akme]

allora...non ho più acceso il pc dopo aver scritto quel messaggio, ci proverò domani mattina e vi farò sapere ....
PER BDORIANO : si la scansione con virit è riuscita , dopo è sorto il problema..
da quel che ricordo i problemi sono peggiorati con findawf...
domani vi farò sapere...
grazie mille per l'interessamento !
buonanotte a tutti !

[Orange]

ciao.
non credo che FindAWF sia la causa...
vorrei dare un'occhiata al log di VirIt (lo trovi in C:\VEXPLITE\VIRITEXP.log), vediamo cosa ha trovato.

[akme]

allora ...il log di virit ? se il pc mi si riaccende te lo mando.... voglio fare una premessa ..io non sono mooooolto pratica...mi puoi perdonare !

[Orange]

cioè, non si avvia proprio? dà un qualche messaggio di errore per caso?
In modalità provvisoria riesci ad avviare?

[akme]

non riesco ad avviarlo in mod provvisoria, almeno oggi ...è questo il problema....

[akme]

buongiorno..ho riacceso il pc anche stamattina! è acceso da cinque minuti ed è ancora sulla pagina per iniziare fai clic sul nome utente...che faccio ? io intanto aspetto un po e poi magari mi date qualche consiglio...
come si fa ad avviarlo in modalità provvisoria ?

[akme]

ecco come si presenta all'accensione : a parte la già citata lentezza , mi riappare la solita icona con scritto:
" impossibile trovare il punto di ingresso rasgetdevicenamew della procedura nella libreria di collegmanto dinamico rasman.dll."
quindi mi sembra che sono al punto di partenza....
ovviamente anche se clicco sull'icona il comando non risponde...

[akme]

ancora niente..completamente bloccato...

[akme]

news!!!

mi è venuta fuori l'icona con utilità configurazione di sistema , che faccio ?

[Sante62]

A questo punto direi di procedere con la creazione di un punto di ripristino ad una data precedente. Clicca su quell'icona e cerca di creare un punto di ripristino ad una data precedente. Dopo si proseguirà con la rimozione dei malware.

[akme]

prima di fare ogni scansione consigliata avevo già provato a creare un punto di riprostino, ma mi diceva che era impossibile.

cmq sono riuscita ad entrare in modalità provvisoria e sto facendo la scnsione con virit, appena finita vi mando il log, giusto ?

[Sante62]

Giusto...

[akme]

ecco
il log di virit :

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
06/09/2007 - 18:12:00

[SCANSIONE DEL REGISTRO]
{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} Infetto da BHO.Softomate.D
* * * RIMOSSO * * *

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\updtexoc.exe Infetto da Trojan.Win32.Agent.AUF
* * * RIMOSSO * * *
C:\WINDOWS\Temp\lmliaa.exe Infetto da Trojan.Win32.Dialer.IH
* * * RIMOSSO * * *
C:\WINDOWS\Temp\vlgnaa.exe Infetto da Trojan.Win32.Dialer.IH
* * * RIMOSSO * * *
C:\WINDOWS\Temp\hdpkaa.exe Infetto da Trojan.Win32.Dialer.IH
* * * RIMOSSO * * *
C:\WINDOWS\Hcontrol.exe Infetto da Trojan.Win32.Small.RE
* * * RIMOSSO * * *
C:\Documents and Settings\USER\Impostazioni locali\Temporary Internet Files\Content.IE5\93Y0OQOJ\cnt[1].jpg Infetto da Trojan.Win32.Small.PY
* * * RIMOSSO * * *
C:\Documents and Settings\USER\Impostazioni locali\Temporary Internet Files\Content.IE5\1BNFP5OE\counter[1].php Infetto da Trojan.Win32.Small.RE
* * * RIMOSSO * * *

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]


[F:]
BOOT SECTOR: OK

[akme]

qualche buona nuova ?

[Sante62]

Va Bene...va meglio ora il PC?
Fai i passaggi suggeriti da Orange e nel frattempo posta un log di HJT aggiornato.