Olimpo Informatico

[Akira]

Ciao a tutti...sono nuovo del forum e dopo questo post provvederò a presentarmi nella sezione apposita...Vi contatto perchè ho visto che questo è uno dei pochi forum decenti che dice cose sensate riguardo il mio problema...Ho un malware o che so io sull'HD esterno ed ogni volta che vi accedo mi si crea un file ravmanlog senza estensione e nel task manager si aprono + processi bittorrent.exe che occupano ram...ho eseguito la scansione online con Kaspersky e questo è il report che è stato prodotto Report kaspersky.html

Il log di hjt è il seguente:
Logfile of HijackThis v1.99.1
Scan saved at 20.20.02, on 28/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe
D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programmi\Opera\Opera.exe
H:\bittorrent.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
H:\bittorrent.exe
H:\bittorrent.exe
E:\Max\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Programmi\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar: Toolbar &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AVG7_CC] "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Ad-Watch] D:\Programmi\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Traduttore in Internet - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - D:\Programmi\TG 6.0\TGWeb.exe
O9 - Extra 'Tools' menuitem: Traduttore in Internet - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - D:\Programmi\TG 6.0\TGWeb.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E65C0CA-DC38-4133-A9F3-8AF5E0EE3D92}: NameServer = 85.37.17.49 85.38.28.91
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe




Inoltre leggendo la vostra sezione sul fai da te ho avviato in modalità provvisoria cwshredder il cui report è questo cwshredder report.txt ed anche con ad-aware il cui report è ad aware report.log....Spero possiate darmi una mano perchè non vorrei provare ad eliminare cose a casaccio con avanger e peggiorare la situazione....Mi rimetto alla vostra sapienza



Edit: il report del 1o passaggio di gmer descritto nel vostra sezione "Come e cosa segnalare per i vostri problemi" è http://www.freefilehosting.net/download/39iaa mentre quello del secondo passaggio è http://www.freefilehosting.net/download/39iab

[Sante62]

Ciao Akira
Vedo che ti sei portata avanti da sola e complimenti...
Il log di Kaspersky segnala ovviamente delle infezioni. Ma dobbiamo procedere per gradi e probabilmente lo dobbiamo rifare alla fine.
Così come gli altri log li dobbiamo fare man mano che procediamo.
Intanto guarda questa discussione relativa a Combofix e Smitfraudfix, scaricali e fai le scansioni postanto i risultati come indicato.
Alla fine posta anche un nuovo di HJT scaricandoti però la versione aggiornata

[Akira]

Grazie mille Sante per l'attenzione....ho fatto come hai detto ed i report dei 2 programmi sono ComboFix1.txt e questo smitfraudfix report.txt
ed inoltre il log con la versione aggiornata di hjt e questo hijackthis28.log


EDIT: scusate ma è possibile che io abbia già risolto il problema del ravmanlog con le scansioni appena eseguite? Quando accedo all'HD esterno non si presente + il file ravmanlog e nel task manager non compaiono + i processi bittorrent.exe Se ho veramente risolto così allora Sante ti devo un favore...fatto sta che il report di Kaspersky mi preoccupa cmq

[Sante62]

Aspetta..ancora non abbiamo finito
Scarica e fai girare anche Perlovga Removal Tool.
Poi vai su Start->Esegui e digita regedit; si aprirà il registro di sistema;
Aiutandoti con i + naviga attraverso questa chiave:

[Akira]

[Sante62]

Va bene, adesso rifai la scansione con Kaspersky. Però prima elimina i residui della scansione precedente, da installazione applicazioni e con HJT seleziona ogni riferimento e poi premi fix Checked, rispondendo si.

[Akira]

[Sante62]

Ho controllato il log e pare che non vi siano altri riferimenti. Adesso procedi con la scansione.

[Akira]

Non mi permette + di scaricare i file per la scansione perchè dice che la licenza è scaduta...non è che consentono di fare solo una scansione?

[Sante62]

Non credo, comunque assicurati che non ci siano altri riferimenti, anche nelle chiavi del registro, aprendo il registro di sistema e navigando attraverso le chiavi HKEY_CURRENT_USER->software e HKEY_LOCAL_MACHINE->software, e se ci sono riferimenti a Kastersky, clicca col destro->elimina. Se ti viene complicato la scansione falla con Panda Active Scan la procedura e più o meno la stessa.

[Akira]

Allora....ho fatto la scansione con panda antivirus e il risultato è questo Activescan.txt
a quanto pare i file infetti bittorrent.exe c'erano ancora nelle partizioni però sembrano essere stati eliminati ora...

[Sante62]

Si in qualche partizione era rimasto, anche se era innocuo.
Qualche file però non è stato eliminato, quindi o lo elimini manualmente seguendone il percorso oppure Scarica The Avenger
Scompattalo in una sua cartella in c:\
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

[Akira]

Ok fatto...abbiamo dunque terminato? Se così fosse ti ringrazio davvero di cuore Sante, per la disponibilità e la pazienza...ho imparato non poche cose con questa esperienza...A proposito, visto che ho anche il portatile infettato dallo stesso virus e non voglio abusare oltre della tua disponibilità, dimmi solo se vado bene nel fare scansioni con ComboFix e smitfraudfix poi faccio scansione con panda antivirus e poi ti posto il log di hjt

[Sante62]

[Akira]

Ho eseguito le scansioni sul portatile i report sono questi ComboFix5.txt smitfraud rapport.txt hijackthis41.log

[Sante62]

Sembra meno critico del precedente...
Apri il registro di sistema e controlla questa chiave come hai gia fatto. arriva fino a quella in rosso e se presente dimmi cosa vedi:

[Akira]

Ho fatto tutto come hai detto e nella cartella 7a758d1b-3168-11dc-929c-0013ce3b273b ci sono 2 cartelle una Auto ed una Autorun e nelle prima ci sono riferimenti al file bittorrent.exe. che faccio? elimino la cartella 7a758d1b-3168-11dc-929c-0013ce3b273b o solo auto? per il resto avanger non ha potuto eliminare i file perchè le partizioni G ed H si riferiscono a quelle dell'HD esterno che mi mise il virus quando lo connessi al portatile...cmq adesso sono stati rimossi dall'HD esterno con le procedure che abbiamo fatto riguardo al pc fisso...i log di gmer sono questi gmer autostart3.txt e gmer rootkit3.txt

[Sante62]

[Akira]

Allora nell'attesa della tua risposta ho provato a fare la scansione con panda active scan il cui report è questo Activescan1.txt
ed ora la cartella 7a758d1b-3168-11dc-929c-0013ce3b273b non c'è +

[Sante62]

Perfetto. Ci sono però questi file che vengono segnalati come strumenti indesiderati, quindi se non li conosci eliminali manualmente: