Olimpo Informatico

[ventosa]

Salve a tutti, sono nuova qui, e questa mi pare un'oasi nel deserto!

Vi chiedo aiuto e sarò eternamente grata a chi vorrà darmi una mano.
Premetto che pur usando moltissimo il pc e navigando molto, sono una profana, quindi abbiate pietà della mia ignoranza.

Ieri da un contatto messenger mi è arrivata, ovviamente senza premeditazione, una cartella zippata dal nome 'foto' che io ho scansionato subito con avast, il quale non ha rilevato nulla di strano. L'ho aperta perché la sfiga ha voluto che aspettassi delle foto proprio da questa persona.. Subito avast è intervenuto, ma prima che chiudesse la connessione, si sono aperte le finestre di conversazione di tutti i contatti che erano in linea in quel momento, anche quelli bloccati. credo che il virus stesse tentando -e forse a qualcuno lo ha fatto- di inviare la medesima cartella ai miei contatti.

ho spento tutto, riavviato, scansionato, individuato i file infetti ed i virus, e cestinato il tutto, ma nulla di fatto...

ora..
quando mi connetto, sotto il desktop, nella barra delle applicazioni, di tanto in tanto mi compare un'icona tipo cassetta delle lettere di colore blu, alla quale sembrano arrivare (o partire?) delle lettere, e se ci vado su col mouse mi dice che è avast mail scanner, con nomi ogni volta diversi vicino della 'cosa' che starebbe esaminando (o scaricando?), però se clicco su non mi fa aprire nulla, e poi io apro la posta direttamente dal server, quindi non capisco cosa stia facendo!!! è un'icona che non ho mai visto!

ogni tanto ricompare improvvisamente un troijan da cestinare.

il guaio grosso è che se apro messenger, ciclicamente si riaprono le finestre di conversazione di quelli in linea che ovviamente ho tutti bloccati.. mi sa che tenta ancora di inviar loro qualcosa, ma io non riesco a vedere cosa.
ad ogni nuova scansione, rilevo gli stessi virus:
1. Win32 Agent - RHF
2. Win32 Agent - QOV
3. Win32 Agent - MEB
4. Win32 Agent - NJB
5. VBS Malware - gen

non riesco ad eliminarli, e sono terrorizzata dai danni che potrebbe già aver subito il mio pc, senza contare il male comunque minore di non poter più usare messenger..

un mio amico dice che dovrei semplicemente disinstallare messenger, riscaricarlo e creare un nuovo account, ma temo che la cosa sia molto più complessa, e non riguardi più solo msn..

AIUTO!!!!!!!

perché avast! non risolve la cosa?

CHE FACCIO?!! io, come i più, ci lavoro col mio pc..

[Sante62]

Ciao ventosa e benvenuta...
Purtroppo i virus di ultima generazione escogitano sempre nuove strategie per insediarsi nei PC, bypassando anche gli antivirus; ed una volta insediatisi, qualsiasi antivirus ha difficoltà a debellerli completamente, anche se ne possono limitare i danni.
Adesso scarica questo file sul desktop
decomprimi l'archivio, avvia il file MSNFix.bat.
Ti si apre una finestra dos, digita i dove lampeggia il cursore e dai l'invio.
Dopo un pò se l'infezione è presente, vedrai la scritta
" /!\ Infezione Presente /!\"
Premi un tasto qualsiasi per avviare la rimozione
Ti chiederà il riavvio.
Riavvia il pc.
Al riavvio, vedrai la finestra dos ridigita i e dai l'invio, finito tutto, riapparirà il desktop e si aprirà il block notes, gentilmente allega il contenuto del block notes nella tua risposta.
Guarda poi questa discussione
relativa a Combofix, e fai la scansione del PC postando il risultato come indicato. Segui anche questo topic
per postare un log di Hijackthis.
Esegui queste operazioni nell'ordine con cui le ho indicate...

[ventosa]

Non so davvero come ringraziarti, Sante62!!!!
Provvedo subito a seguire le tue istruzioni e ti/vi farò sapere..
Comunque vada, sei stato gentilissimo!
Spero solo di riuscire a far tutto da sola: nonostante la tua chiarezza, precisione e semplicità nell'esporre le istruzioni da seguire, sono una vera imbranata io, un caso disperato..

[Sante62]

Dai su...che non è difficile...

[ventosa]

allora..
tutto come mi hai scritto tu, salvo che dopo la rimozione non mi ha chiesto di riavviare il pc, e mi è comparso direttamente il block notes. ho riavviato comunque.. mi sono connessa per tornare qui, ma appena fatto sono stata attaccata nuovamente dal virus Win32 Agent - RWI che mi mancava.. (rido per non piangere..)
copio qui sotto il contenuto del block notes e continuo a seguire le tue istruzioni..



MSNFix 1.661

C:\Documents and Settings\Standard\Desktop\MSNFix\MSNFix
Fix effettuato il 16/02/2008 - 16.59.42,36 By Standard
modalità normale

************************ Cercare i files presenti

... C:\DOCUME~1\Standard\IMPOST~1\Temp\foto.zip
... C:\WINDOWS\system32\1_exception.nls
... C:\WINDOWS\system32\?_exception.nls

************************ Ricerca le cartelle presenti

... C:\Temp\




************************ Eliminazione dei files

.. OK ... C:\DOCUME~1\Standard\IMPOST~1\Temp\foto.zip
.. OK ... C:\WINDOWS\system32\1_exception.nls
.. OK ... C:\WINDOWS\system32\?_exception.nls


************************ Eliminazione delle cartelle

/!\ ... C:\Temp\


************************ Pulizia del Registro



************************ Files sospetti

Nessun files trovato


I files e le chiavi di registro eliminati sono stati salvati nel file 16022008_17.02.2021.zip



------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

[ventosa]

ehm.. allora adesso mi scarico Combofix e disattivo avast.. procedo.

[ventosa]

ho fatto la scansione con combofix, lo metto qui il log di testo? mmm.. vabbè, io lo metto qui.. però appena connessa, or ora, sono stata di nuovo attaccata da Win32 Agent - RWI.
che faccio ora?


ComboFix 08-02-16.2 - Standard 2008-02-16 18.25.36.1 - NTFSx86
Eseguito da: C:\Documents and Settings\Standard\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Dati applicazioni\WinAntiVirus Pro 2006
C:\Documents and Settings\All Users\Dati applicazioni\WinAntiVirus Pro 2006\AVScheduler.dat
C:\Documents and Settings\Standard\Dati applicazioni\macromedia\Flash Player\#SharedObjects\DVMHYBZ9\iforex.com
C:\Documents and Settings\Standard\Dati applicazioni\macromedia\Flash Player\#SharedObjects\DVMHYBZ9\iforex.com\Emerp\Events\flash_object.swf\user_data.sol
C:\Documents and Settings\Standard\Dati applicazioni\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com
C:\Documents and Settings\Standard\Dati applicazioni\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol
C:\WINDOWS\Downloaded Program Files\57gjulw
C:\WINDOWS\Downloaded Program Files\57gjulw\6vyixk8.exe
C:\WINDOWS\system32\drivers\Msx38.sys
C:\WINDOWS\system32\qmopt.dll
C:\WINDOWS\system32\stera.log

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_FOPN
-------\LEGACY_LANMANDRV
-------\LEGACY_RUNTIME
-------\FOPN
-------\lanmandrv
-------\runtime


((((((((((((((((((((((((( Files Creati Da 2008-01-16 al 2008-02-16 )))))))))))))))))))))))))))))))))))
.

2008-02-15 20:27 . 2008-02-16 18:36 6,656 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-02-15 15:15 . 2008-02-16 17:35 25,984 --a------ C:\WINDOWS\system32\drivers\Ekp16.sys
2008-02-15 15:01 . 2008-02-15 13:58 83,456 -r-hs---- C:\WINDOWS\system32\linksys.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-18 17:36 --------- d-----w C:\Programmi\Enciclopedia del Cinema 2005
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys
2007-12-17 19:14 --------- d-----w C:\Programmi\Messenger Plus! Live
2007-12-16 20:04 --------- d-----w C:\Documents and Settings\Standard\Dati applicazioni\vlc
2007-12-16 20:02 --------- d-----w C:\Programmi\VideoLAN
2005-12-06 12:43 51,344 -c--a-w C:\Documents and Settings\Standard\Dati applicazioni\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1A28665F-9D02-E824-5776-D51131C060A6}]
C:\DOCUME~1\Standard\DATIAP~1\LOGOON~1\BEEPBALL.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]
"surfsend"="C:\DOCUME~1\Standard\DATIAP~1\BONEST~1\POPAUDIOHELP.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2002-06-12 00:56 286720 C:\WINDOWS\system32\atiptaxx.exe]
"CARPService"="carpserv.exe" [2003-05-21 15:35 4608 C:\WINDOWS\system32\carpserv.exe]
"PreloadApp"="c:\hp\drivers\printers\photosmart\hphprld.exe" [2001-12-12 07:05 36864]
"Cpqset"="C:\Programmi\HPQ\Default Settings\cpqset.exe" [ ]
"QuickTime Task"="C:\Programmi\QuickTime\bak\qttask.exe" [2006-09-20 11:07 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Microsoft Router Manager"="linksys.exe" [2008-02-15 13:58 83456 C:\WINDOWS\system32\linksys.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:39 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-02-16 18:36 6656 C:\WINDOWS\system32\WLCtrl32.dll

R0 Ekp16;Ekp16;C:\WINDOWS\system32\Drivers\Ekp16.sys [2008-02-16 17:35]
R0 W9967CAM;%W9967CAM.Dev%;C:\WINDOWS\system32\DRIVERS\W9967STI.SYS [2002-12-18 03:48]
R3 CALIAUD;Conexant AMC 3D ENVIRONMENTAL AUDIO;C:\WINDOWS\system32\drivers\caliaud.sys [2002-11-05 16:04]
R3 CALIHALA;CALIHALA;C:\WINDOWS\system32\drivers\calihal.sys [2002-11-05 16:04]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;C:\WINDOWS\system32\DRIVERS\DP83815.SYS [2002-08-29 01:00]
S3 Msx38;Msx38;C:\WINDOWS\System32\drivers\Msx38.sys []
S3 USB2_04;USB2_04 driver;C:\WINDOWS\system32\drivers\nkv2.sys []
S3 USBW9967;SAMSUNG DIGITAL CAMCORDER D5 II;C:\WINDOWS\system32\DRIVERS\2kw9967.sys [2002-12-18 03:48]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f9e6953-db81-11db-86e5-000d9d5b956a}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-16 18:41:05
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
.
**************************************************************************
.
Ora fine scansione: 2008-02-16 18:47:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-16 17:47:13
.
2008-02-14 00:52:42 --- E O F ---

[ventosa]

ed ecco il file di log di Hijackthis, e adesso? attendo fiduciosa?



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.35.04, on 16/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\linksys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\internet explorer\iexplore.exe
C:\Documents and Settings\Standard\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0410&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0410&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0410&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1A28665F-9D02-E824-5776-D51131C060A6} - C:\DOCUME~1\Standard\DATIAP~1\LOGOON~1\BEEPBALL.exe (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Router Manager] linksys.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [surfsend] C:\DOCUME~1\Standard\DATIAP~1\BONEST~1\POPAUDIOHELP.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D0FBD6A-D9F9-486E-A041-88292757E7E0}: NameServer = 62.211.69.150 212.48.4.15
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Gestione Sistema MultiUtenza (systaccpp) - Unknown owner - C:\WINDOWS\Downlo~1\57gjulw\6vyixk8.exe (file missing)

--
End of file - 5958 bytes

[Sante62]

Avvia Hiojackthis, seleziona a sinistra queste righe e clicca poi su fix Checked, rispondendo si:

[ventosa]

Ho avuto problemi a connettermi, ma alla fine ce l'ho fatta.
Ecco il nuovo log di HJT, ora scarico Normal Malware Cleaner..



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.08.40, on 17/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\Standard\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Gestione Sistema MultiUtenza (systaccpp) - Unknown owner - C:\WINDOWS\Downlo~1\57gjulw\6vyixk8.exe (file missing)

--
End of file - 5021 bytes

[ventosa]

Scusa, Sante, ho appena finito di scaricare Norman Malware Clear, dopodiché sono andata al link per disattivare il ripristino di sistema, ma..

Un dubbio essenziale mi assale: tu hai scritto di disattivare il ripristino di sistema e avviare il PC in modalità provissoria, e poi avviare Normal.. Però leggendo il topic che mi hai linkato mi viene il dubbio di dover avviare Normal prima di avviare il PC in modalità provvisoria..

Abbi pietà di me, t'avevo avvisato che sono di un'imbranataggine unica..
Puoi togliermi dall'incertezza, altrimenti non posso procedere?
Scusa ancora e grazie.

[Sante62]

No, devi avviare Norman dopo aver avviato il PC in modalità provvisoria...altrimenti, se non vado errato, quel tool (Norman) non funziona...


PS: non dimenticare le scansioni con GMER, magari posta tutto insieme...

[ventosa]

Problemi.
La scansione con Norman l'ho fatta, ed ho creato il file di log senza alcuna difficoltà.
Con GMER sono riuscita a creare solo il log di Autostart. Ho avviato il secondo procedimento (Rootkit) prima in modalità normale, e il mio computer si è spento all'improvviso, allora ho provato a fare questa scansione in modalità provvisoria, ma non me l'ha fatta fare, ossia non mi fa proprio partire la scansione: non posso cliccare su 'Scan'. Ho riprovato in ambedue le modalità, ma niente da fare..
Che faccio?

Intanto lo posto il file di log di Norman?

(in tutto ciò, coi casini ed il mio pc a rischio, sto imparando qualcosa, e so' contenta, sah? sarò strana? )

[Sante62]

Il fatto che non riesce a fare il log rootkit fa pensare...
Va bene, invia il log di Norman e poi scarica e fai la scansione del PC con Virit
Aggiornalo mediante l'icona della parabola posta nella barra in alto e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato. Alla fine riprova a fare i log di GMER...

[ventosa]

Intanto ti dico che, anche se su msn non sblocco nessuno per precauzione, non mi apre più le finestre di conversazione con i miei contatti.. è già qualcosa.

la scansione con Virit la faccio in modalità normale, suppongo. se sì, non rispondermi nemmeno. la medesima cosa farò con GMER.

Sante62 santosssubito! come sempre.. grazie!


Allora ecco il log di Norman:


Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/02/13 17:04:03

Norman Scanner Engine Version: 5.91.10
Nvcbin.def Version: 5.90.00, Date: 2008/02/13 17:04:03, Variants: 1304976

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600(Safe mode) Service Pack 2
Logged on user: CPQ17492250461\Standard


Scan started: 18/02/2008 13:27:39


Scanning running processes and process memory...

Number of processes/threads found: 517
Number of processes/threads scanned: 516
Number of processes/threads not scanned: 1
Number of infected processes/threads terminated: 0
Total scanning time: 40s


Scanning file system...

Scanning: C:\*.*

C:\Programmi\SumTotal\Instructor 2004\mercury.jar/com/asymetrix/mercury/export/axf2dhtml/resources/dummy.asf (Error whilst scanning file: I/O Error)

C:\Programmi\SumTotal\Instructor 2004\ToolBook.jar/com/asymetrix/mercury/export/axf2dhtml/resources/dummy.asf (Error whilst scanning file: I/O Error)

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Msx38.sys.vir (Infected with W32/Agent.EGEJ)
Deleted file

Scanning: c:\System Volume Information\*.*


Running post-scan cleanup routine:

Number of files found: 109193
Number of archives unpacked: 5749
Number of files scanned: 109170
Number of files not scanned: 23
Number of files skipped due to exclude list: 0
Number of infected files found: 1
Number of infected files repaired/deleted: 1
Number of infections removed: 1
Total scanning time: 1h 17m 25s

[ventosa]

Dopo aver fatto la scansione con Virit, finalmente sono riuscita a creare i file di log sia di Autostart, sia di Rootkit!!!!

Nell'ordine:

1. Questo è il file di log di Virit:

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
18/02/2008 - 19:14:07

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\QooBox\Quarantine\C\WINDOWS\Downloaded Program Files\57gjulw\6vyixk8.exe.vir Infetto da Trojan.Win32.Agent.BEM
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 68089.
Files Totali: 68089.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.



2. Questo è il link di GMER_Autostart:

[URL="http://www.freefilehosting.net/files/3c88i"]gmer_autostart1.txt[/URL]


3. Questo è il link di GMER_Rootkit:

[URL="http://www.freefilehosting.net/files/3c88k"]gmer_rootkit2.txt[/URL]



Attendo nuove disposizioni..

[Sante62]

Bene, pensavo peggio...
Comunque adesso collegati a Kaspersky online scanner e procedi con la scansione estesa del PC;
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato come indicato quì

[ventosa]

ecco qua il link di Kaspersky: il file che ho caricato su freefilehosting è in HTML, come da istruzioni che mi hai linkato..

[URL="http://www.freefilehosting.net/files/3c9d9"]kaspersky31.html[/URL]

[Sante62]

Benissimo....
Scarica The Avenger
Scompattalo in una sua cartella in c:\
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

[ventosa]

Tutto come hai detto tu, tranne che Avast! non ha una quarantena, come sai, solo un cestino dei virus che però non ho svuotato..

Poi.. Usando CCleaner, quando ho selezionato l'opzione 'trova problemi' in 'registro', dopo 'analizza' non c'era 'avvia pulizia', ma mi ha fatto creare una cartella di backup..

Inoltre quando sono connessa, compare sempre la stessa icona di Avast! (la cassettina blu con le lettere) che non avevo mai visto prima di imbarcare i virus, ormai ora è fissa, e se ci vado su col cursore, ogni volta vicino ad 'Avast! Mail Scanner' trovo sempre dei nomi diversi, ad esempio ora c'era scritto 'mail-freeserve.com' ed una serie di numeri accanto.. L'attimo dopo il nome è diverso..




Ecco il log di testo di Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dehbpony

*******************

Script file located at: \??\C:\Program Files\whcgkvfq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\Standard\Desktop\MSNFix\MSNFix\16022008_17.02.2021.zip deleted successfully.
File C:\WINDOWS\system32\linksys.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Ecco il nuovo log di testo di Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.15.22, on 20/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Standard\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 5223 bytes