Olimpo Informatico

[Dave_O]

Ho un problema con questo Trojan, che non capisco ne so come eliminare dal mio computer.
Il mio sistema operativo è Windows XP Professional 5.1 Service Pack 2
Uso Avira Antivir come antivirus
E Zone Alarm come Firewall
Ho installato anche SUPERAntispyware e SpywareBlaster

Avira continua a dirmi che c'è un file infetto, un certo load.exe
che è in: C:\Windows\Temp\load.exe
e mi dice che è quel tipo di trojan. Ogni volta lo sposto in quarantena, ma si ripresenta, si ricrea non so, e mi da dopo poco lo stesso messaggio.

Non so come procedere, e cerco il vostro aiuto!

Qui c'è il log fatto con Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.40.51, on 26/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\D-Link\AirPlus G DWL-G510\AirGCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Hiackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Programmi\Babylon\Babylon Toolbar\BabylonIEToolBar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmartDefrag] "C:\Programmi\IObit\IObit SmartDefrag\IObit SmartDefrag.exe" /StartUp
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [D-Link AirPlus G DWL-G510] C:\Programmi\D-Link\AirPlus G DWL-G510\AirGCFG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230308626765
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Servizi IPSEC PolicyAgentALG (PolicyAgentALG) - Unknown owner - C:\WINDOWS\system32\1042r.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7339 bytes

[Er_Kratos]

Ciao, intanto segui questa procedura:

Disattiva il Ripristino configurazione di sistema:
● Start
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di sistema
● spunta la voce Disattiva Ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi OK
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino alla risoluzione del probema

Svuota del suo contenuto la cartella Prefetch:
● Start
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all?interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch
● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Scarica ed installa SuperAntispyware Free Edition: clicca qui per il download
Una volta installato, configuralo in questo modo:
● imposta la lingua ITA
● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento
● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine
● nella finestra Protezione homepage clicca sul tasto Protezione
● nella maschera principale clicca su Preferenze
● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma
● nella maschera principale clicca su tasto Scansione del Computer
● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa
● clicca su Avanti per avviare la scansione
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Scarica ed installa MalwareBytes: clicca qui per il download
● esegui una scansione completa del sistema
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Eseguiti tutti i passaggi precendenti:
Scarica ed installa CCleaner: clicca qui per il download
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)
poi clicca su:
● Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione
● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Scarica ed installa Hijackthis: clicca qui per il download
● lancia Hijackthis e pulisci gli ADS (esclusivamente se la partizione e in NTFS):
● clicca sulla voce Open the misc tool section
● clicca su Open ads spy
● togli la spunta alla voce Quick scan (windows base folder only)
● clicca su Scan
● se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
● rilancia Hijackthis
● clicca su Do a system scan and save a logfile
● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

allega, in questa sequenza, tutti i log che hai salvato

● SuperAntispyware
● MalwareBytes
● Hijackthis

Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend
e, pubblica il link che verrà rilasciato dopo il caricamento di ogni singolo file.

[Dave_O]

Ecco, ho eseguito tutti i passaggi, e questi sono i tre Log, nell'ordine richiesto : )

SuperAntiSpyware

MBAM

hijackthis

[Er_Kratos]

Perfetto, hanno rimosso diversa roba.

Ora reinstalla antivir seguendo questa guida per configurarlo.

Quindi esegui una scansione completa, posta il log e un nuovo log di HJT.

[Dave_O]

Ecco fatto, secondo le istruzioni! : )
Ed ecco i due log, Avira e Hijackthis : )

AVSCAN-20090528-120500-DB526F99.LOG

hijackthis_new.txt

[lorenaino]

ciao,scusate l'intrusione,hai eliminato quello che ha trovato malwarebytes?
dal log che hai postato non sembra (no action taken).

[Dave_O]

Si si, il log me l'ha dato prima, poi ho fatto 'avanti' tipo, e ho eliminato tutto : )

Cmq oggi il firewall, mi dice:
"Il firewall ha bloccato Internet l'accesso a google.com (poi c'è un ip) (HTTP) dal computer [Flag TCP: S]"

E mi da avvisi ogni pochi minuti, cambiando il sito.
Non so se centra con il virus, però non mi aveva mai dato questi avvisi prima..

[Er_Kratos]

un secondo che controllo i log

[Dave_O]

Grazie! ^^

[Er_Kratos]

un secondo che controllo i log....

Ancora continuano ad esserci file infetti....da il disco H è una partizione o un disco esterno?

La prossima procedura sarà la seguente:

[Dave_O]

H è una partizione! : )


Per Kaspersky Virus Removal Tool, ho trovato il link al programma, nella pagina di guida che mi hai linkato.
per Norman Malware Cleaner invece no, dove lo reperisco ?


Quel Kaspersky, non entra in conflitto con Avira vero ?

[Dave_O]

Ah, scusami ho trovato anche il secondo nella seconda pagina.


PERò il link per scaricarlo non funziona!!

Devo usarli allora ?

[Er_Kratos]

Norman lo puoi scaricare da qui: Link

guarda se ti riesce a scaricarli...non entra in conflitto con Avira perchè lo devi eseguire dalla Modalità provvisoria, dove antivir è staccato

[Dave_O]

Ecco fatto! Dopo ore di scan o,.o
Ho qui i log : D

Log_Kaspersky.txt

NFix_2009-05-29_15-42-51.log

[Er_Kratos]

Vedo che ancora continua ad eliminare....riiposta un altro log di hjt per favore....il computer ora da problemi?

[Dave_O]

Ecco, fatto ora : )

hijackthis.log


Mah, non mi pare dia problemi di sorta. Non esce più quell'avviso del programma load.exe, ne il firewall mi da quei messaggi. Sembra andare..

Ma Kaspersky, lo disinstallo ?

[Er_Kratos]

Ok, sembreresti a posto. Per ora kaspersky tienilo, non si sa mai, poi alla fine te lo faccio togliere.

Ora segui quest'altra procedura:

1) Da Winupdates scarica il service pack 3 e poi tutti gli aggiornamenti disponibili importanti, più quelli hardware e quelli software a scelta (il .net framework si)

2)Da Installazione Applicazioni disinstalla:
● Tutte le Toolbar
● Adobe Reader
● Adobe Flash Player
● JavaSun (tutte le versioni eventuamente presenti, partendo dalla meno recente)
Eseguite le disinstallazioni esegui una pulizia del registro con CCleaner e, conclusa la pulizia, scarica ed installa le versioni aggiornate:
● Adobe Reader: clicca qui per il download
● Adobe Flash Player: clicca qui per il download
● JavaSun: clicca qui per il download
In fase di installazione, ti verrà richiesto di installare la toolbar di Google, non la installare (quindi togli la spunta alla relativa voce).

Al termine, allega un nuovo log di Hijackthis.

[Dave_O]

Innanzitutto volevo ringraziarti davvero, per tutto il supporto che mi stai dando!!

Volevo chiederti, ma è fondamentale aggiornare al service pack 3 ? Cosa cambia ? Perdo dei dati ?
Con il 2 fin'ora mi sono trovato molto bene : )

Nel caso posso procedere intanto, con l'installare adobe, flash e java ?

[Er_Kratos]

Il service pack 3 porta dei cambiamenti a livello prestazionale e soprattutto di sicurezza, ti riporto i questo link con le info sul service pack 3 e questo commento:

[seamoon]

ciao a tutti,
sono nuova sul forum... ho un problema con Tr Crypt.xpack.gen.
Ho seguito la procedura indicata nel tread e ho creato i 3 file di log.
Wikisend da voi indicato da problemi con il caricamento dei file..
Ho sistema operativo Windows Xp Service pack 2 e installato Avira antivirus che ha rilevato e messo in quarantena il file.
Il pc è davvero molto lento.
Riuscite ad aiutarmi...?
Vi ringrazio tantissimo in anticipo.