Olimpo Informatico

bistrita · Inviato: 03 Feb 2011 19:17 Oggetto: ultima spiaggia...

ciao. da qualche giorno, senza che abbia installato nulla, il pc ha iniziato a darmi problemi. ho cercato in rete ma non trovo alcuna soluzione. praticamente: una sera mia figlia ha inserito il lettore mp3 barbiegirl ed è apparsa una finestra: windows disco non presente.....inserire disco nell'unità \device\harddisk3\dr7....con i numeri sempre diversi. qualsiasi scelta faccio..annulla riprova...non cambia nulla ed appare schermata blu. devo riavviare pc che viene ripristinato in seguito ad un errore grave. da allora ha iniziato a farlo anche quando accendo stampante. se però, ad esempio, inserisco nell'usb la rete wireless non succede. ho visto che esiste un virus che attacca le porte usb ma i file di cui si parla non ci sono nel mio pc.
non sapendo più cosa fare vorrei vedere se è un virus nascosto.
allego log di hijackthis e premetto che nel pc vi sono 2 keylogger: steel e powered che usiamo io e mia moglie per controllare uso del pc dei figli..quindi nessun problema con quelli che tra l'altro sono installati da molto tempo senza aver dato problemi.
faccio anche notare che ho provato a disinstallare i driver stampante seguendo consiglio di utente del forum ma nonostante crapcleaner li abbia cancellati è come se fossero ancora sul pc.
ho già rimosso file ads, uso regolarmente ccleaner, ho fatto scansione con malawarebytes che non dà alcun file infetto.
attendo pazientemente istruzioni di come proseguire il controllo e ringrazio
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18.06.35, on 03/02/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ps2.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\SSLEmptyCache.exe
C:\Documents and Settings\utente\Documenti\Download\Steel Keylogger\Steel Keylogger\Steel.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe
C:\Programmi\Hp\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\NETGEAR\WG111v3\WG111v3.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Documents and Settings\utente\Documenti\Download\HiJackThis(2).exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [bit4id store register] RUNDLL32.EXE "C:\WINDOWS\system32\bit4cnsp.dll",RegisterMyPhysicalStore
O4 - HKLM\..\Run: [SSLEmptyCache] C:\WINDOWS\system32\SSLEmptyCache.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [USBToolTip] C:\PROGRA~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ComponentAnalyzer] C:\Documents and Settings\utente\Documenti\Download\Steel Keylogger\Steel Keylogger\Steel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] C:\Programmi\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Programmi\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Programmi\NETGEAR\WG111v3\WG111v3.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programmi\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1282434565843
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9825 bytes

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Puoi provare a fare un Ripristino configurazione Sistema.
E porti il pc, a una data, in cui sei sicura che il pc funzionava bene.
Vedi se risolvi.
Caso mai, faremo indagini più approfondite.
Il log non presenta infezioni attive.

bistrita · Inviato: 03 Feb 2011 20:07 Oggetto:

ah ecco....mi ero scordato di dire che ho provato a farlo ma la procedura non si completa...dice che è impossibile completare il ripristino. dici di provare a cambiare data? vorrei farla corta e reinstallare xp ma ho versione oem su pc preassemblato (senza cd) e non posso avere opzione di reinstallazione. intanto che ci sono...ne approfitto...ma se usassi recovery di hp perderei tutti i dati del pc?
grazie
edit: una cosa mi son scordato....anche cambiando porta usb sia mp3 che stampante danno medesimo problema...

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Vediamo se può dipendere da una qualche infezione:
Segui le istruzioni di questo topic per usare Systemscan:
http://forum.zeusnews.com/viewtopic.php?p=210548#210548

Carica i log di Systemscan su WikiSend e posta il Forum Link che ti viene assegnato.
link

bistrita · Inviato: 04 Feb 2011 12:48 Oggetto:

ecco qui quanto richiesto....sempre grazie
04_02_2011_11_27_report.zip

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
In effetti, ci sono delle voci, che sono classificate rootkit.
Ma, non vorrei che fossero componenti, dei keylogger che hai installato.
Sono questi segnati in rosso:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\abjda
C:\WINDOWS\system32\drivers\abjda.sys

Ma Avira, non li rileva?

bistrita · Inviato: 04 Feb 2011 20:18 Oggetto:

nisba.....rifaccio la scansione e vediamo...

bistrita · Inviato: 04 Feb 2011 21:57 Oggetto:

domani....ora il pc ha crashato senza inserire usb...ho cliccato su una cartella e schermata blu. tra l'altro se vado in strumenti amministrazione.....eventi...non appare alcun messaggio di errore....voglio dire..ce ne sono vari ma quello di oggi, ad esempio, all'orario in cui è successo non risulta nulla....boh????
intanto nella notte faccio scansione anche con antispyware.....

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

bistrita · Inviato: 05 Feb 2011 11:20 Oggetto:

SUPERAntiSpyware Scan Log - 02-05-2011 - 03-07-01.log
avira nessun rilevamento.
aggiungo che un keylogger (powered) è stato disinstallato perchè era shareware ed è scaduto il periodo...quindi di quel tipo ora ho solo steel.
sempre grazie[/url]

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Ciao.
Superantispyware non lo rileva.
Si potrebbe provare a fare una scansione con Combofix, ma per dovere di informazione, ti dico che il rischio di fare qualche danno c'è.
Domanda:
Ma se si danneggia il keylogger che hai installato, hai la possibilità di reistallarlo?

bistrita · Inviato: 05 Feb 2011 23:59 Oggetto:

ciao. ti aggiorno. dopo la tua imbeccata su quel file adjba presente in windows e nel registro di sistema mi sono messo alla ricerca in rete ed ho trovato alcuni siti stranieri in cui si abbinava questa rootkit a powered keylogger. ho eliminato la voce dal registro...tutte le voci abbinate e dal pc. ho fatto scansione con crapcleaner, cccleaner per riparare il registro.
dopo aver riavviato ho eliminato tutte le tracce di powered e ripetuto operazioni. ora: non so se è un caso ma ho provato 4 volte ad accendere la stampante e tutto va bene. ho inserito barbiegirl 3 volte e tutto bene. nessuna richiesta di disco. magari ho risolto....spero!!!!
da allora il pc non ha avuto crash di alcun tipo....ed ormai sono 8 ore.
vediamo cosa succede...per adesso ti ringrazio dell'imbeccata favolosa che mi hai dato e spero non disturbare più.
ciao

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

Bravo.
Io non volevo eliminarli, perchè avevo il sospetto che fossero relazionati con i keylogger.
E non volevo scassarteli...... Razz

E' quasi sicuro, che quel "rimasuglio" era il principale problema.

bistrita · Inviato: 07 Feb 2011 09:45 Oggetto:

direi che il problema è risolto....incrociando le dita...non è più successo.
grazie ancora per la fantastica intuizione. ciao