Log di HijackThis con voce di registro che si ricrea

[Dylan666]

Vi sottopongo il seguente log:

Codice: Seleziona tutto

Logfile of HijackThis v1.99.1
Scan saved at 20.33.04, on 18/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe
C:\Programmi\NewSoft\Smart Start UP\PnPDetect.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Valerio\Desktop\Dylan666\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe"
O4 - HKLM\..\Run: [IPPDetect] IPP4Detect.exe
O4 - HKLM\..\Run: [Smart Start UP] C:\Programmi\NewSoft\Smart Start UP\PnPDetect.exe /Automation
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\d3rb.exe"  /s (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

Metto la mano sul fuoco su tutti i file (compresi i vari "IPPDetect") e indico come malevolo solo questo:

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\d3rb.exe" /s (file missing)

Il file non pare assolutamente roba fatta dalla Microsoft, le proprietà del file sono vuote (intendo niente informazione sui produttori, sulla versione ecc.) e dalla modalità provvisoria gli ho cambiato il nome in d3rb_old.exe.
Il problema (comparsa di finestre porno) è risolto, eppure qualcosa ricrea all'infinito quella voce nel registro, pure dalla modalità provvisoria (senza nemmeno riavviare, basta un secondo). Secondo voi come è possibile? Chi è che lo fa?

Concludo dicendo che non ho il PC infetto sottomano, e non so se e quando lo potrò ri-esaminare.

[toni84]

secondo me è questo da eliminare

R3 - Default URLSearchHook is missing

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll (file missing)

O4 - HKLM\..\Run: [IPPDetect] IPP4Detect.exe

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\d3rb.exe" /s (file missing)

controlla nel regedit questo 11Fßä#·ºÄÖ`I ed elimina ogni voce che lo richiama,hai fatto qualche scansione on-line con antivirus e antispy?non so che dirti oltre di controllare in installazione applicazioni che non ci sia niente di strano,nelle opzioni internet i siti attendibili e via dicendo,hai usato questo script?se vuoi ti spiego come funziona

1-crea una nuova cartella sul desktop chiamala per esempio dylan e salva al suo interno questo file
http://www.silentrunners.org/Silent%20Runners.vbs

2-senza essere connesso e con tutte le applicazioni chiuse, apri il file la scansione dura poco ti si apre una finestra che ti dice percorso dove è stato salvato il file.
Clicca su Ok

3-Apri il file di testo che dovrebbe chiamarsi "Startup Programs_nome della tua macchina_data" e copia qui il risultato(te lo puoi anche analizzare tu)

NB.Trattandosi di uno script qualche antivirus lo puo considerare dannoso(norton)quindi disabilita il controllo degli script!!!

ciao ciao dylan

[Dylan666]

secondo me è questo da eliminare

R3 - Default URLSearchHook is missing

totalmente ininfluente

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll (file missing)

File mancante e comunque assolutamente sicuro:
http://www.spywaredata.com/spyware/malw ... tb.dll.php

O4 - HKLM\..\Run: [IPPDetect] IPP4Detect.exe

Già ho detto che pure questo è sicuro:
http://www.remove-spyware.co.uk/process ... Detect.exe

controlla nel regedit questo 11Fßä#·ºÄÖ`I ed elimina ogni voce che lo richiama,hai fatto qualche scansione on-line con antivirus e antispy?

Fatte entrambe le cose ovviamente

hai usato questo script?

Pare analizzai i "silent runners" ma sono tutte chiavi che non dovrebbero partire in modalità provvisoria (se non ho controlato bene) quindi non spiega cosa ricrei la voce. Ovviamente nel task manager da modalità provvisoria non appaiono voci sospette.

[toni84]

si ma se lo dice solo un sito la cosa non è molto attendibili,almeno 3/4 siti devono dire che è attendibile,c'è sempre un ipotesi che non si deve scartare che è un nuovo virus che ancora è stato scoperto,oppure ad ogni ravvio cambia file dll e via dicendo,ma sai bene che dal log non si vede tutto,hai provato le scansioni on-line?prova con vir-it non si sa mai!!ewido l'hai provato?versione trial ma è bello potente per i malware puo darsi che la scansione euristica veda qualcosa(a me è successo con ewido)che mi rilevasse con l'euristica cose che altri non avevano visto mandato in laboratorio kaspersky ed era un malware!!ciao ciao

[Dylan666]

1) ovviamente sono moltissimi i siti che conoscono msntb.dll che è risaputo sia un file di MSN. È lui, non ci sono assolutamente dubbi

2) antivirus o non anitivrus, malware scoperto o non scoperto i file in esecuzione sono quelli, eppure non c'è nulla di sospetto. Da modalità provvisoria poi le voci si riducono di molto, tutta roba conosciuta eppure la chiave si ricrea.

[toni84]

ciao dylan ma io parlavo di questo IPP4Detect.exe solo un sito dice che è sicuro io non mi fiderei ciao ciao

[Dylan666]

A distanza di tempo sono tornato su quel PC e mi sono ritrovato quella chiave. L'ho eliminata a mano dal REGEDIT ed è sparita.

Probabilmente ci deve essere un bug in HijackThis e non escludo che dipenda dai caratteri strani che formano il nome della chiave,

Boh, sperimenterò