Non Riesco a Cancellare "Fakebill Courtcologne"

[MikSan]

Salve, con Spy&Destroy ho trovato il malware con nome "fakebill courtcologne" errore che non riesce a correggere. Mi dice di rifarlo al riavvio, ma ancora non ci riesce.

Suggerimenti?

[MIKI68]

Vedi in quale percorso c'è ed eliminalo manualmente, probabilmente la chiave di registro infetto si ricrea, se non riesci allora bisogna ricorrere a programmi specifici, dovevi postare in "Sicurezza e Privacy".

[MikSan]

Provato manualmente niente !

Posto da altra parte come suggerito !!!

[MikSan]

Salve, nessuno mi ha più dato una mano su questo argomento ed io c'ho ancora sto maledetto virus o simile nella chiave di registro: HKEY_LOCAL_MACHINE/software/microsoft/windows nt /current version/image file execution options/explorer. C'è una voce (o stringa non so) che dice : c:\windows\system32\exxhapjt.old.
Spybot non riesce a cancellarla ed io manualmente non c'ho provato neanche, non vorrei fare casino col registro (e poi dubito che me lo faccia fare). In google non trovo niente a proposito!

Per completezza di dati il comportamento del mio pc (ho scoperto dopo) è lo stesso che accade a Silvia4825, (suo post del 22/10 con Luke57 in risposte). Mi accade esattamente la stessa identica cosa, non so se puo aiutare.

Inoltre, sempre per completezza, ho un altro post attivo, (sorry ) nella zona "software windows" per un altro problema che però ho il sospetto abbia la stessa origine (post del 23/11, risposto da Dylan666, su "consumo ESAGERATO Ram").

Concludendo il problema è:
ho una qualche bestiaccia nel PC, che Spybot chiama Fakebill Courtcologne e che agisce sulla chiave di registro: localmachine/software/microsft/windows nt /current version/image file execution options/explorer - c:\windows\system32\exxhapjt.old
Ultima azione consigliata da Dylan66 nel post citato sopra, è stata quella di postare i processi attivi da taskmanager in modalità provvisoria ed il risultato è:
taskmanager - 4M
Wmipruse - 10M (dopo pochi minuti è scomparso e tuttora non c'è, ovviamente ora sto scrivendo da un altro pc)
explorer - 19M
svchost - 12
svchost - 6
svchost - 4
lsass con la L iniziale oppure Isass con la i iniziale, boh ! - 0.7M
services - 4
winlogon - 1
csrss - 2.8M
smss - 0,4
system - 0.2
ciclo idle (99CPU) - 0.1M
Su google ho trovato che wmipruse è un pericoloso oggetto..

Comincio a preoccuparmi, quasi disperarmi, chi mi aiuta ?

Infine, non voglio farvi perdere le energie, rimanendo in due forum con 2 post stesso argomento, quale abbandono?

[Luke57]

Ciao, segui questa procedura:

1)scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio mettendo avenger.exe sul desktop

Interrompi dal task manager il processo, se presente:
exxhapjt.old
Avvia il file avenger.exe , lascia selezionata solo la voce "scan for rookits", nello spazio bianco incolli le scritte seguenti:

Files to delete:
c:\windows\system32\exxhapjt.old

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe


Premi il tasto Execute.
Il computer si riavvierà, se non lo facesse riavvialo tu manualmente.
Allega il report C:\avenger.txt.

[MikSan]

Perfetto procedo appena possibile, 3 domande:

1) IMPORTANTE : Faccio tutto ciò in modalità provvisoria oppure normale?

2) il processo wmipruse che ho visto per pochi minuti e poi è sparito, fa parte della stessa "banda"?

Grazie ancora a dopo.

[Luke57]

Ciao, non lo so, fai in modalità normale. Non cercare di eliminare solo il file exxhapjt.old senza eliminare anche la voce di registro explorer.exe, che è immessa dal malware, altrimenti non ti riavvierà il desktop.

[MikSan]

Grazie Luke57, ma ... appena passo con il mouse sul nome del programma che mi ha indicato... quello che inizia per "ave" e finisce per "ger"... senza neanche cliccarlo, mi si chiude il browser !

SUGGERIMENTI ? Sempre ringraziandoti enormemente ...

[Luke57]

Ciao, ma sei riuscito a scaricarlo? Fatto questo, apri il taskmanager (premi ctrl+alt+canc), nella lista dei processi individui explorer.exe, lo evidenzi e premi termina processo
Il desktop scomparirà con tutte le icone, ma tu sempre dalla finestrella del task manager premi File>nuova operazione, nello spazio bianco della nuova finestrella, scrivi
avenger.exe
si avvierà il programma, lascia selezionata solo la voce "scan for rookits", nello spazio bianco incolli le scritte seguenti:

Files to delete:
c:\windows\system32\exxhapjt.old

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe


Premi il tasto Execute.
Il computer si riavvierà, se non lo facesse riavvialo tu manualmente.

[MikSan]

Evidentemente non sono stato chiaro.

Non sono riuscito ad installarlo sul PC incriminato tramite http://swandog46.geekstogo.com/avenger.zip. Appena digitavo il link nel browser, o da altre parti, scompare, esattamente come con CCLeaner e Hijackthis.

Allora su una macchina vicina, sana, l'ho scaricato, unzippato e poi l'ho copiato sul desktop del PC incriminato (sono in rete). Niente da fare, appena mi ci avvicino con il mouse, parte il warning suilla pericolosità del softawre per non-esperti, un secondo e poi scompare. Anche in modalità provvisoria lo stesso.

Ultimo disperato tentativo, l'ho rinominato Pippo_abc.exe... Niente da fare, tutto uguale in modalità normale e provvisoria.

Ricordo che in ogni caso esiste per pochi minuti il processo wmipruse che poi scompare.

Cosa posso fare ? Idee?

[Luke57]

Ciao, non hai seguito quello che ti ho suggerito purtroppo........ devi interrompere explorer.exe, comunque apri il taskmanager (alt+ctrl+canc) vai nel tab. Processi selezioni exlorer.exe, premi Termina processo.
Il desktop scomparirà, ma tu dalla finestra del taskmanager premi File>nuova operazione>nello spazio scrivi
regedt32.exe premi OK
Si apre il registro di sistema, cliccando con il segno + accanto alle singole voci segui questo percorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\explorer.exe click tasto dx del mouse sulla voce explorer.exe, scegli Autorizzazioni>Avanzate> vai sul tab Proprietario, scegli il proprietario del computer>ok, torni indietro metti la spunta a controllo completo e in lettura premi OK.
A questo punto nuovo click destro su explorer.exe e scegli elimina.

Chiudi il registro, nella finestra del taskmanager riscrivi explorer.exe >ok.

A questo punto provi a utilizzare avewnger inserendo questo script:

Files to delete:
c:\windows\system32\exxhapjt.old

con la procedura dscritta.

[MikSan]

GRAZIEEE PERFETTO, ORA CANCELLATO ENTRAMBI!

Spybot mi da tutto pulito, anche se mi pare faccia fatica ad aggiornarsi, vabbè vediamo dopo questo aspetto..

Resta il processo wmipruse che trovo solo per pochi minuti all'avvio in modalità provvisoria. Ti allego il HJT per qualche commento.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.19.07, on 01/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [hpqSRMon] C:\Programmi\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKCU\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKCU\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKCU\..\Run: [HP Component Manager] C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
O4 - HKCU\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net ... plugin.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.it/s/v/25.24/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2422113527
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3058460562
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {ED5D2306-0FF4-11D2-B37C-0000C000D50D} (HighWay Imaging Control) - http://www.ausl.ra.it/aur4/code/iwfull.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4BE51C1-2115-4423-A38B-D65B7EC58A6A}: NameServer = 151.99.125.2,151.99.0.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
--
End of file - 6763 bytes

Attendo istruzioni

[Luke57]

Ciao, invia il report di hijackthis fatto dalla mod.normale

[MikSan]

Eccolo grazie!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.43.27, on 01/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSRMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [hpqSRMon] C:\Programmi\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKCU\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKCU\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKCU\..\Run: [HP Component Manager] C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
O4 - HKCU\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net ... plugin.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.it/s/v/25.24/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2422113527
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3058460562
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {ED5D2306-0FF4-11D2-B37C-0000C000D50D} (HighWay Imaging Control) - http://www.ausl.ra.it/aur4/code/iwfull.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4BE51C1-2115-4423-A38B-D65B7EC58A6A}: NameServer = 151.99.125.2,151.99.0.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
--
End of file - 7504 bytes

Attendo

[MikSan]

Ho aggiunto il wmipruse nell'oggetto perchè è per quello che non so più cosa fare.

Esiste solo per pochi minuti in modalità provvisoria. Nei post precedenti ho già riportato i log

In Google ne parlano con terrore, sono preoccupato, suggerimenti?

[Luke57]

Ciao, disattiva l'antivirus e scarica combofix sul desktop da qui:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
disattiva il tea timer di spybot

Poi da start>esegui>nello spazio bianco copia e incolla, virgolette comprese:
"%userprofile%\desktop\combofix.exe" /killall
Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione, se spariscono le icone dal desktop è normale),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavvia in modalità normale e posta il contenuto del file.

[MikSan]

Grazie delle istruzioni e scusa silenzio ma sono influenzato a casa quindi rivedrò il PC infetto in ufficio ancora tra un po'.

[MIKI68]

Grazie delle istruzioni e scusa silenzio ma sono influenzato a casa quindi rivedrò il PC infetto in ufficio ancora tra un po'.

-----------------------------------------------------------------------------------------------------------------------------
Non ho capito se sei tu che hai infettato il pc o il pc.....................a te

[MikSan]

Sono ancora deibilitatuccio e confermo che il PC mi sembra infetto e quindi la causa anche della mia infezione.

Comunque ecco il log di combofix appena effettuato, attendo vs illuminazioni con ansia..

ComboFix 08-12-06.06 - Utente 2008-12-08 9.04.30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.600 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\desktop\combofix.exe
Interruttori di comando utilizzati :: /killall
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AutoRun.inf
c:\windows\system32\com5.jdb

.
((((((((((((((((((((((((( Files Creati Da 2008-11-08 al 2008-12-08 )))))))))))))))))))))))))))))))))))
.

2008-12-01 13:57 . 2008-12-01 13:57 <DIR> d-------- c:\programmi\CCleaner
2008-11-28 17:58 . 2008-11-28 17:58 <DIR> d-------- c:\programmi\Trend Micro
2008-11-28 08:24 . 2008-11-28 08:24 <DIR> d-------- c:\programmi\File comuni\Wise Installation Wizard
2008-11-28 08:03 . 2008-11-28 08:03 17,905,664 --a------ c:\programmi\IKEA_Home_Planner_K09.exe
2008-11-25 12:24 . 2008-12-01 13:56 <DIR> d-------- c:\programmi\Spybot - Search & Destroy
2008-11-25 12:24 . 2008-12-01 19:09 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-11-12 07:48 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 07:45 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-28 13:49 71,147 ----a-w c:\programmi\date_AIL.pdf
2008-11-28 08:37 --------- d-----w c:\programmi\IKEA HomePlanner
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2004-08-19 11:00 114,688 ----a-w c:\programmi\calc.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2004-01-05 176128]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"HP Component Manager"="c:\programmi\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programmi\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 c:\windows\SOUNDMAN.EXE]
"DXDllRegExe"="dxdllreg.exe" [2002-12-11 c:\windows\system32\dxdllreg.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2004-01-05 176128]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2008-07-08 185896]
"hpqSRMon"="c:\programmi\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-03-13 81920]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-06-24 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=\\?\c:\windows\system32\com5.jdb

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mshta.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programmi\\UCLES\\EFLCOMMS For Windows v2.0\\bin\\EFLCOMMS.exe"=

R2 procguard;procguard;\??\c:\windows\system32\drivers\procguard.sys [2006-11-30 26688]
S2 WebGkv;WebGkv;"c:\programmi\File comuni\System\egtt.exe" [2004-08-19 173568]
S4 DCSPGSRV;DiamondCS ProcessGuard Service v3.410; []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3815f724-34f0-11dc-80ca-000fea328a03}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{555e8c86-9500-11dd-82f1-000fea328a03}]
\Shell\AutoRun\command - F:\Installer.exe
.
Contenuto della cartella 'Scheduled Tasks'

2008-11-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]

2008-12-05 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]

2008-12-08 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-04-23 16:17]
.
- - - - ORFÃOS REMOVIDOS - - - -

HKCU-Run-Cmaudio - cmicnfg.cpl


.
------- Supplementare di scansione -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {B4BE51C1-2115-4423-A38B-D65B7EC58A6A} = 151.99.125.2,151.99.0.100

c:\windows\system32\mfc42.dll - c:\windows\system32\msvcrt.dll
c:\windows\Downloaded Program Files\pdftotext.txt
c:\windows\Downloaded Program Files\COPYING
c:\windows\Downloaded Program Files\README
c:\windows\Downloaded Program Files\pdf2text.exe
c:\windows\Downloaded Program Files\msconv.exe
c:\windows\Downloaded Program Files\iw.ocx
O16 -: {ED5D2306-0FF4-11D2-B37C-0000C000D50D}
hxxp://www.ausl.ra.it/aur4/code/iwfull.cab
c:\windows\Downloaded Program Files\IW.INF
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 09:17:43
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WebGkv]
"ImagePath"="\"c:\programmi\File comuni\System\egtt.exe\""
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
.
**************************************************************************
.
Ora fine scansione: 2008-12-08 9:22:27 - macchina è stato riavviato
ComboFix-quarantined-files.txt 2008-12-08 08:22:24

Pre-Run: 60.304.257.024 byte disponibili
Post-Run: 60,332,404,736 byte disponibili

123 --- E O F --- 2008-11-13 19:02:55

[Luke57]

Ciao, hai beccato anche un'infezione da linkoptmizer, vai qyui:
viewtopic.php?f=7&t=49816
utilizza i due tools per la rimozione di linkoptimizer (symantec e prevx), posta poi i due report.
Fatto ciò, scarica sul desktop systemscan
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Allega il file con estensione .zip nella tua prossima risposta.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così

SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.