Non riesco ad eliminare file infetto.

[Swalke]

Ciao a tutti.

Ho un problema che non riesco a risolvere.

Ho un file .tmp nascosto in C che non riesco ad eliminare. Quando ci clicco sopra Avira mi dice che contiene il virus RKDice.
Se seleziono "Delete" non viene cancellato.

Ho provato ad eliminarlo a mano ma esce il messaggio che dice che il disco è protetto oppure il file è in uso.

Ho già provato a riavviare explorer e anche dalla modalità provvisoria.
Che altro posso fare?

[Luke57]

Ciao, prova a postare un log di hiajckthis.

[Swalke]

Eccolo:

Codice: Seleziona tutto

Logfile of HijackThis v1.99.1
Scan saved at 10.56.14, on 24/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programmi\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\spywarevanisher-full\SpywareVanisher.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Swalke\Desktop\hijackthis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programmi\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunServices: [secure socket layer] wins32a.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Spyware Vanisher] C:\Programmi\spywarevanisher-full\SpywareVanisher.exe -FastScan
O4 - Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8B3D933-F3FF-4821-AFC6-91381485E6CD}: NameServer = 213.205.32.70 213.205.36.70
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ColdFusion MX Application Server - Conexant Systems Inc. - (no file)
O23 - Service: ColdFusion MX ODBC Agent - Conexant Systems Inc. - (no file)
O23 - Service: ColdFusion MX ODBC Server - Conexant Systems Inc. - (no file)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: Network Location Manager - Unknown owner - C:\WINDOWS\system32\lssc.exe (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server 8.1 (pgsql-8.1) - PostgreSQL Global Development Group - C:\Programmi\PostgreSQL\8.1\bin\pg_ctl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Programmi\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
O23 - Service: Windows Reg Service - Unknown owner - C:\WINDOWS\system32\lsyss.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

[Luke57]

Ciao, per prima cosa, creati una cartella permanente del disco fisso (no desktop), tipo C\HJT, copiaci l’eseguibile di hijackthis (.exe) , in modo che il programma possa fare il backup delle voci rimosse.

Scarica stinger 26.0 da qui:
http://vil.nai.com/vil/stinger/
è stand alone e non va installato.
Apri hijackthis, con tutte le applicazioni chiuse e disconnesso da internet, premi “do a system scan only”, cerchi e spunti le seguenti voci:
O4 - HKLM\..\RunServices: [secure socket layer] wins32a.exe
O23 - Service: ColdFusion MX Application Server - Conexant Systems Inc. - (no file)
O23 - Service: ColdFusion MX ODBC Agent - Conexant Systems Inc. - (no file)
O23 - Service: ColdFusion MX ODBC Server - Conexant Systems Inc. - (no file)
O23 - Service: Network Location Manager - Unknown owner - C:\WINDOWS\system32\lssc.exe (file missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
O23 - Service: Windows Reg Service - Unknown owner - C:\WINDOWS\system32\lsyss.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)

Premi fix checked

Riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file protetti di sistema (consigliato)
Premi OK

Cerca ed elimina i seguenti file (se ci sono):
C:\WINDOWS\system32\lssc.exe
C:\WINDOWS\win32host.exe
C:\WINDOWS\system32\lsyss.exe
C:\WINDOWS\winlogon.exe
wins32a.exe (da cercare)

Esegui una scansione con stinger 2.6.0

Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)

Da pannello di controllo disistalla programmi sospetti non installati da te

Svuota il cestino

Posta nuovo log di controllo

[andorra24]

Ciao, vorrei consigliarti di disinstallare SpywareVanisher perche' non e' considerato un programma affidabile. E' inserito nella rogue list di SpywareWarrior perche' da' molti falsi positivi che hanno lo scopo di spingere l'utente ignaro ad acquistare il programma. Anche mcafee siteadvisor mette in guardia dal sito:

http://www.siteadvisor.com/sites/spywar ... h&aff_id=0

[Swalke]

Ho fatto tutto quello che mi hai detto, Luke57!

1) Ho fixato i problemi che mi hai detto con HJT.
2) Ho riavviato in modalità provvisoria e reso visibili i file nascosti e quelli protetti ma non ho trovato traccia dei "file missing".
3) Ho eseguito stinger che ha trovato due file in system32 che contenevano tracce di "SdBot". Li ha cancellati entrambi.

4) Ho eliminato tutti i temporanei e ripulito la cache di explorer i cookie ecc.
5)Non ho programmi installati a mia insaputa visibili in "Installazione applicazioni".

6) Ho svuotato il cestino.

Il problema però non è risolto. Ci sono tre file temporanei nel mio pc che non sono cancellabili (neanche in modalità provvisoria).
Questi file sono:
C:\_cleaned.tmp
C:\Document and settings\Swalke\Impostazioni locali\Temp\PXR1F.tmp
C:\Document and settings\Swalke\Impostazioni locali\Temp\PXR7.tmp

Se provo ad eliminarli mi dice che sono in uso.
Addirittura sul primo, AVIRA mi dice che è il worm RKDice.A.
Gli altri due invece non si cancellano e basta e credo siano file protetti di sistema perchè il loro nome è in verde.

Ora posto il nuovo log di HJT:

Codice: Seleziona tutto

Logfile of HijackThis v1.99.1
Scan saved at 17.10.23, on 24/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\StartupMonitor.exe
C:\Programmi\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\spywarevanisher-full\SpywareVanisher.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\HJT\hijackthis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Multimedia Keyboard] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programmi\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Spyware Vanisher] C:\Programmi\spywarevanisher-full\SpywareVanisher.exe -FastScan
O4 - Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server 8.1 (pgsql-8.1) - PostgreSQL Global Development Group - C:\Programmi\PostgreSQL\8.1\bin\pg_ctl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Programmi\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)


...alcuni dei file missing fixati non se ne vanno!

Resto in attesa!

ps: disinstallerò Vanisher

[Luke57]

Ciao, sospetto un'infezione da linkoptimizer (quel trojan rilevato da antivir è un sintomo); allora
scarica Gmer :
http://www.gmer.net/gmer111.zip

Dopo averlo scompattato, lo avvii, selezioni il tab"Rootkit" , spunta la casella ADS
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione Autostart, spunta la casella "show all", con le stesse procedure del precedente. Incolli il log generato nel suddetto block notes e poi incolli i due log in un post nel forum.

[Swalke]

link optimizer l'ho beccato e pensavo di averlo debellato invece...

...comunque se lancio "gmer.exe" non succede nulla.

Ho provato a lanciarlo anche da prompt con linea di comando.

Non da errori... ...semplicemente non fa nulla e ricompare il prompt.

..mmm...

[BilloKenobi]

per prima cosa allora prova a far girare questo tool... in linea teroica dovrebbe eliminare il linkoptimizer, ma quasi sempre lascia dei rimasugli. potrebbe però essere in grado di sbloccare gmer (difatti una delle versioni del linkoptimizer ne blocca l'uso)

http://www.prevx.com/gromozon.asp

[Swalke]

Il link che hai postato non va!

[Luke57]

Ciao, in che senso non va? Hai disattivato l'antivirus prima di fare la scansione?
rendi visibili file e cartelle nascosti:
da risorse del computer , seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Poi prova ad andare in
C:\windows e a cercare
service32.exe
(non c'entra niente con linkoptimizer ma è un rootkit anch'esso)
se lo trovi eliminalo
cerca anche (rispettando l'ordine che ti ho detto)
syst32.dll e syshost.dll
elimina anch'essi.
Poi riprova con il tool o Gmer.

Se le ricerche sono infruttuose (nel senso che non hai trovato niente della pappardella di cui sopra)
Scarica Virit da qui:
http://www.tgsoft.it/italy/index_ita.html
versione prova 30 gg., lo aggiorni alle ultime definizioni e fai una scansione dalla modalità provvisoria.
Posta il report dello scan.

Riprocìva con gmer e il tool della prevx.

[Swalke]

Ciao, in che senso non va?

"Impossibile visualizzare la pagina.

Hai disattivato l'antivirus prima di fare la scansione?

Si.

service32.exe
syst32.dll e syshost.dll

Non ce li ho.

Poi riprova con il tool o Gmer.

Lo lancio ma non fa nulla.
...anche lanciandolo da propt... ...non da errori e dopo il lancio torna immediatamente il prompt.

Alla fine sono riuscito ad eliminare quei file mettendo "Everyone" nelle autorizzazioni del file.
La stessa cosa ho fatto per eliminare a mano quelle chiavi di registro create da linkoptimizer.

Quindi il problema dei file che non si cancellavano è risolto, però credi di avere ancora qualche traccia di virus in giro se non dei virus veri e propri.

Il fatto è che ogni tanto Avira "blippa" e rileva un virus sempre diverso (RKDice, SDBot, HacDef, Rbot e anche altri che non ricordo).

Ma la mia domanda è: con antivirus che aggiorna tutti i giorni e tutti sti programmi di protezione sempre aggiornati come ho fatto a beccarmeli?
Se Avira "blippa" adesso in momenti a caso dell'utilizzo del pc (anzi a dire la verità anche quando il pc è acceso ma non lo sto usando) significa che sti virus partono perchè qualcosa li attiva in automatico.
Questo qualcosa come si è installato se sono "protetto"?

Cioè come è che l'antivirus mi becca sti virus quando partono ma non quando mi vengono installati?

Quasi quasi cambio antivirus...

Ora che mi consigliate di fare?
Cerco su internet le istruzioni per rimuovere a mano tutti sti virus?
Il fatto è che non sarà facile visto che ad esempio Avira e Symantec chiamano i virus in modo diverso mi pare di capire.

Resto in attesa.

[dibdabdu]

ciao a tutti, spero davvero in un aiuto. Ho molti dei sintomi del linkoptimizer.
ho eseguito la guida di p2p (http://www.p2pforum.it/forum/showthread.php?t=115737), sia quella di suspectfile (http://www.suspectfile.com/forum/viewtopic.php?t=156).
adesso ho eseguito le istruzioni di pc-facile in questo topic.

I file qui nominati che dovrei eliminare non li ho nemmeno io. in compenso in due dei cinque profili del mio XP nella cartella TEMP c'è un file .exe che non posso cancellare. lo posso rinominare ma non cancellare.

in c:\programmi avevo la cartella "linkoptimizer" e l'ho eliminata.
In c:\documents and settings avevo un utente dal nome "wIc" (che certamente non ho creato io) e l'ho eliminato.

Virit ogni volta che lo lancio mi trova due chiavi di registro infette e le elimina.

In piu' spesso zonealarm mi rileva un programma che tenta di accedere alla rete e lo blocco. Tale programma ha sempre nomi diversi e questi nomi sono sempre composti da quadratini, simboli di euro e dollaro e lettere accentate.

Ho lanciato PREVX e appena clicco su scan mi dice che non ha trovato nessun componente del trojan.gromozon nel mio pc. faccio proseguire ugualmente la scansione completa (dopo il riavvio) e mi dice che il mio sistema non è infetto ed e' sanissimo.

Ho cancellato con Cclean tutti i cookies, i temp, i tempor.int.files di tutti gli utenti.

adesso ho lanciato anche gmer e questi sono i risultati.

PS: tutto cio' che ho fatto e che ho qui descritto l'ho fatto da SAFE MODE in modo da non avere interferenze di programmi che partono all'avvio come AVG asntivirus, Spybot e ZoneAlarm.

se qualcuno ha qualsiasi suggerimento lo ringrazio sin da ora.


GMER 1.0.11.11390 - http://www.gmer.net
Rootkit 2006-10-13 09:31:10
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT sptd.sys ZwEnumerateKey
SSDT sptd.sys ZwEnumerateValueKey

---- Devices - GMER 1.0.11 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 86F98EB0
Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 86F98EB0

---- EOF - GMER 1.0.11 ----







GMER 1.0.11.11390 - http://www.gmer.net
Autostart 2006-10-13 09:33:55
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = c:\windows\system32\userinit.exe,,c:\windows\svchost.exe,"c:\windows\wifiset.exe",

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent@DLLName = Ati2evxx.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Ati HotKey Poller@ = %SystemRoot%\system32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = C:\WINDOWS\system32\ati2sgag.exe
Avg7Alrt /*AVG7 Alert Manager Server*/@ = C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
Avg7UpdSvc /*AVG7 Update Service*/@ = C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
CiSvc /*Servizio di indicizzazione*/@ = C:\WINDOWS\system32\cisvc.exe
Fax /*Fax*/@ = %systemroot%\system32\fxssvc.exe
IISADMIN /*Amministrazione di IIS*/@ = C:\WINDOWS\system32\inetsrv\inetinfo.exe
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE"
MSFtpsvc /*Pubblicazione FTP*/@ = %SystemRoot%\system32\inetsrv\inetinfo.exe
SimpTcp /*Servizi semplici TCP/IP*/@ = %SystemRoot%\system32\tcpsvcs.exe
SLService /*SmartLinkService*/@ = slmdmsr.exe
SMTPSVC /*Protocollo SMTP (Simple Mail Transfer Protocol)*/@ = C:\WINDOWS\system32\inetsrv\inetinfo.exe
SNMP /*Servizio SNMP*/@ = %SystemRoot%\System32\snmp.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
StarWindService /*StarWind iSCSI Service*/@ = d:\Programmin\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
UserAccess7 /*SecuROM User Access Service (V7)*/@ = C:\WINDOWS\system32\UAService7.exe
vsmon /*TrueVector Internet Monitor*/@ = C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
W3SVC /*Pubblicazione sul Web*/@ = %SystemRoot%\system32\inetsrv\inetinfo.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@SoundManSOUNDMAN.EXE = SOUNDMAN.EXE
@ATIPTA"C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" = "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
@NVIDIA nTune"C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear = "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
@ASUS ProbeC:\Program Files\ASUS\Asus Probe\AsusProb.exe = C:\Program Files\ASUS\Asus Probe\AsusProb.exe
@AVG7_CCC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP = C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
@AVG7_EMCC:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe = C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
@SunJavaUpdateSchedC:\Programmi\Java\jre1.5.0_06\bin\jusched.exe = C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
@MediaKeyC:\PROGRA~1\INTERN~2\MEDIAKEY.EXE = C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE
@Zone Labs Client"D:\Programmin\Zone Labs\ZoneAlarm\zlclient.exe" = "D:\Programmin\Zone Labs\ZoneAlarm\zlclient.exe"
@MSConfigC:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto = C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
@VIRIT LITE MONITORD:\PROGRAMMIN\VEXPLITE\MONLITE.EXE = D:\PROGRAMMIN\VEXPLITE\MONLITE.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@wifiset = "c:\windows\wifiset.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@UPnPMonitor = C:\WINDOWS\system32\upnpui.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{5a61f7a0-cde1-11cf-9113-00aa00425c62} /*IIS Shell Extension*/C:\WINDOWS\system32\inetsrv\w3ext.dll = C:\WINDOWS\system32\inetsrv\w3ext.dll
@{e57ce731-33e8-4c51-8354-bb4de9d215d1} /*Periferiche Plug and Play universali*/C:\WINDOWS\system32\upnpui.dll = C:\WINDOWS\system32\upnpui.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} /*AVG7 Shell Extension*/C:\Programmi\Grisoft\AVG Free\avgse.dll = C:\Programmi\Grisoft\AVG Free\avgse.dll
@{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} /*AVG7 Find Extension*/C:\Programmi\Grisoft\AVG Free\avgse.dll = C:\Programmi\Grisoft\AVG Free\avgse.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/D:\Programmin\WinRar\rarext.dll = D:\Programmin\WinRar\rarext.dll
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/D:\Programmin\iTunes\iTunesMiniPlayer.dll = D:\Programmin\iTunes\iTunesMiniPlayer.dll
@{792F0537-F929-4eb7-AC1D-FB6334C71550} /*LG Phone*/D:\PROGRA~1\LGPCSU~1\LGPHON~1\Phone.dll = D:\PROGRA~1\LGPCSU~1\LGPHON~1\Phone.dll
@{ABC70703-32AF-11d4-90C4-D483A70F4825} /*CMenuExtender*/D:\Programmin\iColorFolder\CMExt.dll = D:\Programmin\iColorFolder\CMExt.dll
@{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} /*PhoneBrowser*/D:\Programmin\Nokia\Nokia PC Suite 6\PhoneBrowser.dll = D:\Programmin\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/d:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll = d:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG Free\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programmin\WinRar\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
CMenuExtender@{ABC70703-32AF-11d4-90C4-D483A70F4825} = D:\Programmin\iColorFolder\CMExt.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programmin\WinRar\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG Free\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programmin\WinRar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\sstext3d.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
msnim@CLSID = "C:\PROGRA~1\MSNMES~1\msgrapp.dll"
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\Administrator\Menu Avvio\Programmi\Esecuzione automatica = Spybot - Search & Destroy.lnk

---- EOF - GMER 1.0.11 ----

[Luke57]

Ciao, nel log c'è una voce che non mi convince:
scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|wifiset


Files to delete:
c:\windows\wifiset.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.

[dibdabdu]

innanzitutto ti ringrazio, sei gentilissimo
ho eseguito ALLA lettera le tue iscrizioni. tutto è andato come avevi indicato.
ed ecco il log di avenger.
ti puzza la voce "wifi" ?




Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oycmihfi

*******************

Script file located at: \??\C:\WINDOWS\system32\cxoenpkh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\wifiset.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|wifiset deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[Luke57]

Ciao, lo script è andato a buon fine.
Era la posizione nel registro di sistema a insospettire, è una chiave fra l'altro che hijackthis non esplora.

[dibdabdu]

virit mi trova sempre due chiavi di registro infette,

[SCANSIONE DEL REGISTRO]
{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B
* * * RIMOSSO * * *
{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.D

una delle due la rimuove tutte le volte

mentre la chiave infetta da BHO.LinkOptimizer.D non la rimuove mai.

non potrei provare a rimuoverla io manualmente?

[Luke57]

Ciao, nel log di Gmer non appare.
Fai così per rimuoverla manualmente:
entri nel registro così:
start>esegui>regedt32 (lo digiti nello spazio)>OK
aperto l'editor vai su Modifica>Trova, nello spazio incolli (Ctrl+V)
DA39029C-D291-A968-3FF4-D0990D5CB5FC
poi OK
Trovata la voce, click con il tasto dx su Autorizzazioni, nella finestra che si apre scegli Avanzate, vai su Proprietario, imposta la proprietà al nome utente, evidenziando la voce >OK.
Alla pagina precedente, metti la spunta a Controllo completo, in lettura e premi OK. Poi provi a eliminare la voce cliccando con il tasto d e scegliendo Elimina.

[dibdabdu]

nel registro la stringa {DA39029C-D291-A968-3FF4-D0990D5CB5FC} compare BEN OTTO volte, in OTTO posizioni diverse, e precisamente:

HKEY_CLASSES_ROOT\CLSID\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Qypqb\1\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Qypqb\2\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}

HKEY_USERS\S-1-5-21-1454471165-1644491937-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}.

E' normale?
E soprattutto, Virit riporta quanto segue:

{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B
* * * RIMOSSO * * *
{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.D

Le due chiavi sono identiche, ma una è infetta da Linkoptimizer.B, mentre l'altra è infetta da Linkoptimizer.D; in più, una viene rimossa, mentre l'altra no.

Sono quantomeno confuso...

[dibdabdu]

leggo che il problema con questa stringa l'hanno avuto anche altri.
ora leggo il tuo post su http://forum.swzone.it/showthread.php?t=58434&page=5 e spero di risolvere