Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Aiuto!!!!

Aiuto!!!! Opzioni
Topic Precedente · Topic Sucessivo
Ronny77
Inviato: Tuesday, August 22, 2006 10:28:14 AM
Rank: Member

Iscritto dal : 3/1/2005
Posts: 15
Ciao a tutti! Non so più che fare per risovere il mio problema.
Dopo aver eseguito la vostra procedura più e più volte, credevo di aver ripulito per bene il mio Pc, ma dopo qualche tempo eccolo ricomparire l'ormai dannato file "igvo1.exe" che mi genera una connessione internet e cerca in tutti i modi di collegarsi. Nelle volte precedenti avevo eliminato questo file anche con killbox, ma lo stesso dopo poco ricompariva.Ho scoperto che nel mio pannello installazioni e applicazioni c'è un programma (non da me installato) che si chiama LinkOptimizer che non riesco a disinstallere ne con la procedura on-line ne con un programma che si chiama "MyUninstaller". Inoltre porpio oggi per ho provato ad installare come ulteriore protezione ZoneAlarm_65_731_000 ma l'installazione non si completa perchè il programma non trova una libreria di tipo *.dll e la cosa buffa è che ora non riesco a disinstallarlo perchè mi dice che è in funzione il True Vector che non so cosa sia. Vi riallego il mio Log. Potete aiutarmi perchè non riesco più a lavorare!
Grazie mille


Logfile of HijackThis v1.99.1
Scan saved at 10.18.13, on 22/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\PROGRA~2\CoCreate\MEls\MEls.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\ATnotes\ATnotes.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [igvo1.exe] C:\WINDOWS\Temp\igvo1.exe
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: FLEXlm Service for vNDesktop - Macrovision Corporation - C:\Programmi\vNFlexnt\lmgrd.exe
O23 - Service: MEls - Unknown owner - C:\PROGRA~2\CoCreate\MEls\MEls.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Torna in alto
 
Sponsor
Inviato: Tuesday, August 22, 2006 10:28:14 AM

 
Torna in alto
 
monsee
Inviato: Tuesday, August 22, 2006 10:48:07 AM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
LinkOptimizer è un "fetentone" difficilissimo da debellare. Steven ha scritto un'apposita guida, per questo. Per debellare questo malware c'è da seguire ATTENTAMENTE e COSCENZIOSAMENTE, tutta una ben precisa procedura (che, son sicuro, Steven ti saprà illustrare meglio di me). Quindi, mettiti il cuore in pace: ci sarà da lottare. Ma mettiti in pace il cuore anche per quest'altra ragione: il malware che t'infesta il computer NON è invincibile: e tu puoi batterlo.

Edited by - monsee on 08/22/2006 10:48:46
Torna in alto
 
steven75
Inviato: Tuesday, August 22, 2006 10:56:42 AM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Ciao,
allora monsee ti ha già anticipato il dà farsi , quindi fai cosi: vai su questa guida , e comincia a seguire i passaggi nell'ordine fino ad arrivare agli scan con BitDefender - Virit - Ewido .... Se a quel punto i problemi persistono , bisognerà seguire il resto della procedura
http://steven.altervista.org/files/rootkit.html
Torna in alto
 
Ronny77
Inviato: Wednesday, August 23, 2006 12:30:28 PM
Rank: Member

Iscritto dal : 3/1/2005
Posts: 15
Ciao a tutti e grazie per l'aiuto.
Ho segutio la guida creata da Steven, io ho eseguito i primi 9 punti ma non essendo un esperto e non sapendo bene cosa eliminare o meno vi elenco di seguito

i risultati ottenuti punto per punto.

1) Ho disinstallato la Java machine
2) Dallo scan con RootKit ho rilevato i seguenti risulati:


HKLM\S-1-5-21-606747145-1647877149-725345543-1003\Software\Adobe\MediaBrowser\MRU\illustrator\ApplicationPath 04/08/2006 16.00 87 bytes

Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version 29/12/2005 19.38 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS\StateIndex 23/08/2006 12.09 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 07/08/2006 23.00 34 bytes Windows API length not consistent with raw

hive data.
HKLM\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version 29/12/2005 19.38 0 bytes Key name contains embedded nulls (*)
C:\WINDOWS\ihdyl1.upd 07/08/2006 23.01 61.04 KB Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 23/08/2006 12.06 64.00 KB Visible in Windows API, but not in MFT or directory index.




3) Ho eliminato la cartella con nome random
4) Ho eliminato solo un file *.dll in Temp perchè altro non ho trovato
5) La cartella LinkOptimizer non esisteva
6) Con HiJackThis ho trovato un log credo pulito

Logfile of HijackThis v1.99.1
Scan saved at 12.25.43, on 23/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\PROGRA~2\CoCreate\MEls\MEls.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\ATnotes\ATnotes.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: andGoogle - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programmi\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: andAdd animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: andCerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: andTraduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Eandsporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: DownloadInformation -
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: FLEXlm Service for vNDesktop - Macrovision Corporation - C:\Programmi\vNFlexnt\lmgrd.exe
O23 - Service: MEls - Unknown owner - C:\PROGRA~2\CoCreate\MEls\MEls.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe




7) Ho cancellato il servizio creato, ma prima ho dovuto disabilitarlo.
8) facendo la scansione Open ADS Spy non ha trovato niente
9) Con Open process manager ho trovato i seguenti risulati

Process list saved on 12.24.37, on 23/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)

[pid] [full path to filename] [file version] [company name]
640 C:\WINDOWS\System32\smss.exe 5.1.2600.2180 Microsoft Corporation
740 C:\WINDOWS\system32\winlogon.exe 5.1.2600.2180 Microsoft Corporation
788 C:\WINDOWS\system32\services.exe 5.1.2600.2180 Microsoft Corporation
800 C:\WINDOWS\system32\lsass.exe 5.1.2600.2180 Microsoft Corporation
964 C:\WINDOWS\system32\Ati2evxx.exe 6.14.10.4117 ATI Technologies Inc.
980 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1148 C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1432 C:\WINDOWS\system32\spoolsv.exe 5.1.2600.2696 Microsoft Corporation
1540 C:\Programmi\AntiVir PersonalEdition Classic\sched.exe 7.0.0.17 Avira GmbH
1556 C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe 7.0.0.29 AVIRA GmbH
1612 C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe 2.2.0.0 SEIKO EPSON CORPORATION
1696 C:\Programmi\ewido anti-spyware 4.0\guard.exe 4.0.0.172 Anti-Malware Development a.s.
1800 C:\PROGRA~2\CoCreate\MEls\MEls.exe 13.20.0.0
1848 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1948 C:\VEXPLITE\viritsvc.exe 1.1.0.1 TG Soft Sas www.tgsoft.it
228 C:\WINDOWS\system32\Ati2evxx.exe 6.14.10.4117 ATI Technologies Inc.
1416 C:\WINDOWS\system32\wscntfy.exe 5.1.2600.2180 Microsoft Corporation
1736 C:\WINDOWS\Explorer.EXE 6.0.2900.2180 Microsoft Corporation
2124 C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe 6.14.10.5157 ATI Technologies, Inc.
2160 C:\Programmi\QuickTime\qttask.exe 6.5.1.17 Apple Computer, Inc.
2228 C:\WINDOWS\system32\devldr32.exe 1.0.0.17 Creative Technology Ltd.
2252 C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe 7.0.0.10 Avira GmbH
2328 C:\Programmi\ewido anti-spyware 4.0\ewido.exe 4.0.0.172 Anti-Malware Development a.s.
2336 C:\VEXPLITE\MONLITE.EXE 5.1.0.1 TG Soft S.a.s.
2380 C:\Programmi\ATnotes\ATnotes.exe 9.4.1.0 Thomas Ascher
2388 C:\WINDOWS\system32\ctfmon.exe 5.1.2600.2180 Microsoft Corporation
2456 C:\Programmi\Digisoft AntiDialer\AntiDialer.exe 1.0.4.3 Digisoft
2960 C:\HJT\HijackThis.exe 1.99.0.1 Soeperman Enterprises Ltd.


DLLs loaded by process C:\WINDOWS\System32\smss.exe:

[full path to filename] [file version] [company name]
C:\WINDOWS\system32\ntdll.dll 5.1.2600.2180 Microsoft Corporation




10) Con GMER ho trovato i seguenti risulati


RootKit

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-23 12:05:10
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess

---- Devices - GMER 1.0.10 ----

Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE A7DE9C8A

---- Registry - GMER 1.0.10 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version@Version 0xA4 0x99 0x95 0xA1 ...
Reg \Registry\MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version@Version 0xA4 0x99 0x95 0xA1 ...

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\WINDOWS\ihdyl1.upd
File D:\System Volume Information\MountPointManagerRemoteDatabase
File D:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----




Autostart

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-23 12:03:42
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = :SystemRoot:\system32\csrss.exe ObjectDirectory=\Windows

SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3

ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent@DLLName = Ati2evxx.dll

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = C:\:comsetzk.log

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AntiVirScheduler /*AntiVir Scheduler*/@ = C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
AntiVirService /*AntiVir PersonalEdition Classic Service*/@ = C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
Ati HotKey Poller@ = :SystemRoot:\system32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = C:\WINDOWS\system32\ati2sgag.exe
EPSONStatusAgent2 /*EPSON Printer Status Agent2*/@ = C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Programmi\ewido anti-spyware 4.0\guard.exe
FLEXlm Service for vNDesktop /*FLEXlm Service for vNDesktop*/@ = C:\Programmi\vNFlexnt\lmgrd.exe
MEls /*MEls*/@ = C:\PROGRA~2\CoCreate\MEls\MEls.exe
Spooler /*Spooler di stampa*/@ = :SystemRoot:\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ATIPTA"C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" = "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
@REGSHAVEC:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN = C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@avgnt"C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min = "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
@!ewido"C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized = "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ATnotes.exeC:\Programmi\ATnotes\ATnotes.exe = C:\Programmi\ATnotes\ATnotes.exe
@ctfmon.exeC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Programmi\ewido anti-spyware

4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not

found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/:SystemRoot:\system32\twext.dll = :SystemRoot:\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/:SystemRoot:\system32\twext.dll = :SystemRoot:\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/:SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} /*Adobe.Acrobat.ContextMenu*/C:\Programmi\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll =

C:\Programmi\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL =

C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL =

C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL =

C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft

Office\OFFICE11\msohev.dll
@{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} /*Autodesk Drawing Preview*/C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcThumbnail16.dll = C:\Programmi\File

comuni\Autodesk Shared\Thumbnail\AcThumbnail16.dll
@{36A21736-36C2-4C11-8ACB-D4136F2B57BD} /*Gestore icona firma digitale di AutoCAD*/C:\WINDOWS\system32\AcSignIcon.dll = C:\WINDOWS\system32\AcSignIcon.dll
@{6DEA92E9-8682-4b6a-97DE-354772FE5727} /*Autodesk DWF Preview*/C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll = C:\Programmi\File

comuni\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll
@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} /*Shell Extension for Malware scanning*/C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll =

C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
Adobe.Acrobat.ContextMenu@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} = C:\Programmi\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
IMMenuShellExt@{F8984111-38B6-11D5-8725-0050DA2761C4} = C:\Programmi\IncrediMail\bin\IMShExt.dll
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
Shell Extension for Malware scanning@{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programmi\AntiVir PersonalEdition Classic\shlext.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat

6.0\Acrobat\ActiveX\AcroIEHelper.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar1.dll = c:\programmi\google\googletoolbar1.dll
@{AE7CD045-E861-484f-8273-0445EE161910}C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll = C:\Programmi\Adobe\Acrobat

6.0\Acrobat\AcroIEFavClient.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ieandpver=6andar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ieandpver=6andar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}andclcid={SUB_CLSID}andpver={SUB_PVER}andar=home =

http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}andclcid={SUB_CLSID}andpver={SUB_PVER}andar=home

HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://www.libero.it/

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{91616624-E5A4-4DBD-B21F-B70D06528039} /*Connessione alla rete locale (LAN)*/ >>>
@IPAddress100.0.0.2 = 100.0.0.2
@NameServer =
@DefaultGateway =
@Domain =

C:\Documents and Settings\Edoardo\Menu Avvio\Programmi\Esecuzione automatica = Adobe Gamma.lnk

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Adobe Gamma Loader.lnk = Adobe Gamma Loader.lnk
Digisoft AntiDialer.lnk = Digisoft AntiDialer.lnk

---- EOF - GMER 1.0.10 ----



E qui mi son fermato.
Ora cosa e come devo cancellare i file infetti per le varie sezioni?
in attesa di vostre risposte vi ringrazio.
Ciao
Torna in alto
 
steven75
Inviato: Wednesday, August 23, 2006 1:39:37 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
bene , adesso fai cosi:

Recati nel pannello di controllo e vedi se presente una voce con il nome LinkOptimizer, se si non toccarla , scarica e decomprimi MyUninstaller,(se lo vuoi tradurre in italiano,scarica questo file.zip
decomprimilo ,prendi il file e copialo nella cartella dove c'è Myuninstaller) .
Adesso avvia l'applicazione,attendi che siano visibili tutti i programmi installati, seleziona la voce in oggetto e premi sull'iconcina a forma di cestino per disinstallarla.....

Poi vai su Start->esegui->digita control userpasswords2 e dai l'ok....
Nella finestra che si aprira controlla di non avere un utenza sospetta oltre alle solite , se c'è cliccaci sopra con il tasto destro ed eliminala .....
(se hai XP PRO,semore nella finestra degli account,clicca su avanzate,poi ancora su avanzate, e controlla sia in user , che in groups di non avere alcuna utenza strana)

- Ora scarica e decomprimi the avenger ,
http://swandog46.geekstogo.com/avenger.zip
- Avvia Avenger.exe e seleziona <b>Input Script Manually</b>
- Clicca sulla lente d'ingrandimento e si aprirà la finestra <b>View/edit script</b>,
- All'interno copiaci quanto segue:

<b>Registry values to replace with dummy:</b>
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

<b>Files to delete:</b>
C:\WINDOWS\ihdyl1.upd

- Clicca sul pulsante <b>Done</b>
- Clicca sull'icona del semaforo verde
- Rispondi due volte Yes
- Il pc dovrebbe riavviarsi da solo,(altrimenti fallo tu)

E quindi posta il log di Avenger che trovi in (C:\avenger.txt)

Se questi passaggi vanno a buon fine molto probabilmente te ne sei sbarazzato di questa porcheria...


Edited by - steven75 on 08/24/2006 14:34:53
Torna in alto
 
Ronny77
Inviato: Wednesday, August 23, 2006 2:47:38 PM
Rank: Member

Iscritto dal : 3/1/2005
Posts: 15
Ancora grazie per l'aiuto. Sto seguendo la seconda parte dlla procedura che i hai indicato, ma con Myuninstaller non riesco a togliere il LinkOptimizer perchè anche se clicco sulla iconcina a cestino lui tenta di reidirizzarsi al sito Notetol e quindi non riesco ad eliminarlo.
ti invio le info relative al LinkOptimizer ricavate da MyUninstaller.

Procedo comq con il resto della procedura?
Attendo tue news.
Grazie


==================================================
Entry Name : LinkOptimizer
Product Name : Sistema operativo Microsoft® Windows®
Version : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
Company : Microsoft Corporation
Description : Internet Explorer
Obsolete : No
Uninstall : Yes
Installation Folder : C:\Programmi\Internet Explorer
Web Site :
Installation Date : 07/08/2006 23.00.54
Uninstall String : "C:\Programmi\Internet Explorer\iexplore.exe" "http://notetol.com/uninstall.php"
Quiet Uninstall : No
Registry Key : LinkOptimizer
Installer : Unknown
Root Key : HKEY_LOCAL_MACHINE
==================================================
Torna in alto
 
steven75
Inviato: Wednesday, August 23, 2006 3:40:14 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
si procedi con il resto ,
sempre con my uninstaller ,selezionalo con il tasto destro e scegli elimina ....
Torna in alto
 
Ronny77
Inviato: Wednesday, August 23, 2006 4:24:16 PM
Rank: Member

Iscritto dal : 3/1/2005
Posts: 15
Ho eseguito tutta la procedura e ti allego il log di avenger come ultimo controllo. Quando sono andato a cancellare le utenze con nomi random,ho individuato una che si chiama ASPNET ASP.NET machine account che non so di cosa si tratti ed una che si chiama Guest.Le devo cancellare?

Ecco il Log!

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fijucytq

*******************

Script file located at: \??\C:\WINDOWS\jbwrbkfd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\ihdyl1.upd deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Speriamo che sia tutto eliminato anche perchè se questo Pc è ok, mi devo mettere ad eseguire la medesima proceura sul mio Notebook anch'esso infettato e avrò bisogno ancora del tguo aiutAngel
Ti ringrazio mmolto e rimango in attesa di tue news positive!
Ciao
Torna in alto
 
steven75
Inviato: Wednesday, August 23, 2006 5:04:50 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Ciao ,
si l'operazione ha dato esito positivo ....
riscontri ancora problemi? a mio avviso adesso dovresti essere apposto .... e linkoptimizer è sparito ....

Anzi effettua quest'altra procedura per essere ancora piu sicuri
- Scarica Registry Search Tools.zip dalla mia guida , decomprimilo e avvialo ...
- Nello spazio bianco inserisci il nome del file random (cioè ihdyl1.upd) e dai l'ok.
- Aspetta fin quando non sarà visulizzata una finestra del wordpad dove vengono riportati tutti i collegamenti del file , e copiala sul forum ....
Torna in alto
 
Ronny77
Inviato: Wednesday, August 23, 2006 5:49:31 PM
Rank: Member

Iscritto dal : 3/1/2005
Posts: 15
Ho fatto qunato mi hai detto e mi è comparso un messaggio in cui mi diceva che alcun collegamento a quel file è stato trovato. Quindi siamo riusciti a sconfiggerlo?
Un'ultima cosa in merito a quelle utenze che ti ho citato ASPNET e GUEST è tutto ok?
Ancora grazie e a presto per l'altro PC:)
Torna in alto
 
sarwad
Inviato: Wednesday, August 23, 2006 6:00:58 PM
Rank: Member

Iscritto dal : 5/3/2006
Posts: 0
steven il condottiero!!! sono le piccole guerre che fanno vincere le grandi battaglie !e steven con una tattica di guerra è riuscio ancora una volta a sconfiggere il nemico! BRAVO STEVEN!!!SEI ER MEJO
Torna in alto
 
steven75
Inviato: Wednesday, August 23, 2006 6:23:55 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
grazie sarwad ....

@ronny: si ora possiamo dirlo , linkoptimizer è stato sconfitto <img src=icon_smile_big.gif border=0 align=middle>...

Per ASP e GUEST è tutto normale ...
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Aiuto!!!!


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.