c:\winnt\U2VyZ2lvIFNpcmFnbmE\command.exe

**rebelia** · 21-08-2006, 19:25

ciao

sto cercando di togliere di torno il file in oggetto da una macchina, perche' virit me lo da infetto da adware.command.a

ho scaricato la guida, pero' ci sono alcuni passaggi che non mi sono chiari:

alla sezione "rimozione manuale" c'e' scritto:
1) scaricare rootkirevelear e fare il log. il log va fatto senza usare il pc con tutte le applicazioni (anche l'antivirus) chiuse e disconnessi da internet: senza usare il pc!?

al punto 6 della stessa sezione, c'e' scritto di fixare tutte le voci R0, R1 e R3 e le righe del tipo O2-BHO: (nome)-{xxx}-(nofile): anche i files O3?

piu' sotto c'e' scritto di copiare un determinato contenuto e una stringa dice:
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
e sotto elenca alcuni files da eliminare: la stringa scritta sopra rimane uguale anche se il so e' win2k?

per ora mi sa che basta, domani quando avro' la macchina sottomano sicuro che m'incarto di nuovo appena piu' avanti

grazie a chi mi sapra' aiutare

**Simeon** · 21-08-2006, 19:47

Ok, un passo alla volta.

Iniziamo con un log di HijackThis.

http://forum.html.it/forum/showthrea...hreadid=811189
Segui innanzitutto le istruzioni descritte al punto [4].

Clicca poi su "Do a system scan and save a logfile" e posta il contenuto del log.

**rebelia** · 22-08-2006, 10:00

rieccomi!
grazie per la risposta; stamattina ho la macchina sottomano e quando l'ho accesa oltre al solito file ho scoperto che c'e' un problema tutto nuovo in una libreria, infatti mi dice:

errore durante il caricamento di w003eaaf.dll - impossibile trovare il modulo specificato

non trovo pero' nulla in rete relativo a questo file

ad ogni modo ho fatto una scansione con hijackthis e questo e' il log:

Logfile of HijackThis v1.99.1
Scan saved at 9.51.07, on 22/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\U2VyZ2lvIFNpcmFnbmE\command.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\VEXPLITE\viritsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\msjava.exe
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\WINNT\system32\igfxpers.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINNT\system32\ctfmon.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Documents and Settings\Sergio Siragna\Desktop\morena\hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe msjava.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,msjava.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [sys33] Sys33.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [newname] C:\\nwnmc_2.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programmi\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdc_2.exe
O4 - HKLM\..\Run: [ewr7d71d] RUNDLL32.EXE w003eaaf.dll,n 0017d71c0000000a003eaaf
O4 - HKLM\..\RunServices: [sys33] Sys33.exe
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msjava.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msjava.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: H323TSP - C:\WINNT\system32\e820lifm182a.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxdev.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\U2VyZ2lvIFNpcmFnbmE\command.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

edit: che la libreria in alto abbia qualcosa a che vedere con questo ultimo "missing file"!? :master:

**Simeon** · 22-08-2006, 15:53

E’ consigliabile posizionare l’eseguibile di HijackThis in una cartella a lui esclusivamente dedicata e situata in C:\ o C:\Programmi.

Scarica CCleaner
Scarica Ewido Antimalware e aggiornalo
Scarica Look2Me-Destroyer

Disabilita il ripristino di configurazione di sistema (lo riattiverai a problema risolto).

Abilita la visualizzazione dei file nascosti:

Accedi al Pannello di Controllo / Installazione applicazioni e disinstalla webHancer.

Avvia HijackThis
vai su Open the Misc Tools section / Open Process manager e killa questi processi:
C:\WINNT\U2VyZ2lvIFNpcmFnbmE\command.exe
C:\WINNT\system32\msjava.exe

- avvia look2me destroyer.exe, seleziona la casella "Run this program as a task" e premi OK;
- il programma si chiuderà per qualche istante; alla riapertura clicca su "Scan for L2M";
- non preoccuparti di ciò che accade al desktop; clicca su "Remove L2M" , dai l'OK al messaggio "Done Scanning" e attendi;
- a fine dovresti ricevere il messaggio "Done removing infected files! Look2Me-Destroyer will now shutdown your computer"; dai Ok.

Stampati queste istruzioni:

Entra in modalità provvisoria.

Vai su Start => Esegui
digita “sc stop cmdService” (dai invio)
digita “sc delete cmdService” (dai invio)
digita “sc stop Windows Spooler Service” (dai invio)
digita “sc delete Windows Spooler Service” (dai invio)

Avvia HijackThis e fixa queste voci:
F2 - REG:system.ini: Shell=Explorer.exe msjava.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,msjava.exe
O4 - HKLM\..\Run: [sys33] Sys33.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmc_2.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programmi\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdc_2.exe
O4 - HKLM\..\Run: [ewr7d71d] RUNDLL32.EXE w003eaaf.dll,n 0017d71c0000000a003eaaf
O4 - HKLM\..\RunServices: [sys33] Sys33.exe
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msjava.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msjava.exe
O20 - Winlogon Notify: H323TSP - C:\WINNT\system32\e820lifm182a.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\U2VyZ2lvIFNpcmFnbmE\command.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe (file missing)

Cerca ed elimina (se presenti):
- \nwnmc_2.exe in C:\
- \kybrdc_2.exe in C:\
- e820lifm182a.dll in C:\WINNT\system32\
- la cartella U2VyZ2lvIFNpcmFnbmE\command.exe in C:\WINNT\
- services.exe in C:\WINNT\
- la cartella webHancer in C:\Programmi\

Fai pulizia con CCleaner.
Fai una scansione con Ewido.

Riavvia.

Posta un nuovo log di HijackThis e il log di Look2me-destroyer.

**rebelia** · 22-08-2006, 17:02

Originariamente inviato da Simeon
E’ consigliabile posizionare l’eseguibile di HijackThis in una cartella a lui esclusivamente dedicata e situata in C:\ o C:\Programmi.

fatto

Scarica CCleaner
Scarica Ewido Antimalware e aggiornalo
Scarica Look2Me-Destroyer

fatto; non posso aggiornare ewido, il pc non e' collegato in rete, ad ogni modo ho scaricato l'ultimo reso disponibile dalla casa produttrice

Disabilita il ripristino di configurazione di sistema (lo riattiverai a problema risolto).

*credo* di averlo fatto: non sono molto pratica di win2k e non sapevo dove andare a toccare ad ogni modo dovrei esserci riuscita, anche se non saprei trovare di nuovo la strada

Abilita la visualizzazione dei file nascosti:

fatto

Accedi al Pannello di Controllo / Installazione applicazioni e disinstalla webHancer.

non l'ho trovato

Avvia HijackThis
vai su Open the Misc Tools section / Open Process manager e killa questi processi:
C:\WINNT\U2VyZ2lvIFNpcmFnbmE\command.exe
C:\WINNT\system32\msjava.exe

fatto, ma posso killare solo il secondo; l'altro me lo da come file protetto

- avvia look2me destroyer.exe...

non ho fatto nient'altro per ora; ma conto di procedere anche se alcuni passaggi non mi sono riusciti; e' un'idea molto balzana avviare con un dischetto di win98 e tentare di eliminare la directory c:\winnt\U2VyZ2lvIFNpcmFnbmE\ da li'?

intanto procedo col resto delle istruzioni

edit: per errore ho riavviato ed ho fatto ripartire virit che mi segnala che e' stato modificato il registro di avvio automatico e che il presente file sta lavorando in background:

c:\winnt\system32\i0600ajmed0a0.dll

**rebelia** · 22-08-2006, 19:12

aggiornamento

ho fatto passo passo il percorso che mi hai indicato, ma non sono stata in grado di installare ewido, ne' di cancellare c:\winnt\U2VyZ2lvIFNpcmFnbmE\command.exe

sono andata avanti comunque e sono entrata in modalita' provvisoria; non sono riuscita a fare questo:

Vai su Start => Esegui
digita “sc stop cmdService” (dai invio)
digita “sc delete cmdService” (dai invio)
digita “sc stop Windows Spooler Service” (dai invio)
digita “sc delete Windows Spooler Service” (dai invio)

ma ho avviato services.msc e ho controllato le proprieta' di ogni servizio in elenco per la verita' senza sapere esattamente cosa stavo cercando

ad ogni modo ho avuto fortuna e uno era quello che stavo cercando di stanare; l'ho disattivato, sono uscita da services.msc, ho aperto esplora risorse e l'ho semplicemente cancellato

ho vuotato il cestino, per maggior sicurezza ho fatto fare un altro giro a look2me-destroyer e a virit e un altro a hijackthis; chiuso tutto, riavviato in modalita' normale e ho fatto fare un ulteriore giro a virit: ora sembra essere tutto in ordine (finalmente!!!)

unico problema rimasto e' la libreria w003eaaf.dll che non trova all'avvio e temo possa essere stata cancellata per errore: la conosci?

ad ogni modo grazie per la cortesia, il tuo aiuto mi e' stato prezioso

**Simeon** · 22-08-2006, 19:46

Credevo fosse più semplice...

Il look2me lo abbiamo eliminato con il relativo remover (e questa è fatta); permangono adesso altre schifezze.

Procediamo così:

Scarica RegSrch
avvialo, digita "Sys33" e posta il risultato della ricerca.

p.s. Sbaglio o è sparito il log?

**rebelia** · 22-08-2006, 20:00

Originariamente inviato da Simeon
Credevo fosse più semplice...

Il look2me lo abbiamo eliminato con il relativo remover (e questa è fatta); permangono adesso altre schifezze.

Procediamo così:

Scarica RegSrch
avvialo, digita "Sys33" e posta il risultato della ricerca.

p.s. Sbaglio o è sparito il log?

ops...

scusa, l'ho rimosso io, non pensavo stessi gia' rispondendo

e' che ho risolto il problema e pensavo non fosse piu' necessario, ad ogni modo evidentemente sono stata troppo ottimista

te lo riposto qua sotto:

Logfile of HijackThis v1.99.1
Scan saved at 18.32.01, on 22/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\aaa\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe msjava.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,msjava.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINNT\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [sys33] Sys33.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [newname] C:\\nwnmc_2.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Programmi\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdc_2.exe
O4 - HKLM\..\Run: [ewr7d71d] RUNDLL32.EXE w003eaaf.dll,n 0017d71c0000000a003eaaf
O4 - HKLM\..\RunServices: [sys33] Sys33.exe
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msjava.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msjava.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxdev.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINNT\services.exe (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

considera pero' che sto avendo problemi per via di quella libreria mancante e non riesco ad installare/far funzionare alcuni applicativi

intanto procedo con l'altro programma che mi hai segnalato

**rebelia** · 22-08-2006, 20:10

fatto
il risultato e' stato: no instances of "sys33" found

**Simeon** · 22-08-2006, 22:35

Hai già provato a fixare con HijackThis le voci che ti avevo indicato?

Discussione: c:\winnt\U2VyZ2lvIFNpcmFnbmE\command.exe

Strumenti discussione

Ricerca discussione

Visualizza

c:\winnt\U2VyZ2lvIFNpcmFnbmE\command.exe

Permessi di invio