impossibile avviare tool e pagine web sulla sicurezza

**danizz** · 14-05-2007, 21:34

Ciao a tutti,

ho un problema con il mio pc.... ho un virus che mi impedisce di avviare alcuni tools nonchè di vedere e pagine web ad essi collegate, quindi nel mio post userò nomi simili:-)

ad es non posso avviare hijack.. e anche cclean.. per non parlare di gme...

Sono riuscito ad avere il log di hijck che vado qui sotto a postare: plz help me!!

Logfile of ackThis v1.99.1
Scan saved at 20.51.38, on 14/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Lello\Desktop\Hckhis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe "
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [OE] "C:\Programmi\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programmi\UnHackMe\hackmon.exe
O4 - HKCU\..\RunOnce: [UnHackMe] C:\PROGRA~1\UnHackMe\UnHackMe.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://88.34.100.74/plugin/h263ctrl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Protezione anti-spyware Trend Micro (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: PostgreSQL Database Server 8.1 (pgsql-8.1) - PostgreSQL Global Development Group - C:\Programmi\PostgreSQL\8.1\bin\pg_ctl.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SecYwe - Unknown owner - C:\Programmi\File comuni\HZv.exe (file missing)
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Programmi\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)

**danizz** · 14-05-2007, 21:38

Aggiungo anche il save file di Rootkitreveal:

HKLM\SECURITY\Policy\Secrets\SAC* 01/08/06 18.35 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 01/08/06 18.35 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\LicCtrl\LicCtrl\LicCtrl\LicCtrl*lkzs $i&#&y@^t! #^$ g9^$&pgb SDB36o 30/01/07 19.07 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\TrendMicro\PC-cillin\15\ScanInfo\LastScanFile 14/05/07 21.17 46 bytes Windows API length not consistent with raw hive data.
HKLM\SYSTEM\ControlSet002\Services\d347prt\Cfg\0Jf 40 28/04/07 13.31 0 bytes Hidden from Windows API.

**OYS** · 14-05-2007, 22:28

Ciao, il log è pulito.

Fai una scansione con SS.
Una volta eseguita la scansione portati in C:\s_u_s_p_e_c_t_f_i_l_e_ e carica il file report.txt su www.sendmefile.com oppure su www.savefile.com e scrivi il link per poterlo scaricare.

Se non riesci a scaricare SS, utilizza

questo
questo

Se non vanno neanche loro, click destro su questo link, "salva con nome" in inglese: "save link target as"

link

**danizz** · 14-05-2007, 22:39

ok, grazie per l'aiuto!

vediamo.. ho dovuto spostare il file da dos, in quanto coem accedevo alla cartella mi impediva di copiare il file!

cmq il link è questo:

http://www.savefile.com/files/721795

**OYS** · 14-05-2007, 22:48

Molto strano. Sembra che le chiavi di registro siano state "nascoste", infatti non riesco a vederle. In più il programma è stato bloccato al punto 8 (non scrivo il nome per paura che poi si chiuda il browser), e questo e sintomo di R:O:O:T:K:I:T. Fai uno scan con SS con solo i punti 9, 10 e 11.

Portati in C:\windows\system32\drivers\etc ed apri il file HOSTS con il blocco note, ed elimina questi due:

195.72.134.100 www.bwin.com

193.203.227.71 www.betandwin.com

Fai una scansione con questo e carica su savefile il log.

**danizz** · 14-05-2007, 23:04

ok!

rscanner log:

http://www.savefile.com/files/721831

sslog degli utlimi 3 punti:

http://www.savefile.com/files/721834

Aggiornamento:

scansionando con kaspersk

ha individuato il trojanspy win32 agent.pn , anche se non penso che sia questoil solo imputato dei danni...

**OYS** · 15-05-2007, 07:51

Ho trovato il tuo problema. Ora ti dico cosa fare.

**OYS** · 15-05-2007, 07:53

(Start--> Esegui--> regedit) trova la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e controllare se esiste una sottochiave \Explorer.exe
Se c'è, clicca sopra con il tasto destro e vai su Autorizzazioni. Seleziona il nome dell'account tuo e sotto spunta la casella Controllo completo/Consenti. Salva le modifiche ed elimina la sottochiave Explorer.exe
Prima di eliminarla però annota il nome ed il percorso del file che viene indicato nel valore Debugger della sottochiave Explorer.exe, anche questo file sarà da eliminare.

http://img125.imageshack.us/img125/9573/explorerdw9.jpg

**danizz** · 15-05-2007, 09:25

K, non appena arrivo a casa vado a modificare la chiave del registro (ora sono a lavoro)

Poi posto i risultati:-)

Ciao

**OYS** · 15-05-2007, 13:25

Originariamente inviato da danizz
K, non appena arrivo a casa vado a modificare la chiave del registro (ora sono a lavoro)

Poi posto i risultati:-)

Ciao

Attendo. Cmq il virus è la nuova variante del L:I:N:K:O:P:T:I:M:I:Z:E:R. Con le operazioni sopra elencate dovresti risolvere.

Discussione: impossibile avviare tool e pagine web sulla sicurezza

Strumenti discussione

Ricerca discussione

Visualizza

Virus sconosciuto

Permessi di invio