gentilmente chiedo di analizz. il log di HijackThis

[lucasspd]

Buon giorno a tutti,
vi chiedo questo favore per un mio amico che si trova all estero ed ha il pc che rallenta e sicuramente infetto. Gli ho già detto di iscriversi al sito e lo farà. Ho già consigliato di scaricare i vari programmi anti spy anti virus ecc.ecc. e sta facendo le scansioni. Io ho analizzato il suo log di Hijackthis su internet ed ho visto che sono presenti dei file infetti, ma chiedo ad un esperto di analizzare meglio il log e di indicarmi le voci da fixare.

Posto qui di seguito il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.52.45, on 29/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\printer.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
C:\Programmi\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\programmi\justvoip.com\justvoip\justvoip.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Programmi\Java\jre1.5.0_09\bin\jucheck.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Taglio\20.0\Magic Tool.exe
C:\Programmi\Taglio\20.0\LogoTag.exe
C:\Programmi\Taglio\20.0\Magic Tool.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.creative.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\ntos.exe,
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\System32\vtr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Programmi\p2pnetworks\mpp2pl.exe" /H
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [bikini] bikini.exe
O4 - HKLM\..\Run: [77e85a45.exe] C:\WINDOWS\System32\77e85a45.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe "
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [JustVoip] "C:\programmi\justvoip.com\justvoip\justvoip.e xe" -nosplash -minimized
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-507921405-796845957-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-796845957-725345543-1005\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-796845957-725345543-1005\..\Run: [JustVoip] "C:\programmi\justvoip.com\justvoip\justvoip.e xe" -nosplash -minimized (User '?')
O4 - HKUS\S-1-5-21-507921405-796845957-725345543-1005\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-507921405-796845957-725345543-1005 Startup: system.exe (User '?')
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ProVideo.lnk = C:\Programmi\OSAI\WinNBI\ProVideo.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/in...altpmtscab.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120119513515
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/en/wowbeta/Si.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{353B7A33-1F1F-45EA-9C2E-3D39C6E23313}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{35EF892C-D57B-493B-AF20-FCD3E9A316BE}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{841B950D-CE5C-411D-886B-B3A391B4A7F6}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.125
O17 - HKLM\System\CS2\Services\Tcpip\..\{353B7A33-1F1F-45EA-9C2E-3D39C6E23313}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.125
O17 - HKLM\System\CS3\Services\Tcpip\..\{353B7A33-1F1F-45EA-9C2E-3D39C6E23313}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.125
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7995 bytes



Grazie mille per la collaborazione

Attendo.

Saluti

Luca

[Deifobe]

ehmmm...

ha il pc che rallenta e sicuramente infetto

rallenta? .. il tuo amico deve essere molto spiritoso

Può fixare ed eliminare i files ma sinceramente gli consiglio di fare scansioni su scansioni (se il pc glielo permette), ci saranno altri files infetti non evidenziati nel log...

non so quali scansioni stia facendo lui.. ti inserisco dei link:
Panda http://www.pandasoftware.com/products/activescan.htm
Virit (da provvisoria, disattivando antivirus, firewall e ripristino configurazione di sistema): http://www.tgsoft.it/files/vnlt6212.exe
Kaspersky virusscanner: http://www.kaspersky.com/virusscanner
Superantispyware http://www.superantispyware.com/supe....html?rid=3132
Prevx_Gromozon http://info.prevx.com/gromozon.asp

per tutti va disattivato il ripristino configurazione di sistema

Questo è quello che c'è, fammi sapere cosa decide di fare. Nel dubbio non dovesse riuscire a fare nessuna scansione, gli posto la procedura (aspettiamo l'iscrizione al forum ):
Scarica avenger http://swandog46.geekstogo.com/avenger.zip (oppure cancella a mano quanto più possibile da modalità provvisoria, oppure usa killbox http://www.softpedia.com/get/Securit...-Killbox.shtml) e scarica CCleaner www.ccleaner.com/download.

Entra in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^).
Disattiva il ripristino configurazione di sistema (start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema")
Visualizza file nascosti: da una cartella clicca su strumenti - opzioni cartella - visualizza - visualizza file nascosti

fixa con hijackthis:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\ntos.exe,
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\System32\vtr.dll
O4 - HKLM\..\Run: [bikini] bikini.exe
O4 - HKLM\..\Run: [77e85a45.exe] C:\WINDOWS\System32\77e85a45.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe
O4 - HKUS\S-1-5-21-507921405-796845957-725345543-1005\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe (User '?')
O4 - S-1-5-21-507921405-796845957-725345543-1005 Startup: system.exe (User '?')
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O16 - DPF: {2F003D51-39FD-4D18-9016-95CF70B92ABE} - http://download.movienetworks.com/i.../altpmtscab.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/en/wowbeta/Si.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{353B7A33-1F1F-45EA-9C2E-3D39C6E23313}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{35EF892C-D57B-493B-AF20-FCD3E9A316BE}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{841B950D-CE5C-411D-886B-B3A391B4A7F6}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.125
O17 - HKLM\System\CS2\Services\Tcpip\..\{353B7A33-1F1F-45EA-9C2E-3D39C6E23313}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.125
O17 - HKLM\System\CS3\Services\Tcpip\..\{353B7A33-1F1F-45EA-9C2E-3D39C6E23313}: NameServer = 85.255.116.134,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.134 85.255.112.125
O20 - AppInit_DLLs: C:\WINDOWS\System32\sulimo.dat

Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento.
All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:
C:\WINDOWS\System32\printer.exe
C:\WINDOWS\System32\ntos.exe
C:\WINDOWS\System32\vtr.dll
C:\WINDOWS\System32\77e85a45.exe
C:\WINDOWS\System32\WinAvXX.exe
C:\WINDOWS\System32\sulimo.dat

folders to delete:
C:\WINDOWS\system32\wsnpoem

Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes.
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato.
Trova ed elimina: bikini.exe
Riattiva: antivirus, firewall, ripristino configurazione di sistema, rinascondi i files nascosti.

Esegui CCleaner; in opzioni avanzate togli la spunta su "Cancella i file temp. piu vecchi di 48 ore". Ripulisci sia i file temporanei e cookie che il registro.

Apri il registro -> Start - Esegui -> regedit -> ok
Per quanto riguarda questa:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\System32\ntos.exe,
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
clicca 1 volta sulla cartella gialla winlogon. Nella parte destra trova Userinit
cliccaci sopra due volte e, in dati valori , evidenzia ed elimina solo C:\WINDOWS\system32\ntos.exe,
ATTENZIONE devi lasciare c:\windows\system32\userinit.exe, (VIRGOLA COMPRESA). non cancellare tutto altrimenti avrai problemi con il pc!!!.
--------
Per quanto riguarda questa:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe
sempre a destra trova il valore Shell: devi lasciare solo Explorer.exe
invece troverai qualcosa come Explorer.exe C:\WINDOWS\System32\printer.exe
dovrai modificarla eliminando il valore aggiunto C:\WINDOWS\System32\printer.exe

Queste due operazioni sono molto delicate e vanno fatte con calma.. altrimenti, se si hanno dubbi, è meglio non toccare nulla.

a questo punto, prova a fare tutte le scansioni suindicate e posta un nuovo log di hjt.

:master: ho quelche dubbio su queste:
O4 - HKUS\S-1-5-21-507921405-796845957-725345543-1005\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-507921405-796845957-725345543-1005\..\Run: [JustVoip] "C:\programmi\justvoip.com\justvoip\justvoip.e xe" -nosplash -minimized (User '?')
..e altre.. (USER? mah)

uhmmmm aspetta anche il parere di Topdrake...

@ Topdrade: scusa... preferisco esserne certa.. a parte le due sopra, questa va tolta? Grazie
O4 - S-1-5-21-507921405-796845957-725345543-1005 Startup: system.exe (User '?')

[lucasspd]

Allora: sta scaricando i vari programmi come descritto sulla guida rimozione malware ecc., quindi volevo sapere per ora cosa fargli fixare sul log di HT.

saluti

Luca

[Deifobe]

conviene prima riguardare un nuovo log di hjt, le voci potrebbe non trovarle più

[lucasspd]

ok , farò togliere le voci da fixare , per ora....
grazie....

[Deifobe]

già.. e se le fixa poi noi che ne sappiamo dei files infetti che stanno nel pc?
come vuoi

[Topdrake]

il tuo amico è rimasto indietro di parrecchio ha ancora il service pack 1
nel log sono presenti varie problematiche ed in casi del genere prima effettuare i fix va fatta la procedura rimozione maleware che trovi nel forum.

Per deifobe questi sarebbero i miei fix aggiuntivi:

O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Programmi\p2pnetworks\mpp2pl.exe" /H


questo non lo conosco:
O4 - Global Startup: ProVideo.lnk = C:\Programmi\OSAI\WinNBI\ProVideo.exe

[Deifobe]

[OT] Grazie Topdrake, sei stato gentilissimo [/OT]

[lucasspd]

ok grazie