Hijackthis Log e virus

[Dartfira]

Allora ho seguito la vostra guida contro i Malware, e ho provato ad istallare alcuni programmi. Quando provo ad istallare programmi come Photoshop, il pc non mi da problemi se invece istallo un firewall oppure un antivirus mi da l'accesso negato a quella cartella, oppure se lo istallo mi cancella l'istallazione.
Che devo fare sono disperato non posso istallare ne antivirus che firewall.

Vi posto il log di Hijackthis, magari può essere utile.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.38.29, on 11/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Computer\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1179733845156
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1179734038812
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EC0490F-058B-4528-8839-3C015BF1E622}: NameServer = 85.37.17.11 85.38.28.69
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE

--
End of file - 4989 bytes

[tecnico24]

sfortunatamente sei imbaccata in bagle,un worm che attacca l'antivirus.lo capito da hldrrr.exe.
scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
estrai il file .zip e avvia avenger.exe

disattiva antivirus, firewall, eventuali moduli hips

Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte qui sotto:

Files to delete:
C:\Documents and Settings\utente\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\utenteDati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\utente\Dati applicazioni\hidires
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

Dopo di che, clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Allegami il log di Avenger (che si trova in C:\avenger.txt) con l´esito dello script.
ATTENZIONE:devi mettere C:/ se il disco rigido e C:/ oppure se il tuo disco si chiama F:/ mettila al posto di c:/ LA F:/ e invece di mettere documents and settings metti il tuo nome utente che accedi a windows.

[amvinfe]

tecnico24
a parte lo script che presenta errori, ci spieghi dove e come hai trovato quei valori collegati al registro per esempio o a cartelle che io dal log di HJT non vedo??? Od anche tu sei dotato di poteri paranormali e ti fai aiutare da sfere magiche???



sei sicuro che i valori infetti che risiedono in quella macchina siano quelli da te indicati e soprattutto che siano solo quelli?

ti sei chiesto cosa comporta far procedere con un'eventuale rimozione parziale dei valori infetti presenti su una macchina?

ti sei chiesto se non eliminando tali valori, gli stessi al riavvio della macchina non cambino nome?


Per favore non stiamo giocando all'allegro chirurgo, gioco in voga negli anni 70... che bei ricordi ma soprattutto non stai giocando con il tuo computer.

[tecnico24]

il/la ragazza/o e infettata da bagle,un worm che attacca gli antivirus.come regola ho fatto una ricerca e per eliminarlo si deve usare questo script.non voglio giocare a nessun gioco,voglio solo aiutare la gente.se ha nel sistema un file di nome hldrrr.exe dovra tenere per forza anche gli altri che ho messo nello script,e ad hijackthis deve essere scappato qualcosa. adios,poi si vede se ho ragione o no.

[ste_95]

usa questa procedura, dovresti risolvere.....

http://forum.html.it/forum/showthrea...ighlight=bagle

è una discussione iniziata da OYS che spiega come eliminare il bagle....

[tecnico24]

e uguale alla mia,ste-95!

[ste_95]

non ho guardato se fossero uguali o meno, gli ho semplicemente dato una discussione in cui non c'era rischio di sbagliare....

[amvinfe]

Originariamente inviato da tecnico24
il/la ragazza/o e infettata da bagle,un worm che attacca gli antivirus.come regola ho fatto una ricerca e per eliminarlo si deve usare questo script.non voglio giocare a nessun gioco,voglio solo aiutare la gente.se ha nel sistema un file di nome hldrrr.exe dovra tenere per forza anche gli altri che ho messo nello script,e ad hijackthis deve essere scappato qualcosa . adios,poi si vede se ho ragione o no.

ad HJT non è scappato proprio nulla visto che non fà la scansione di tutte le chiavi del registro.

se ha nel sistema un file di nome hldrrr.exe dovra tenere per forza anche gli altri che ho messo nello script

e questa che regola sarebbe? Chi ti dice che in un'altra macchina il problema non sia magari ben più complicato o diverso?
Non dare nulla per scontato visto che,come saprai,quando sei in presenza di trojan/downloader lo stesso ha la capacità di aggiornarsi da remoto e quindi cambiare radicalmente la sua configurazione e quindi il modo di reinfettare.

[Dartfira]

Allora ho fatto quello che mi hai detto con avenger. Poi ho provato ad istallare Sygate Personal Firewall ed è andata avanti l'istallazione quindi direi che il problema è risolto.
Comunque posto il log di Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\fcifnlaw

*******************

Script file located at: \??\C:\Program Files\ipsdcmqn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\Computer\Dati applicazioni\hidires\m_hook.sys deleted successfully.


Could not open file C:\Documents and Settings\ComputerDati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\ComputerDati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\ComputerDati applicazioni\hidires\hidr.exe
Status: 0xc000003a

File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\WINDOWS\system32\hldrrr.exe deleted successfully.
Folder C:\Documents and Settings\Computer\Dati applicazioni\hidires deleted successfully.
Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_H OOK deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run |hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[tecnico24]

si tutto fatto.adesso puoi installare antivirus?tutto a posto?
come vedi amvinfe tutto e andato bene!