report di suspectfile-mi potete aiutare!

[pty]

Buongiorno sono nuovo del forum...
Penso di essere infetto da trojanhorse, ho fatto una scansione con suspectfile, vi posto il link dove ho messo il file del report:
http://www.mytempdir.com/1089507
Qualcuno può aiutarmi? grazie a tutti..Luca

[pty]

Ho fatto una scansione con hijackthis ecco il Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 9.12.05, on 30/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Class - {F6C53C27-0E57-A845-C948-BD429A0C1777} - C:\WINDOWS\xlgea1.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LogMqp - Unknown owner - C:\Programmi\File comuni\System\Vup.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: UpdKpg - Unknown owner - C:\Programmi\File comuni\Services\JID.exe (file missing)

[holifay]

Ascolta, non vorrei sbagliare ma mi sembra una situazione abbastanza incasinata... spero di non complicartela di più Ti conviene comunque salvare i dati che ritieni più importanti in una chiavetta USB o da qualche altra parte, perchè il sistema potrebbe diventare inutilizzabile. Ci sono infatti una serie di servizi nascosti, con nome simile a quelli legittimi, indice di presenza di rootkit sul tuo sistema. Per ora non li cancelliamo, lo faremo in un secondo tempo


Disabilita il ripristino di sistema: http://www.sicurezzainrete.com/disab...em_restore.htm

Scarica questo fix, avvialo e segui le istruzioni. Se ti chiede di riavviare, accetta
http://www.uploads.ejvindh.net/Rustbfix.exe


Dopo il riavvio scarica poi questo tool: http://swandog46.geekstogo.com/avenger.zip
ed estrai l´eseguibile (avenger.exe) sul desktop

Scarica anche questo file (script2.txt) sul desktop: http://www.mytempdir.com/1091557
Apri il file script2.txt, seleziona tutto il contenuto e premi CTRL+C per copiarlo negli appunti

- avvia The Avenger e seleziona Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incolla quanto copiato sopra premendo Ctrl+V
- clicca Done
- clicca l´icona con il semaforo con la luce verde per avviare lo script
- rispondi Yes due volte

se il PC non si riavvia da solo, riavvialo manualmente

Al riavvio scarica questo file: http://www.rku.xell.ru/dl.php?fl=RkU3.0.84.330.exe
Installalo ed avvialo. Clicca sul tab REPORT e poi su SCAN pulsante in basso a destra.

Poi postami questi quattro log:
1) il contenuto del file c:/Rustbfix/pelog.txt
2) il contenuto del file c:/avenger/avenger.txt
3) un nuovo log di Systemscan, messo su mytemodir (disabilita l´opzione ADS - alternate data streams)
4) il report di RKUnhooker

Ciao

[pty]

grazie..provo e poi ti faccio sapere...grazie ancora!

[pty]

Nuovo log di systemscan con disabilitata l'opzione ADS
http://www.mytempdir.com/1093337

[pty]

Contenuto didel file Rustbfix/pelog.txt:

************************* Rustock.b-fix -- By ejvindh *************************
01/12/2006 12.31.16,95


No Rustock.b-rootkits found


******************************* End of Logfile ********************************

[pty]

Contenuto del file Avenger.txt:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\sxgixogd

*******************

Script file located at: \??\C:\Program Files\gavtifda.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\documents and settings\nnuGDxAntXOAYzi deleted successfully.
File C:\WINDOWS\B.tmp deleted successfully.


File C:\Documents and Settings\User\1121125713.dll not found!
Deletion of file C:\Documents and Settings\User\1121125713.dll failed!

Could not process line:
C:\Documents and Settings\User\1121125713.dll
Status: 0xc0000034

File C:\Documents and Settings\User\Impostazioni locali\Temp\PXR16.tmp deleted successfully.
File C:\Documents and Settings\User\Impostazioni locali\Temp\PXR1A.tmp deleted successfully.
File C:\Documents and Settings\User\Impostazioni locali\Temp\PXR1E.tmp deleted successfully.
File C:\Documents and Settings\User\Impostazioni locali\Temp\PXR20.tmp deleted successfully.
File C:\Documents and Settings\User\Impostazioni locali\Temp\PXR9.tmp deleted successfully.
File C:\Documents and Settings\User\Impostazioni locali\Temp\PXRF.tmp deleted successfully.
File C:\Programmi\File comuni\Services\Hwh.exe deleted successfully.


File C:\Documents and Settings\User\1121125713.dll not found!
Deletion of file C:\Documents and Settings\User\1121125713.dll failed!

Could not process line:
C:\Documents and Settings\User\1121125713.dll
Status: 0xc0000034

Registry key HKLM\system\controlset001\services\LogMqp deleted successfully.
Registry key HKLM\system\controlset001\services\UpdKpg deleted successfully.
Registry key HKLM\system\controlset002\services\LogMqp deleted successfully.
Registry key HKLM\system\controlset002\services\UpdKpg deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t|nnuGDxAntXOAYzi deleted successfully.


Could not delete registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts|HjN
Deletion of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts|HjN failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{14D1A72D-8705-11D8-B120-0040F46CB696} not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{14D1A72D-8705-11D8-B120-0040F46CB696} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

[pty]

Report di RKUnhooker:

http://www.mytempdir.com/1093359

[pty]

Grazie mille holifay

[holifay]

Bene, andiamo meglio del previsto, i servizi nascosti non ci sono più e non sono nemmeno attivi, anche se non li abbiamo cancellati. Poi li verifichiamo manualmente.

Per quanto riguarda la pulizia, usa ancora avenger, ma con questo script:
http://www.mytempdir.com/1094202

Dopo, usa entrambi i tool che trovi sul topic in rilievo;
http://forum.html.it/forum/showthrea...readid=1046884

Al termine, posta ancora i log di Avenger, il log di Systemscan e dimmi se i due fix di PrevX e di Symantec ti trovano qualche cosa. Scarica l´ultima versione di systemscan, perchè è stata migliorata.

Ciao