Malware molto malefico...

[MasQueNada]

Ciao a tutti,
non so esattamente se si tratti di un gromozon ma il mio computer è infettato come si deve...
Vi prego di aiutarmi perchè sto impazzendo da qualche giorno!

I sintomi sono:
1) Si chude il browser se visito alcuni siti: p2pforum, hwupgrade, ...
2) Non posso installare VIR IT (ne ho scaricato l'eseguibile ma mi sono reso conto che se clicco su file che contengono questo nome o il pc "vede" un nome siffatto blocca le installazioni).
3) Installo ma non riesco a far girare CCleaner, cioè parte ma dopo pochi secondi si chiude.
4) Mi chiude tutti i browser qualora nella pagina web visualizzata ci sia il nome " VIR IT" (lo scrivo staccato apposta anche se so che si scrive attaccato, altrimenti non mi farebbe inviare il post!)

Vi prego di aiutarmi perchè non so più che pesci prendere . Grazie!!!

Mas

p.s. Ho provato a seguire le guide per la rimozione del malware ma se non riesco ad installare VIR IT, non posso nemmeno partire.
Ho seguito i primi 3 punti della vostra guida in testa alla sezione ma non trovano alcun virus.
Solo NOD32 trova un virus ma poichè è in azione su qualche processo attivo, non può bloccarlo nè rimuoverlo.
In compenso posso eseguire RunAlyzer e Hijackthis e questo è il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.17.08, on 10/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ESET\nod32.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPD F\ExploreExtPDF.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programmi\SolidDocuments\SolidConverterPDF\SCPD F\ExploreExtPDF.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1867972695-3642834430-2599032475-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - C:\Programmi\Tweak%20Marketing\Advanced%20Email%20 Extractor%20Pro\AeeMSIE.dll (file missing)
O9 - Extra 'Tools' menuitem: Advanced Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - C:\Programmi\Tweak%20Marketing\Advanced%20Email%20 Extractor%20Pro\AeeMSIE.dll (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: www.p2pforum.it
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1176126520875
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://194.244.16.123/g_bin/eng/words_2_0_0_51.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://194.244.16.123/g_bin/eng/word...e_2_0_0_48.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...56/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B79EB63-FB23-46C0-A914-D3A08C4DCCDA}: NameServer = 10.0.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe

--
End of file - 6991 bytes

[the hacker]

mi dispiace ma ti hanno preso la vulnerabilità di C:\WINDOWS\system32\ctfmon.exe

dunque il tuo collegamento internet è dirottato (probabilmente da un bug fatto sì in dialer o hijacker)se vedi il nome ***** C:\WINDOWS\system32\ctfmon.exe *****

è seguito (a metà log) da ***** (User '?') *****



nell' intero





O4 - HKUS\S-1-5-21-1867972695-3642834430-2599032475-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')



il pezzo ***** S-1-5-21-1867972695-3642834430-2599032475-1005 *****

è un MALEDETTO codice exploit!

[Deifobe]

??? :master:

Scarica Registry Search Tool e cerca uno alla volta:
userinit
explorer.exe
Unisci i risultati in solo file di testo, caricalo su Sendmefile e posta il link ottenuto.

[MasQueNada]

Vi ringrazio ragazzi, quasi stavo perdendo le speranze!!

Ringrazio the hacker per la spiegazione tecnica e Deifobe per avermi fornito assistenza...
Ti posto il link al risultato: LINK

Dunque, nel frattempo ho fatto queste prove:
ho fatto il safeboot con l'opzione minimal(alternateshell) di msconfig con tutte le opzioni di sinistra (safeboot, noguidboot,...).
Mi parte windows facendomi vedere la shell dos e da lì ho fatto partire l'eseguibile di virit che fa la scansione. Da lì parte e la scansione mi ha trovato uno spyware, me lo ha rimosso ma niente di più.
Tornato in modalità normale i problemi segnalati persistono.
Che mi consigliate, anche alla luce dei log?
Sono nelle vostre mani...

[Deifobe]

Apri il registro (start - esegui - digita: regedit - dai l'ok). Nel registro, segui questo percorso fino a cliccare sulla cartella explorer.exe:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe ]

Prendi nota (precisa) del contenuto di questa cartella (lo vedi nella finestra a destra).
Ora bisogna eliminarla: clicca su explorer.exe (tasto destro del mouse) -> elimina. Se non te la fa eliminare, riclicca nuovamente su explorer.exe e scegli -> autorizzazioni -> controllo completo => spunta "consenti" per il tuo account. Riprova ad eliminarla.

Dovesse sparire il desktop, apri il task manager (ctrl+alt+canc), clicca su nuova operazione -> digita "explorer"
Posta il contenuto della chiave che hai eliminato (è il file che dovrà essere eliminato).



ps : riguardo la spigazione di The hacker mi devo stare... pensavo fosse una chiave di registro

[MasQueNada]

Ok l'ho fatto!
Mi sono appuntato ciò che c'era:
(Predefinito) REG_SZ (valore non impostato)
Debugger REG_SZ "c:\windows\system32\sbsdnlsh.tmp"

Prima ho messo i diritti, poi ho eliminato explorer.exe e non mi è successo nulla... nella lista non c'era più.
Quindi sono andato a ricontrollare, facendo nuovamente regedit e c'era di nuovo.

E' normale?
I problemi non sono ahimè scomparsi!

[Deifobe]

no, si è riformato perchè c'è ancora il file.
Quello che devi fare:
crea una nuova cartella in c:\ (chiamala come vuoi)
apri il registro e cerca la quell'explorer.exe ed eliminalo
sposta il file infetto nella nuova cartella => elimina la nuova cartella
Se non si sposta, controlla non sia attivo il processo nel task manager

[MasQueNada]

DEIFOBE sei un F E N O M E N O !!!!

Ho risolto!!! Non andava via perchè dovevo bloccare il processo explorer.exe principale.

Ora non lo grido troppo forte, ma dovrebbe andare tutto, il browser non mi si chiude più su quei siti e mi parte pure la scansione VIRIT (che finalmente posso riscrivere attaccato)... sono grosse soddisfazioni

Grazie mille davvero!!! Ci sbattevo da parecchi giorni e non trovavo il bandolo della matassa!!

Ma toglimi una curiosità: dal log che ti ho postato come sei arrivato a dire che explorer.exe era "infettato" e soprattutto... quel file lì che ho eliminato con tanta gioia, cosa conteneva esattamente?

Mi sei stato davvero di grande aiuto! Grazie ancora...
Ciao!!

[Deifobe]

se guardi nelle ricerche che hai fatto nel registro la trovi.. non ho fatto nulla di che.. ho letto
Non l'ho capito dal log ma dai sintomi..
Il contenuto del file? Boh.. era infetto, che doveva contenere?

Tornando al log.
Disattiva il ripristino configurazione di sistema: start - pannello di controllo - sistema - ripristino configurazione di sistema - spunta "disattiva ripristino configuraz. di sistema"

Fixa queste (se le trovi sempre con "file missing"), riattiva il ripristino conf. di sistema e posta un nuovo log.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

[MasQueNada]

Scusa l'ignoranza ma non ho capito cosa devo fare esattamente...

Ok levo il ripristino config di sistema

Poi che significa che devo fixare quelle voci? Dove le trovo e cosa ci devo mettere come valore?

Grazie!