Computer con virus [Log Hijackthis]

[lordalbert]

Ciao. Sto sistemando un computer di un amico, che è stato infettato da virus...
Ho fatto una scansione con Hijackthis, potete dare un'occhiata?
E' da parecchi anni che non uso più windows, potrei sbagliare qualcosa

questo è il log:

Logfile of HijackThis v1.99.1
Scan saved at 23.55.46, on 15/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\ESET\ESET Smart Security\ekrn.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
C:\WINDOWS\system32\flvx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {784077AE-467C-47E6-A8D3-82B567F25B59} - C:\WINDOWS\System32\gebyv.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [pronto] flvx.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\RunServices: [pronto] flvx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Internet Connection Sharing Firewall Service (AccessSharing) - Unknown owner - C:\WINDOWS\system\wcntfysvc.exe (file missing)
O23 - Service: Advance Service Process - Unknown owner - C:\Programmi\File comuni\System\MSASP32.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programmi\ESET\ESET Smart Security\ekrn.exe
O23 - Service: hs7d2t9 - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

Io eliminerei questi valori:

O2 - BHO: (no name) - {784077AE-467C-47E6-A8D3-82B567F25B59} - C:\WINDOWS\System32\gebyv.dll (file missing)

O23 - Service: hs7d2t9 - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)

Poi ci sono questi di cui sono in dubbio.. cioè, non mi ispirano...

O4 - HKLM\..\RunServices: [pronto] flvx.exe

O4 - HKLM\..\Run: [pronto] flvx.exe

C:\WINDOWS\system32\flvx.exe

O23 - Service: Advance Service Process - Unknown owner - C:\Programmi\File comuni\System\MSASP32.exe (file missing)

O23 - Service: Internet Connection Sharing Firewall Service (AccessSharing) - Unknown owner - C:\WINDOWS\system\wcntfysvc.exe (file missing)

Premetto. Sul computer in questione ho fatto una scansione con ESET Smart Security (nod32) 3.0 e ha rilevato (e messo in quarantena) i seguenti virus:

WIN32/AGbot trojan
WIN32/Qhost trojan
WIN32/Adware.Virtumonde

Allego uno screenshot dei file messi in quarantena (io li eliminerei, ma gradirei una vostra conferma)



Inoltre: Prima c'era installato l'antivirus AVG ma non si dinstalla... ho dovuto togliere dall'esecuzione automatica i file di AVG, ma dal log di Hijackthis sembra che sia ancora in esecuzione (non riesco ad eliminare la directory di installazione di AVG, neanche in modalità provvisoria)
Se io eliminassi i valori da Hijackthis... risolverei il problema?

Ciao e grazie mille!

[the hacker]

PER avg sì!!
PER LA QUARANTENA Sì

del log:


ELIMINARE:

C:\WINDOWS\system32\rundll32.exe

[Deifobe]

http://www.file.net/process/rundll32.exe.html

[the hacker]

fai la scansione del rundll32!

[Deifobe]

Ora va decisamente meglio!

[the hacker]

a cosa ti intendi deifobe? :master:

[Deifobe]

ti avevo risposto ma... non vedo il post

ripeto nuovamente:
il file rundll32.exe è un file legittimo. Esistono 2 siti per l'analisi dei file sospetti, e sono Suspectfile e Virustotal: usiamoli.. Tutto qui.

Ciao