Non riesco a identificare/rimuovere un Worm

[pictor]

Ciao,

Sul PC qua in ufficio ieri si è insediato un virus. Esperienza
particolare visto che non ne prendevo da un bel pò di anni, ma mi sta
praticamente impedendo di lavorare.


Avevo Nod32 ma i simpaticoni dei sistemisti qua hanno ben pensato di
obbligarmi a disinstallarlo e mettere Sophos.
Risultato: questo virus che ho preso che sembra passare bellamente
qualunque protezione.


Ho appena disinstallato Sophos e reinstallato Nod32 e sto facendo una
scansione, sperando che lui mi riconosca il virus.


Quello che chiedo a voi è di aiutarmi a capire che virus sia e se ho
bisogno di qualche fix specifico per correggerlo, e soprattutto per
capire se posso riavviare (non vorrei avesse cancellato roba di
registro o processi di Windows che mi impedirebbero di farlo
ripartire).


I sintomi sono:

• Diversi avvisi di computer infettato e suggerimenti di scaricare
  Antivirus a destra e manca.
• Un'icona rossa con una croce bianca, sempre lampeggiante, nella
  traybar che ogni 30 secondi mi dice "System Alert" e suggerimenti vari
  di installare software di protezione.
  
• Popup di windows (2000, non in stile XP come di norma) con
  messaggio:
  

  "Windows Security Alert"
  "Windows has detected an Internet attack attempt...
  Somebody's trying to infect your PC with spyware or harmful viruses.
  Run full system scan now to protect your PC from Internet attacks,
  hijacking attempts and spyware! Click here to download spyware remover
  for total protection"

• Finestre di Internet Explorer che si aprono spesso per suggerirmi
  ogni volta un antivirus diverso.
  
• Sfondo del desktop cambiato con uno rosso fuoco e un simbolo di
  radioattivo nero, con scritto che sono soggetto a rischi, e se clicco
  sul desktop mi apre un popup.
  Questo l'ho tolto dall'Active Desktop.
  
• Ogni tot tempo mi cambia il focus dell'applicazione corrente e mi
  switcha su qualche altra finestra aperta.

Ho fatto una scansione con Spybot Search & Destroy e mi ha rimosso un
bel pò di spyware (mai manifestatisi) ma evidentemente non quello che
mi sta devastando.
A Sophos è passato sotto il naso.
Avevo letto che poteva essere il Worm32.NetSky ma i fix della Symantec
e delle ESET non rilevano niente.
Ora sta scannerizzando con Nod32 ma non ha ancora trovato niente ed è
quasi al 70%.
Sono quindi scettico.


Cosa mi suggerite di fare?


Grazie mille.


PS - Per completare allego anche il log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10.12.54, on 01/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\i.pellegrini\Impostazioni locali\Dati
applicazioni\HumanizedEnso\Enso.exe
E:\Programmi\ClipMagic\clipmagic.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
E:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
E:\Programmi\IE7Pro\MiniDM.exe
C:\DOCUME~1\I4D85~1.PEL\IMPOST~1\Temp\Rar$EX00.125 \procexp.exe
C:\WINDOWS\regedit.exe
C:\DOCUME~1\I4D85~1.PEL\IMPOST~1\Temp\Rar$EX02.047 \HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet
Settings,ProxyServer = proxytd.tdnet.it:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Collegamenti
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - E:
\Programmi\IE7Pro\iepro.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-
C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat
\ActiveX\AcroIEHelper.dll
O2 - BHO: SXG Advisor - {3764F9CC-9524-4609-8CA5-F3673F1B3014} - C:
\WINDOWS\dntpkwonkr.dll
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\Spybot
\SEARCH~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-
B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:
\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no
file)
O2 - BHO: Windows Live Sign-in Helper -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni
\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-
CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-
CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier
\2.0.301.7164\swg.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-
B511-65413DA137A1} - E:\Programmi\Microsoft\Internet Explorer
Developer Toolbar\IEDevToolbar.dll
O2 - BHO: LastClosedTab - {e05e75e9-a653-42a3-8d05-f2f7e309bdca} -
mscoree.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:
\programmi\google\googletoolbar2.dll
O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} -
mscoree.dll (file missing)
O3 - Toolbar: QT Tab Standard Buttons - {D2BF470E-ED1C-487F-
A666-2BD8835EB6CE} - mscoree.dll (file missing)
O3 - Toolbar: ekxdvft - {6C1A1FCC-2869-4B07-B6F0-7B9F4D7A038C} - C:
\WINDOWS\ekxdvft.dll
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google
Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Programmi\Microsoft Office
\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Thunderbird] "E:\Programmi\Mozilla Thunderbird
\thunderbird.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java
\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Smart Reminder] E:\Programmi\Smart Reminder\Smart
Reminder.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS
\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS
\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "E:\Programmi\ESET\ESET NOD32 Antivirus
\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NodLogin] E:\Programmi\ESET\ESET NOD32 Antivirus
\nodlogin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HumanizedEnso] C:\Documents and Settings
\i.pellegrini\Impostazioni locali\Dati applicazioni\HumanizedEnso
\Enso.exe --disable-monologue-boxes
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programmi\Spybot\Search &
Destroy\TeaTimer.exe
O4 - Startup: ClipMagic.lnk = E:\Programmi\ClipMagic\clipmagic.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = E:
\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google
Updater\GoogleUpdater.exe
O9 - Extra button: IE7Pro Preferences - {0026439F-
A980-4f18-8C95-4F1CBBF9C1D8} - E:\Programmi\IE7Pro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-
A980-4f18-8C95-4F1CBBF9C1D8} - E:\Programmi\IE7Pro\iepro.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-
A6CC-1D34414EAC0D} - E:\Programmi\Microsoft\Internet Explorer
Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}
- E:\PROGRA~1\Spybot\SEARCH~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\Spybot
\SEARCH~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX
Advanced) - https://pegaso/PassPA/smsx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)
- http://www.update.microsoft.com/wind...s/en/x86/cl...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class)
- http://www.update.microsoft.com/micr...ols/en/x86/...
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software
XUpload) - http://support.persits.com/xupload/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{225EDEEA-7565-471C-93BB-
C217EF593620}: NameServer = 172.16.1.250
O17 - HKLM\System\CS1\Services\Tcpip\..\{225EDEEA-7565-471C-93BB-
C217EF593620}: NameServer = 172.16.1.250
O17 - HKLM\System\CS2\Services\Tcpip\..\{225EDEEA-7565-471C-93BB-
C217EF593620}: NameServer = 172.16.1.250
O17 - HKLM\System\CS3\Services\Tcpip\..\{225EDEEA-7565-471C-93BB-
C217EF593620}: NameServer = 172.16.1.250
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-
A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:
\PROGRA~2\MSNMES~1\MSGRAP~1.DLL (file missing)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:
\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:
\PROGRA~2\MSNMES~1\MSGRAP~1.DLL (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:
\PROGRA~2\FILECO~1\Skype\SKYPE4~1.DLL (file missing)
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945}
- C:\PROGRA~3\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - AppInit_DLLs: C:\PROGRA~2\Google\GOOGLE~3\GOEC62~1.DLL
O21 - SSODL: adsoowf - {D07CEA28-1F9C-4B46-B1B3-DACD0CCF57B3} - C:
\WINDOWS\adsoowf.dll
O21 - SSODL: bgrlsmn - {FBB17028-7568-48D3-B600-19F848B34622} - C:
\WINDOWS\bgrlsmn.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - E:
\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - E:\Programmi\ESET\ESET
NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:
\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher
\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi
\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown
owner - C:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn
\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA
Corporation - C:\WINDOWS\system32\nvsvc32.exe

[maccamax75]

Ho lo stesso problema, chi ci aiuta?
Grazie

[Deifobe]

Originariamente inviato da pictor

scarica Avenger, SmitfraudFix eCCleaner.

Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"

da hjt fixa:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://softwarereferral.com/jump.ph...6Ojg5&lid=2
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: SXG Advisor - {3764F9CC-9524-4609-8CA5-F3673F1B3014} - C:
\WINDOWS\dntpkwonkr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no
file)
O3 - Toolbar: ekxdvft - {6C1A1FCC-2869-4B07-B6F0-7B9F4D7A038C} - C:
\WINDOWS\ekxdvft.dll
O21 - SSODL: adsoowf - {D07CEA28-1F9C-4B46-B1B3-DACD0CCF57B3} - C:
\WINDOWS\adsoowf.dll
O21 - SSODL: bgrlsmn - {FBB17028-7568-48D3-B600-19F848B34622} - C:
\WINDOWS\bgrlsmn.dll

Esegui avenger, seleziona l'opzione "Input Script Manually" e clicca sulla lente d'ingrandimento. All'interno della finestra "Wiew/edit script", nel box bianco, copia/incolla:

files to delete:
C:\WINDOWS\dntpkwonkr.dll
C:\WINDOWS\ekxdvft.dll
C:\WINDOWS\adsoowf.dll
C:\WINDOWS\bgrlsmn.dll

Clicca sul pulsante "Done", poi sul semaforo verde, rispondi 2 volte Yes. Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.

entra in modalità provvisoria ed esegui SmitfraudFix.
Seleziona l'opzione 2 (Clean) e premi invio (elimina i file infetti).
Alla domanda "Registry cleaning - Do you want to clean the registry ?", rispondi "si", digitando "Y" e dai l'invio (rimuove tutto quanto associato con l'infezione - se non erro reimposta lo sfondo del desktop, quindi il tuo potrebbe sparire).
Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale).
Sul desktop verra' visualizzato un file di testo con risultati: dovresti trovare questo report anche in C:\rapport.txt.

Posta il report rilasciato da avenger (c:\avenger), SmitfraudFix e un nuovo log di hjt

[Deifobe]

@ maccamax75: apri una nuova discussione magari posta anche un log di hjt.

[pictor]

Su Avenger mi sta dando problemi questo file:

adsoowf.dll

Il Tea Timer di Spybot S&D mi avverte sempre che questo vorrebbe effettuare una modifica di registro. Ogni volto lo blocco, e gli dico di ricordarsi la scelta, ma 22 secondi dopo riappare lo stesso messaggio.

Continuo con i passi successivi o provo a rieliminarlo? Perchè quando riavvio continua a riapparire il messaggio nonostante la pulizia con Avenger

[pictor]

TRIPLO

[pictor]

DOPPIO

[pictor]

Ho fatto tutto.
Ho fatto rigirare HiJackThis e ho cancellato la 'roba strana' con Avenger.

Ecco qua i log:

Il log di Avenger è disponibile qui.

Il RAPPORT.TXT di SmitfraudFix è qua

Ed il nuovo log di HiJackThis

Ho ripulito? E' rimasto qualcosa?

Perchè adesso non dà più problemi però non sono sicurissimo.

Ad ogni modo ho tolto anche Nod32 ed ho messo Avast! come antivirus. Come Live Antispyware cosa mi suggerite?

Grazie del prezioso aiuto

PS - I log interi mi vengono segati perchè troppo lunghi. Dove trovo uno spazio dove caricarli velocemente (FileFactory richiede ogni volta i CAPTCHA code)

[Deifobe]

posso chiederti una cortesia? Li carichi su Sendmefile oppure Freefilehosting?

Grazie

[pictor]

Ecco qua

rapport.txt

HiJackThis.log

avenger.txt

Comunque dopo tutte le procedure i sintomi sono spariti tutti!
Ho rifatto una passata con Spybot e ho cancellato ciò che rimaneva.

Però non sono ancora sicuro di esser completamente pulito.

Comunque cosa mi suggerite di antivirus? nod32 o avast?

Grazie