Problema internet connection...

[ab5000]

Ciao a tutti. Ho questo malware che crea la connessione "Internet Connection" ho gia guardato sul forum e ho visto che bisogna postare il log di hijackthis e FindAWF. Ringrazio chi mi aiuterà, ecco i log:

Hijackthis:

codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.46.59, on 09/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\Andrea\Documenti\Acunetix\WVSScheduler.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programmi\GetRight\getright.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\slrundll.exe
C:\Program Files\D-Link\DSL-200\dslagent .exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2 .exe
C:\Programmi\D-Link\AirPlus G\AirGCFG .exe
C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray .exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.html.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programmi\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Web Camera
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.spysystem.it
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://valebest88.spaces.live.com//P...d/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8FA7064-EFA1-4C60-A8BE-E1DE17D290A6}: NameServer = 193.12.150.2 212.247.152.2
O18 - Filter: application/xhtml+xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programmi\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: application/xhtml+xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programmi\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programmi\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programmi\Design Science\MathPlayer\MathMLMimer.dll
O23 - Service: Acunetix WVS Scheduler (AcuWVSScheduler) - Acunetix Ltd. - C:\Documents and Settings\Andrea\Documenti\Acunetix\WVSScheduler.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

--
End of file - 9973 bytes

FindAWF mi dice "This tool can't run on your system" O_O...
grazie!

[Deifobe]

mah.. utilizziamo un altro programma che da le stesse info.

Scarica SystemScan. disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

[ab5000]

Ecco il link allo zip: http://www.freefilehosting.net/download/3h244
Però nel log non vedo BAK... mah...

[Deifobe]

scarica Avenger e CCleaner

crea una nuova cartella in c:\ chiamata pluto

esegui avenger e nela finestra copia/incolla:

files to delete:
C:\DOCUME~1\Andrea\IMPOST~1\Temp\r3588394704.exe
C:\DOCUME~1\Andrea\IMPOST~1\Temp\r3526849376.exe
C:\DOCUME~1\Andrea\IMPOST~1\Temp\r2918585112.exe
C:\WINDOWS\system32\NeroCheck.exe3511837576
C:\WINDOWS\system32\NeroCheck.exe2871494112
C:\WINDOWS\system32\NeroCheck.exe629551528
C:\WINDOWS\system32\nerocheck.exe3859220112
C:\WINDOWS\VM_STI .exe
C:\WINDOWS\system32\nerocheck.exe
C:\WINDOWS\system32\nerocheck .exe

files to move:
C:\WINDOWS\VM_STI.exe | c:\pluto\VM_STI.exe

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)

Esegui hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".

Analizza il file c:\pluto\VM_STI.exe su Virustotal e posta i risultati. Se risulta infetto eliminalo

posta un nuovo systemscan

ciao

[ab5000]

Non so che sia successo, ma vi sto scrivendo la un altro computer. Ho lanciato Avenger, immesso lo script, si è riavviato quindi tutto ok. Ma all'avvio Antivir mi segnala tantissimi virus! I file sono 2-3 ma si ripetoino in continuazione! Anche se li movo in quanrantena continuano! Che faccio?

[Deifobe]

i files infetti li avevi anche prima.. quindi, eccetto non sia impossibile utilizzare il pc, vai in C:\WINDOWS\system32\ , trova ed elimina tutti i file che finiscono con "exe + numeri", come nerocheck.exe3859220112. Poi esegui systemscan come ti ho chiesto e posta il rapporto.. Devi anche caricare il rapporto di avenger, lo trovi in c:\avenger. Evita di riavviare troppe volte.

fammi sapere

[ab5000]

il pc è inutilizzabile o quasi normalmente, ma in provvisoria funziona... è meglio provissoria "normale" o provvisoria da riga di comando? visto che il dos non è un problema, forse quest'ultima carica meno ancora. i file infetti rilevati non sono con i numeri però: sono tipo un file del programma dell'ADSL, uno della chiavetta wifi, uno del programma di gestione del lettore MP3, poi ci sono cfmon.exe (non ricordo se fosse cfmon.exe o cftmon.exe però) ed etray.exe (o ehtray.exe? mi confondo sempre). Cmq faccio una eliminazione dei file in provvisoria a riga di comando, poi vado nella provvisoria "normale" e faccio un systemscan ok? poii posto anche il rapporto di avenger, solo che lo devo passare nella chiavetta perchè in provvisoria non ho il driver USB dell'ADSL... un'altra cosa... perchè 'sti file li rileva solo ora? avenger ha fatto "uscire allo scoperto" il virus?

[Deifobe]

aspetta i file prima di eliminarli dovrei vederli.. I file che elenchi sono legittimi.. eccetto se vengono infettati.

mi spieghi cosa succede quando avvii in modalità normale? non abbiamo eliminato nulla di che, quindi non capisco il problema. Se è l'antivirus che non ti fa lavorare, disconnesso da internet puoi disattivarlo e operare a mano o con avenger seguendo le indicazioni che ti avevo lasciato.

purtroppo devi eliminare contemporaneamente i files infetti. Volessi operare da provvisoria, qualunque essa sia, devi eliminare:

C:\WINDOWS\system32\NeroCheck.exe3511837576 (i numeri sono diversi)
C:\WINDOWS\system32\NeroCheck.exe (tutto unito)
C:\WINDOWS\system32\NeroCheck .exe (con uno spazio prima del .exe)

C:\WINDOWS\VM_STI .exe (con e senza spazio)

in C:\DOCUME~1\Andrea\IMPOST~1\Temp\ eliminare i files tipo r3588394704.exe

Se i file rilevati hanno uno spazio prima del punto, allora devi eliminare il file.
Se la copia senza punto ha la stessa dimensione di quello con lo spazio (dovrebbe essere 14348), idem, devi eliminarla.
Nessun problema ad eliminare i file di cui hai accennato, eccetto quello <<programma di gestione del lettore MP3>>, che non so cosa sia e quindi per ora lascialo

attendo tue notizie,
ciao

[ab5000]

Allora... io all'avvio ho dei programmi in esecuzione automatica, tipo il driver dell'ADSL, quello della chiavetta wifi e viene lanciato anche la icona in tray del programma che uso per gestire la musica sul lettore MP3. Su questi 3 file viene rilevato un virus, TR/Dropper.Gen, e in più viene rilevato anche in quei 2 file di sistema... il problema è che gli avvisi sono uno dopo l'altro a distanza di pochi secondi (chiudo uno, 2 secondi, puf ne spunta un'altro!) ma i file sono sempre gli stessi. Ad internet non mi connetto... E se provo a fare "Metti in quarantena" oppure "Elimina" è come se non facessi nulla... cioè vengono segnalati altri file, ma dopo un po' ricompare... non riesco a capire perchè! cmq eliminerò quei file da provvisoria.... sperando che dopo si risolva!

[Deifobe]

disattiva l'antivirus momentaneamente ed esegui systemscan, te lo avevo scritto
lo riattivi subito dopo (dura una 20ina di minuti circa)
se è il dropper bisogna individuare i files...
ciao