problema virus (inbox o qualcosa di simile)

[newfreak]

Salve a tutti,
ho da un po di giorni questo problema: praticamente tra i processi attivi mi si formano diversi IEXPLORE.EXE anche se in realta' ho una sola pagina aperta di explorer, poi ho provato piu' volte a fare una scansione con kapersky online ma si blocca alla scansione del file inbox.imm (molto sospetto ) mentre facendo la scansione con avira antivir non mi da nessun file sospetto. vi posto il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 23.39.15, on 28/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Conexant\Adsl\dslagent.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\MSI\TV@nywhere AD V1.1\HyperMediaCenter\DTVR\Scheduled.exe
C:\Programmi\MSI\TV@nywhere AD V1.1\TV Tuner Card Utilities\HMCP3XCtl.exe
C:\Programmi\IncrediMail\bin\IMApp.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\DCPFLICS\dcpflics.exe
C:\Programmi\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32serve r.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\littleham\Desktop\hijackthis\HijackThis.e xe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freeforumzone.leonardo.it/for...47444659218750
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.d ll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programmi\Megaupload\Mega Manager\MegaIEMn.dll
O3 - Toolbar: Megaupload Toolbar - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.d ll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Conexant\Adsl\dslagent.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Center Agent] C:\Programmi\MSI\TV@nywhere AD V1.1\HyperMediaCenter\DTVR\Scheduled.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Remote Control.lnk = C:\Programmi\MSI\TV@nywhere AD V1.1\TV Tuner Card Utilities\HMCP3XCtl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica link utilizzando Mega Manager... - C:\Programmi\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1202585251625
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{098E0310-B6F3-4FD4-81B4-DE3BDCA5CFCC}: NameServer = 85.37.17.39 85.38.28.71
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: DCPFLICS service (DCPFLICS) - Unknown owner - C:\Programmi\DCPFLICS\dcpflics.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programmi\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32serve r.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[Deifobe]

Forse è qualche mail.. (inbox.imm è un file di IncrediMail)
Prova a fare una scansione con Panda_activescan.

[newfreak]

sono riuscito a fare la scansione con kapersky (forse il file che come dici tu e' quello dove sono racchiuse tutte le email era troppo grande e perdeva un po di tempo in piu') ecco il log:

Friday, August 29, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Thursday, August 28, 2008 22:34:32
Records in database: 1158372


Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
A:\
C:\
D:\
E:\
H:\

Scan statistics
Files scanned 112883
Threat name 2
Infected objects 2
Suspicious objects 0
Duration of the scan 03:36:49

File name Threat name Threats count
C:\Programmi\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.631 1

C:\WINDOWS\system32\drivers\ASUSHWIO.SYS Infected: Trojan.Win32.DNSChanger.ien 1

The selected area was scanned.

------------------------------------------------

ovviamente mirc me lo segnala sempre ma non e' un virus l'altro non so cosa sia

[Deifobe]

sinceramente nemmeno io so perchè ora kaspersky lo rilevi, dovrebbe essere un driver dell'asus, è uscito anche in questo topic stanotte e, analizzato su virustotal, sembrerebbe ok.

Riguardo le mail, una cosa è se si blocca, un'altra è continua a lavorare ma ci mette tempo.
Comunque è necessario analizzare anche quelle per non irischiare di avere qualche allegato infetto.

[newfreak]

Originariamente inviato da Deifobe
sinceramente nemmeno io so perchè ora kaspersky lo rilevi, dovrebbe essere un driver dell'asus, è uscito anche in questo topic stanotte e, analizzato su virustotal, sembrerebbe ok.

Riguardo le mail, una cosa è se si blocca, un'altra è continua a lavorare ma ci mette tempo.
Comunque è necessario analizzare anche quelle per non irischiare di avere qualche allegato infetto.

No ineffetti alla fine ha fatto la scansione, mettendoci del tempo ma l'ha fatta senza problemi, ho fatto anche la scansione con PANDA ANTIVIRUS ONLINE ma oltre il solito mirc ed addirittura anche combofix :| non mi ha rilevato altri pericoli, mi sono spuntati sotto 65 Vulnerabilities con nomi e descrizioni, ma non credo vengano dal mio pc ma penso piuttosto che siano delle descrizioni dei virus piu' in voga :| non saprei.


Come procedo?

Ah un altro particolare degno di nota: quando spengo il pc mi da un errore DDD SERVER (o qualcosa di simile) e se non chiudo l'errore nn mi fa spegnere il pc.

[newfreak]

nulla di nuovo?
a me continuano a spuntare numerosi explore.exe nei processi in esecuzione

[Deifobe]

vediamo un po'..

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). Te lo dico perchè, dovesse essere segnalato dall'antivirus (che non hai disattivato, come da indicazione), almeno sai il motivo. La procedura postata è sicura.

[newfreak]

eccoti il log:

http://www.savefile.com/files/1760368

[Deifobe]

ciao,
visualizza i file nascosti e cerca C:\WINDOWS\system32\ri0ldK4u.exe
se lo trovi (probabilmente no), ciccaci sopra con il tasto destro del mouse e seleziona "proprietà"
Nella scheda "versione", vedi se è indicato il produttore o il copyright

Se c'è, vai anche su Virustotal e analizzalo. Posta i risultati fino alla riga MD5 compresa

Poi, scarica Avenger e CCleaner

esegui avenger e nella finestra copia/incolla:

files to delete:
C:\WINDOWS\system32\ri0ldK4u.exe
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At22.job
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

Esegui CCleaner e ripulisci i file temporanei e i cookie (eseguilo 2 volte)


Scarica e installa malwarebytes.

Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"

Esegui una "scansione completa" (seleziona l'opzione)

A scansione completa, fai clic su OK => Mostra i Risultati => postali.

[newfreak]

come avevi previsto non ho trovato il file "ri0ldK4u.exe"
ed anche avenger non l'ha trovato, eccoti il log di avenger:

logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\ijfgdrgh

*******************

Script file located at: \??\C:\WINDOWS\system32\^ubfyikp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\ri0ldK4u.exe not found!
Deletion of file C:\WINDOWS\system32\ri0ldK4u.exe failed!

Could not process line:
C:\WINDOWS\system32\ri0ldK4u.exe
Status: 0xc0000034

File C:\WINDOWS\tasks\At6.job deleted successfully.
File C:\WINDOWS\tasks\At7.job deleted successfully.
File C:\WINDOWS\tasks\At8.job deleted successfully.
File C:\WINDOWS\tasks\At9.job deleted successfully.
File C:\WINDOWS\tasks\At10.job deleted successfully.
File C:\WINDOWS\tasks\At11.job deleted successfully.
File C:\WINDOWS\tasks\At12.job deleted successfully.
File C:\WINDOWS\tasks\At13.job deleted successfully.
File C:\WINDOWS\tasks\At14.job deleted successfully.
File C:\WINDOWS\tasks\At15.job deleted successfully.
File C:\WINDOWS\tasks\At16.job deleted successfully.
File C:\WINDOWS\tasks\At17.job deleted successfully.
File C:\WINDOWS\tasks\At18.job deleted successfully.
File C:\WINDOWS\tasks\At19.job deleted successfully.
File C:\WINDOWS\tasks\At20.job deleted successfully.
File C:\WINDOWS\tasks\At21.job deleted successfully.
File C:\WINDOWS\tasks\At22.job deleted successfully.
File C:\WINDOWS\tasks\At23.job deleted successfully.
File C:\WINDOWS\tasks\At24.job deleted successfully.
File C:\WINDOWS\tasks\At1.job deleted successfully.
File C:\WINDOWS\tasks\At2.job deleted successfully.
File C:\WINDOWS\tasks\At3.job deleted successfully.
File C:\WINDOWS\tasks\At4.job deleted successfully.
File C:\WINDOWS\tasks\At5.job deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

----------------------------------------------------------------
Ed eccoti il log di malwarebytes.

Malwarebytes' Anti-Malware 1.25
Versione del database: 1101
Windows 5.1.2600 Service Pack 2

20.07.45 31/08/2008
mbam-log-08-31-2008 (20-07-45).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 149782
Tempo trascorso: 2 hour(s), 32 minute(s), 1 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{a057a204-bacc-4d26-c39e-35f1d2a32ec8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a057a204-bacc-4d26-c39e-35f1d2a32ec8} (Trojan.BHO) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Programmi\MegauploadToolbar\megauploadtoolbar.d ll (Trojan.BHO) -> Quarantined and deleted successfully.