[Virtumonde] Check log Hijackthis

**ch_kat** · 24-09-2008, 09:01

Buongiorno a tutti!
Mi ritrovo ancora una volta per le mani un portatile in condizioni indegne

Tra l'altro di una persona a cui *già* l'avevo sistemato perchè zuppo di virus e porcherie... ma tant'è.

Recriminazioni sulle capacità degli utonti a parte

il punto è che ora non riesco nemmeno a formattarlo, perchè risulta incapacitato ad avviarsi da cd. Entrando con l'utente normale (che pure è amministratore del computer) risultano invisibili e inaccessibili il disco C: e il pannello di controllo, e disabilitato "dall'amministratore"

il task manager. Uguale in modalità provvisoria. Poi si aprono continui popup di avviso di un sedicente antivirus (BastioneAntivirus, facendo una ricerca è chiarissimo che il virus è lui) e lo sfondo del desktop viene coperto da una gif che è un link a un sito internet; disinstallato l'"antivirus" si reinstalla da solo, e continua ad andare su internet di propria iniziativa.
Per fortuna accedendo come Administrator le cose vanno un pochino meglio. Ho fatto una pulizia con Avast! che ha trovato 75 schifezze ma non ha potuto pulirle tutte (tra cui Virtumonde). Non posso fare scansioni online perchè non posso collegarlo ala rete, che è aziendale (se m'infetta il server poi sono volatili per diabetici).
Insomma ho fatto lo scan con Hijackthis, se potete suggerirmi cosa fixare vi sono grata. Il mio scopo alla fine è arrivare a un minimo sindacale in cui parta da cd e possa formattarlo. Se riesco a sistemarlo cmq tanto meglio.

Grazie in anticipo!
Chiara

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.46.59, on 24/09/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Administrator\Dati applicazioni\U3\0000160EF17375B2\LaunchPad.exe
C:\Documents and Settings\Administrator\Dati applicazioni\U3\0000160EF17375B2\1F30627F-0195-44d4-8C24-1999F3C02C50\Exec\AvastU3.exe
C:\WINDOWS\explorer.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://bastioneantivirus.com/difesa/allontanare/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\Programmi\FreshDevices\FreshDownload\fdiebar.dl l
O3 - Toolbar: gksraemq - {EB95B22A-E37E-4EFF-9A9D-4E3D3BADD9E6} - C:\WINDOWS\gksraemq.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\TrendMicro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [\YUR1EB.exe] C:\Windows\system32\YUR1EB.exe
O4 - HKLM\..\Run: [\YUR1EC.exe] C:\Windows\system32\YUR1EC.exe
O4 - HKLM\..\Run: [\YUR1ED.exe] C:\Windows\system32\YUR1ED.exe
O4 - HKLM\..\Run: [\YUR1EE.exe] C:\Windows\system32\YUR1EE.exe
O4 - HKLM\..\Run: [ANTIVIRUS] C:\Programmi\MSA\MSA.exe
O4 - HKLM\..\Run: [\YUR1F7.exe] C:\Windows\system32\YUR1F7.exe
O4 - HKLM\..\Run: [\YUR1F9.exe] C:\Windows\system32\YUR1F9.exe
O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKLM\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKLM\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKLM\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe
O4 - HKLM\..\Run: [\YUR6.exe] C:\Windows\system32\YUR6.exe
O4 - HKLM\..\Run: [\YUR5.exe] C:\Windows\system32\YUR5.exe
O4 - HKLM\..\Run: [BMN] "C:\Programmi\File comuni\BastioneAntivirus\bm.exe" dm=http://bastioneantivirus.com ad=http://bastioneantivirus.com sd=http://gdiario.bastioneantivirus.com
O4 - HKLM\..\Run: [ptask] C:\Programmi\BastioneAntivirus\ptask.exe
O4 - HKLM\..\Run: [290e1440] rundll32.exe "C:\WINDOWS\System32\sjooamso.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: FreshDownload - {4A719C2F-83EA-475B-B994-05018CCE6E69} - C:\Programmi\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...1.0.0.15-3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{87F933B6-B127-4FA5-A9F5-5ABF258AC08D}: NameServer = 212.97.32.2,212.97.32.7
O20 - AppInit_DLLs: svxovs.dll
O21 - SSODL: xrdwbfgn - {7AE69220-1541-44F8-8030-9A2670195CCF} - C:\WINDOWS\xrdwbfgn.dll
O21 - SSODL: dgksvbpn - {45135BDC-D168-4117-90D9-134000F5E5B0} - C:\WINDOWS\dgksvbpn.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\TrendMicro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\TrendMicro\OfficeScan Client\tmlisten.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programmi\RealVNC\VNC4\WinVNC4.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 5118 bytes

Edit: Tò, eccolo lì il Bastione

L'ho visto ora. Quella immagino sia una voce da fixare.
Cmq volevo solo aggiungere che la scansione è stata fatta in modalità provvisoria.

**hell's bells** · 24-09-2008, 09:15

Segui questa procedura inziale poi ti verrà detto come proseguire:

scarica Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

per scaricarti l'aggiornamento in maniera manuale, visto che non puoi utilizzare internet

http://www.malwarebytes.org/mbam.php

trovi l'aggiornamento sotto la voce "latest database"

Metti programma e aggiornamento su una pendrive o su un cd, te li porti sul pc infetto, installi il programma, lo aggiorni e fai la scansione.

per postare il report segui questa scaletta:

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]

**ch_kat** · 24-09-2008, 16:35

Ho fatto lo scan ancora stamani (trovati 123 cosi), ma poi è da allora che savefile.com mi dice che il servizio di upload è momentaneamente non disponibile e non è più tornato su. -__-
Un altro sito dove mettere il file...?

**ch_kat** · 24-09-2008, 17:10

Eccolo! http://freefilehosting.net/download/4044e

**hell's bells** · 24-09-2008, 21:16

Quel pc sta facendo miracoli

, rifai la scansione con malewarebytes ed elimina tutto, poi posta il report, inoltre segui questa procedura:

scarica Systemscan

1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"

Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop.

Se savefile non funziona, va bene dove hai postato il report precedente.

**ch_kat** · 25-09-2008, 11:06

Ti ringrazio tantissimo dell'aiuto, ma mi sono resa conto che non partiva da cd perchè c'era il lettore danneggiato

Sostituito, ora lo sto formattando e basta. Grazie infinite cmq per il tuo tempo!

Per curiosità, come mai dici che faceva miracoli?

Sarebbe dovuto esplodere e basta, dalla quantità di schifo che c'era dentro??

Ciao e ancora grazie.

**hell's bells** · 25-09-2008, 11:08

Potevi aspettare a formattarlo, con la pulizia sarebbe tornato come nuovo. Dicevo che faceva miracoli immaginando tutti i processi infetti che aveva attivi.

**ch_kat** · 25-09-2008, 11:22

Eh, anche a me sarebbe piaciuto star lì a pulirlo, ma il capo ha detto di non perderci altro tempo.

Discussione: [Virtumonde] Check log Hijackthis

Strumenti discussione

Ricerca discussione

Visualizza

[Virtumonde] Check log Hijackthis

Permessi di invio