[log Hijackthis] Firefox si chiude da solo

[ch_kat]

Buondì
son sempre qua con problemi di virus Stavolta è il mio computer aziendale ad avere casini.
Ieri ha dato un problema strano: quando parte lo screensaver, di ritorno chiede la password, ma ieri subito dopo aver immesso la password ed essere rientrata sul desktop mi ha dato per due volte (a ogni ritorno dallo screensaver) l'avviso "chiudere tutte le applicazioni office prima di arrestare il sistema" Come se gli avessi detto di spegnere, cosa che non ho fatto - e mi ha chiuso automaticamente alcune applicazioni che giravano in background.
Poi stamani (mentre rispondevo a un thread qui in OT punizione divina per il cazzeggio) Firefox si è chiuso improvvisamente da solo, e non sono più riuscita a farlo ripartire. Clicco, balena la finestra e si chiude.
Ho riavviato in modalità provvisoria e fatto partire una scansione con Avast!, che ha trovato 7 porcherie, di cui un Trojan e alcuni Malware nella cartella dell'applicazione Java (in effetti ricordo che c'era l'iconina di java attiva nella barra, quando si è chiuso firefox...).
Cancellati correttamente, tuttavia firefox continua a crashare da solo, anche in mod.provvisoria.

Ho fatto una scansione con Hijackthis, sempre in modalità provvisoria, ed eccola, se potete dirmi se c'è qualcosa di sospetto... Forse sarebbe meglio farla in modalità normale?
Provo a fare una scansione anche con Systemscan, nel frattempo.

Grazie in anticipo.
Chiara


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:08:08, on 02/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\reggiach\Dati applicazioni\U3\0000160EF17375B2\LaunchPad.exe
C:\Documents and Settings\reggiach\Dati applicazioni\U3\0000160EF17375B2\1F30627F-0195-44d4-8C24-1999F3C02C50\Exec\AvastU3.exe
C:\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119 .1736\swg.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [MGA_CD_Install] D:\mgasetup.exe /No_Welcome /Lang:Italiano
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\TrendMicro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Global Startup: gnotify.exe.lnk = C:\Programmi\Google\Gmail Notifier\gnotify.exe
O4 - Global Startup: PrintKey-Pro.lnk = C:\Programmi\Warecentral\PrintKey-Pro\PKey_Pro.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://winservvr.anthesis.it:4343/o...l/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://winservvr.anthesis.it:4343/o...tall/setup.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://winservvr.anthesis.it:4343/o...RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1174039242203
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1174039222671
O17 - HKLM\System\CCS\Services\Tcpip\..\{1661CB89-A72A-4E58-8C0F-9239409D9FB4}: NameServer = 192.168.200.1,192.168.200.173
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = anthesis.it
O17 - HKLM\System\CS1\Services\Tcpip\..\{1661CB89-A72A-4E58-8C0F-9239409D9FB4}: NameServer = 192.168.200.1,192.168.200.173
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = anthesis.it
O17 - HKLM\System\CS2\Services\Tcpip\..\{1661CB89-A72A-4E58-8C0F-9239409D9FB4}: NameServer = 192.168.200.1,192.168.200.173
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = anthesis.it
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\TrendMicro\OfficeScan Client\ntrtscan.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\TrendMicro\OfficeScan Client\tmlisten.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programmi\RealVNC\VNC4\WinVNC4.exe

--
End of file - 6188 bytes

[ch_kat]

Ecco il report di SystemScan.

http://www.savefile.com/files/1817463

Spero possiate darci un'occhiata, grazie
Chiara

[Deifobe]

ti comincio a postare la procedura che riguarda:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="\"c:\\windows\\system32\\twdleiuq.gif\ ""

Stampa queste indicazioni e disconnetti il pc da internet
Richiama il task manager (ctrl+alt+canc)
a) clicca su "nuova operazione" e digita regedit.exe - lascia aperta questa finestra
b) dal task manager termina il processo "explorer" (spariranno le cartelle dal desktop ma e' normale)
c) non chiudere il task manager fino al riavvio del pc.

1) Spostati nella finestra del registro e segui questo percorso fino a cliccare sulla chiave explorer.exe:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\image file execution options\explorer.exe]

2) ora devi eliminarla:
--- clicca su explorer.exe con il tasto destro del mouse => elimina.
--- se non te la fa eliminare, riclicca sulla chiave ma scegli => autorizzazioni => controllo completo => spunta "consenti". Riprova ad eliminarla.
--- se comunque non te la fa eliminare, controlla non sia attivo (vedi task manager) il processo richiamato in questa chiave. Se c'è, lo termini e riesegui l'operazione delle autorizzazioni.

3) eliminata la chiave explorer.exe, vedi se trovi anche la chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
e ripeti l'intera operazione fatta per la prima (in systemscan non la vedo, non dovrebbe esserci)

(mi raccomando, se le trovi devi prendere nota dei file scritti nella filestra a destra)

se sei riuscita ad eliminare la chiave explorer.exe, chiudi la finestra del registro, ora non serve più... e continua con questa procedura:


4) fatto tutto, sempre dal task manager, digita explorer e si aprirà risorse del computer
5) crea una nuova cartella in c:\ e chiamala pippo => entra nella cartella "pippo"
6) dal task manager digita nuovamente explorer e, nella nuova finestra che si apre, spostati in c:\windows\system32
7) trova il file twdleiuq.gif e trascinalo nell'altra finestra, ossia nella cartella pippo.
8) controlla che il file si trovi davvero nella cartella "pippo" e non in system32!!!
9) da c:\, clicca sulla cartella "pippo" e zippala => accertati che ci sia il file c:\pippo.zip
10) ora elimina la cartella pippo e svuota il cestino MA lascia l'archivio pippio.zip perchè dovrai mandarmelo.

11) fatto questo, chiudi le due finestre e dal task manager riavvia il sistema (clicca su => chiudi sessione => riavvia)


carica su Savefile anche pippo.zip e mandami il link con un mesaggio privato (nota: questio devi mandarmelo con un messaggio privato , mi raccomandi di non inserire il link sul forum).

[ch_kat]

Ciao Deifobe,
innanzitutto grazie dell'aiuto.

Purtroppo però non riesco a eliminare la chiave explorer.exe: mi dice "Impossibile eliminare, errore durante la cancellazione" e non mi permette di modificare le autorizzazioni. Come faccio?
Io tra l'altro sto "operando" in modalità provvisoria, dimmi se sbaglio, magari è meglio in modalità normale. :P

La chiave explorer.exe contiene all'interno 2 elementi:
(Predefinito) REG_SZ (Valore non impostato)
Debugger REG_SZ "c:\windows\system32\twdleiuq.gif"

Che roba è? Come l'ho presa? E' il pc dell'ufficio e non ci vado a siti porno o cose simili... sono piuttosto attenta su dove clicco... Come sarà successo? Uff.

Grazie infinite per l'aiuto.
Per la cronaca sono collegata a un altro pc. ^^

Chiara

[Deifobe]

Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK e posta il rapporto senza eliminare ancora nulla

Scarica Norman Malware Cleaner , avvia il PC in modalità provvisoria ed eseguilo. Posta il log che viene generato sul desktop.

Per qualsiasi problema inerente desktop e icone (cioe' nel caso in cui il desktop fosse vuoto), per poter lavorare al pc basta aprire il taskmanager e digitare explorer..

[ch_kat]

Ok, ci sono Scansioni lunghissime!

Questo è il log di MalwareBytes:
http://www.savefile.com/files/1819245

Questo quello di Norman Malware Cleaner:
http://www.savefile.com/files/1819246

Tra l'altro ho notato che sia explorer che firefox crashano quando tento di aprire la pagina del forum di html.it (ovvero forum.html.it/forum) Credevo fosse che chiudeva ogni pagina dove si parlasse di antivirus, invece le pagine degli anti-malware le ha aperte e li ha scaricati benissimo. Solo col forum di html.it crasha... Poi non ho provato se si chiuda anche con altri siti.

Inoltre la chiave di sistema che dicevi prima, iexplore.exe, non c'era (avevo dimenticato di dirtelo).

Grazie ancora per l'aiuto! Resto in attesa...
Chiara


PS: E' venerdì sera... il pc infetto è quello dell'ufficio... ergo fino a lunedì non potrò fare altro (a meno di un intervento-lampo entro le 18, ma non pretendo ). Spero che la situazione cmq non cambi (dovrebbe? potrebbe?), grazie se nel frattempo vorrete postare altre indicazioni.
Buon weekend

[Deifobe]

ciao... mi dispiace (molto) non averti potuto rispondere prima...:

con malwarebytes dovrei eliminare quanto trovato:

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> No action taken.

Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

fatto ciò, entra nel registro e verifica che non ci sia più quella chiave.
se non c'è, salva il file infetto c:\windows\system32\twdleiuq.gif come indicato sopra (creando lo zip), inviamelo e poi eliminali.

il problema che riscontri su html dovrebbe essere dovuto proprio al file... è già successo altre volte..

mi posti anche un nuovo systemscan?

ciao e buon we anche a te

[ch_kat]

Olà, arieccomi.
Qua non va benissimo Ieri ho provato tutto il giorno, in cicli successivi, a cancellare i due elementi infetti: uno è andato subito, ma la chiave di registro no. Malwarebytes mi dice che è impossibile cancellare il file e che lo mette in lista per cancellarlo al reboot, ma pur riavviando il pc non lo cancella.
Inoltre la prima volta, cliccando "yes" alla domanda "vuoi continuare?" mi ha riavviato il pc Malwarebytes direttamente, poi alle scansioni successive non ha più funzionato e ho dovuto tentare di riavviarlo a mano.
Ho provato a fare la scansione+cancellazione anche terminando il processo explorer.exe, ma niente da fare.
Questo maledetto coso si è proprio affezionato al mio pc maledetto!

Cosa posso fare? Intanto ecco un'altra scansione di SystemScan, fatta appena adesso.
http://www.savefile.com/files/1825674
Se puoi darci un'occhiata e darmi qualche altro consiglio, ti sono grata... Alla più brutta formatterò, ma non ne sono felice: io sono l'assistente al reparto EDP e il mio compito è anche pulire gli altri pc infetti, e badare alle cose informatiche dell'azienda... bella figura!
Come l'avrò preso?? Non mi capacito. Uff.

Grazie ancora per l'aiuto.
Chiara

[Demonios@]

ti dispiacerebbe postare un log di combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

[ch_kat]

Originariamente inviato da Demonios@
ti dispiacerebbe postare un log di combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Cos'è questo programma? E' riuscito a chiudermi il task manager quando è partito, mi ha un po' inquietato e non mi son fidata a farlo girare ulteriormente...