rogue anti-spyware RAPID ANTIVIRUS [era: Credo di aver preso qualche virus!!!!....]

[pinuccio01]

ciao a tutti, mi trovo in uno stato di profonda crisi perchè credo di essere incappato in qulache virus.
Utilizzo un win xp sp2, ho effettuato la scansione del sistema sia con avast che con avg, ma il risultato è "nessun virus".

I "sintomi" del pc sono:
- non posso accedere al registro di sistema perchè mi compare: "L'editor del registro di sistema è stato disabilitato dall'amministratore di sistema";
- non compare più l'opzione per visualizzare le cartelle e i file nascosti;
-mentre navigo su internte, spesso compare una pagina dal titolo "RAPID ANTIVIRUS" che inizia a fare un test sul pc e riesce a trovare alcuni virus.

Questo è il log di hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 15.08.54, on 27/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\eMule\emule.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\csrssc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\giuseppe\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig?hl=it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\giuseppe\IMPOST~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT...1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...b?1200517187512
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binar...ro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03B6A935-E3F2-4276-923A-12F84757299C}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD7BAF67-969D-4E0D-8230-2A6B069C6764}: NameServer = 85.37.17.39 85.38.28.71
O17 - HKLM\System\CS1\Services\Tcpip\..\{03B6A935-E3F2-4276-923A-12F84757299C}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: dpsbqm.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Programmi\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programmi\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe





GRAZIE PER IL VOSTRO INTERESSE

[ryan atwood]

scarica Malwarebytes
aggiornalo
esegui la scansione completa del PC
Posta il risultato su Savefile

[pinuccio01]

Originariamente inviato da ryan atwood
scarica Malwarebytes
aggiornalo
esegui la scansione completa del PC
Posta il risultato su Savefile

ho scaricato il file, ma quando avvio l'installazine quest'ultima non parte. Nel taskmanger il processo d'installazione è prsente

[Deifobe]

ciao pinuccio,

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[pinuccio01]

Originariamente inviato da Deifobe
ciao pinuccio,

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

Questo è il link: http://www.savefile.com/files/1907405

[Deifobe]

mah..
io cambierei il totolo con "credo di avere qualche infezione"
i file arrivano a -98 giorni, non è facile trovare tutti quelli infetti

(Importante!) Esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci e clicca su "fix Checked"

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\giuseppe\IMPOST~1\Temp\csrssc.exe


In un file di testo copia/incolla:

Windows Registry Editor Version 5.00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Jnskdfmf9eldfd"=-

[-HKEY_CLASSES_ROOT\CLSID\{47080957-7903-41FC-B655-CEBA0A65E64A}]

[-HKEY_CLASSES_ROOT\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C897D}]

[-HKCR\CLSID\{F69C7AE9-4DFD-48C1-B2D0-56D7B4AD707F}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"UpdatesDisableNotify"=dword:00000000
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
;

salvalo sul desktop come:
nome: fix.reg
tipo di file: tutti i file
chiudi il file


Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:
C:\dnenvq.exe
C:\1752020416
C:\srkw.exe
C:\sqmdata07.sqm
C:\sqmdata08.sqm
C:\sqmnoopt07.sqm
C:\sqmnoopt08.sqm
C:\sqmdata05.sqm
C:\sqmnoopt05.sqm
C:\sqmnoopt06.sqm
C:\sqmdata04.sqm
C:\sqmdata06.sqm
C:\sqmnoopt04.sqm
C:\sqmdata03.sqm
C:\sqmnoopt03.sqm
C:\sqmnoopt02.sqm
C:\sqmdata02.sqm
C:\sqmnoopt01.sqm
C:\sqmdata01.sqm
C:\it1.exe
C:\jxbytp.exe
C:\it.exe
C:\d.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\543009.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\839948.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\emp_03.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\csrssc.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\cznsbfi37uhbehj fgdf.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\2041070926.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\veue873ikesg4t. tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\winlogin.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\removalfile.bat
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\removefiles.txt temp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\jar_cache55598. tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\jar_cache55599. tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\jar_cache55596. tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\jar_cache55597. tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\h2r41A.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\r2h419.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\r2h416.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\h2r417.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\h2r414.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\r2h413.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\h2r411.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\r2h410.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\h2r40E.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\r2h40D.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\h2r40B.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\r2h40A.tmp
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\21102008(002).j pg
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\21102008(001).j pg
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\21102008.jpg
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\21092008.jpg
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\25082008(002).j pg
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\4007479794.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\3511698544.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\88664386.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\654456530.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\178519030.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\1781669376.exe
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\....jpg
C:\DOCUME~1\giuseppe\IMPOST~1\Temp\chkpoi.dat
C:\WINDOWS\ewozebvf.exe
C:\WINDOWS\system32\rar.exe
C:\WINDOWS\system32\gh14rs.txt
C:\WINDOWS\system32\jsne87fidgf.dll
C:\WINDOWS\system32\wvUOFWPH.dll
C:\WINDOWS\system32\xxyxYsRh.dll
C:\WINDOWS\system32\jsne87fidgf.dll
C:\WINDOWS\system32\ddcBSLfF.dll
C:\WINDOWS\system32\1.exe
C:\WINDOWS\system32\pitovlhn.ini
C:\WINDOWS\system32\dpsbqm.dll
C:\WINDOWS\system32\dgfywvgi.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\634e7111-.txt
C:\WINDOWS\system32\wjnfokvw.ini
C:\WINDOWS\system32\hwsbibgm.dll
C:\WINDOWS\system32\wvkofnjw.dll
C:\WINDOWS\system32\ddcBSLfF.dll
C:\WINDOWS\system32\FfLSBcdd.ini
C:\WINDOWS\system32\FfLSBcdd.ini2
C:\WINDOWS\system32\drivers\ethzwnca.sys
C:\WINDOWS\system32\drivers\TDSSmxoe.sys

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {47080957-7903-41FC-B655-CEBA0A65E64A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler | {C5BF49A2-94F3-42BD-F434-3604812C897D}

registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvUOFWPH
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{C5BF49A2-94F3-42BD-F434-3604812C897D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{F69C7AE9-4DFD-48C1-B2D0-56D7B4AD707F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{47080957-7903-41FC-B655-CEBA0A65E64A}
HKLM\system\currentcontrolset\services\ethzwnca
HKLM\system\controlset001\services\ethzwnca
HKLM\system\controlset002\services\ethzwnca
HKLM\system\currentcontrolset\enum\root\legacy_eth zwnca
HKLM\system\controlset001\enum\root\legacy_ethzwnc a
HKLM\system\controlset002\enum\root\legacy_ethzwnc a
HKLM\system\currentcontrolset\services\TDSSserv.sy s
HKLM\system\controlset001\services\TDSSserv.sys
HKLM\system\controlset002\services\TDSSserv.sys
HKLM\system\currentcontrolset\emun\root\legacy_TDS Sserv.sys
HKLM\system\controlset001\enum\root\legacy_TDSSser v.sys
HKLM\system\controlset002\enum\root\legacy_TDSSser v.sys

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.

Appena dopo il riavvio, esegui il file fix.reg (accetta le modifiche) e riavvia nuovamente.

Esegui CCleaner e ripulisci i file temporanei e i cookie

Scarica e installa malwarebytes.
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto. Per ora non rimuovere nulla .

Posta anche un nuovo systemscan

[pinuccio01]

Originariamente inviato da Deifobe

Appena dopo il riavvio, esegui il file fix.reg (accetta le modifiche) e riavvia nuovamente.


Posta anche un nuovo systemscan

Ho provato ad eseguire il file fix.reg, ma compare l'errore con scritto: "L'editor del registro di sistema è stato disabilitato dall'amministratore di sistema".

[Deifobe]

te lo avevo scrritto che era importante:
fixa le due voci in hijackthis, dopo rieseguilo e accertati che non ci siano più

fatto questo, devi ripetere tutta la procedura da quel puunto in poi.

[pinuccio01]

Originariamente inviato da Deifobe
te lo avevo scrritto che era importante:
fixa le due voci in hijackthis, dopo rieseguilo e accertati che non ci siano più

fatto questo, devi ripetere tutta la procedura da quel puunto in poi.

ho seguito passo passo la tua guida, e sono riuscito a risolvere tutto. L'unico problema che persiste è che mentre navigo su internet, non viene caricata nessuna immagine. Per vederla ci devo cliccare su col tasto destro---->mostra immagine.

questo è l'unico problema rimasto, poi tutto il resto risolto.

spero che riuscirete a risolvermi anche questo......

[Deifobe]

...systemscan e malwarebytes che fine hanno fatto?