PC infettatao da Win32:Zapchast-FL

[stex84]

Salve a tutti, mi chiamo Stefano e da un pò di tempo sto cercando risposte riguardo questo trojan maledetto, non riesco a toglierlo, vorrei sapere se qualcuno di voi può aiutarmi a "interpretare" questo log di hijack this per sapere se qualcosa non va.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.32.04, on 08/03/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\Users\Stefano\AppData\Local\Temp\comrepl.exe
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\Stefano\Desktop\1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\Users\Stefano\AppData\Local\Temp\comrepl.e xe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\PROGRA~1\ASKBAR~1\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\PROGRA~1\ASKBAR~1\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe"
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [iTunesHelper] "C:\PROGRA~1\iTunes\ITUNES~1.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\PROGRA~1\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKLM\..\Policies\Explorer\Run: [ComRepl] C:\DOCUME~1\Stefano\IMPOST~1\Temp\comrepl.exe /waitservice
O4 - HKLM\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System32\drivers\esentutl.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\Stefano\IMPOST~1\Temp\cisvc.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\Windows\System\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Cisvc] C:\Windows\System\cisvc.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Cisvc] C:\Windows\System\cisvc.exe /waitservice (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\Windows\Network Diagnostic\xpnetdiag.exe
O13 - Gopher Prefix:
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://www.update.microsoft.com/micr...?1222767988345
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1222768042689
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe...bat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{439BDDC7-B100-43AD-93C9-4C25BEB8DA72}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{439BDDC7-B100-43AD-93C9-4C25BEB8DA72}: NameServer = 192.168.1.254
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7791 bytes


Vi ringrazio per la disponibilità....

[MGNFBA72]

Ciao stex84

Apriti un thread tuo senza allacciarti ad altri, cosi' potrai velocizzare l' intervento dei moderatori, e' scritto nel regolamento, sei nuovo ed ovviamente questo mio intervento vuole solamente essere una cortesissima miniguida.
Per le soluzioni ai tuoi problemi sei sul posto giusto !!!
Attendi l' intervento dei moderatori.
Dall' analisi che ho fatto del log di hijackthis vedo che hai delle infezioni ma nulla di impossibile.
E' sicuramente piu' serio aspettare l' intervento dei moderatori sul nuovo thread che aprirai.

Buon Forum

[Habanero]

ho diviso il thread.

stex84 per favore leggi il regolamento:
http://forum.html.it/forum/showthrea...hreadid=997970

[stex84]

ti ringrazio molto, credevo fosse meglio riesumarne uno vecchio (figuraccia) speriamo di risolvere!

[stex84]

Se qualcuno almeno può aiutarmia capire quale di queste voci è da eliminare, vi prego sono disperato! qualcosa capisco, ma molti dei processi che ritenevo sospetti individuati da hijackthis, che ho cercato in rete, risultano essere tutti indispensabili alfunzionamento di alcuni programmi..non sò dove mettere le mani! helppp VVoVe:

[SkinBonno]

Ciao, Scarica e installa Malwarebytes. Aggiornalo e fai una scansione completa del computer. Posta il rapporto ottenuto. Per ora non rimuovere nessuna eventuale minaccia rilevata, aspetta nostre conferme.

[stex84]

Ciao, ho fatto come detto, ma non ha trovato niente! E' strano, in quanto il 90% delle volte che entro in windows avast mi dice di trovare questo malware. Proprio non capisco...posto il report in ogni caso

Malwarebytes' Anti-Malware 1.34
Versione del database: 1827
Windows 6.0.6001 Service Pack 1

09/03/2009 11.55.02
mbam-log-2009-03-09 (11-55-02).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 249144
Tempo trascorso: 1 hour(s), 10 minute(s), 59 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)

[SkinBonno]

uhm mi puoi postare il percorso completo del file che avast rileva come virus? intanto fai un'altra scansione
Fai una scansione online con Kasperky - in alto premi il bottone "scanner online", aspetta che finisca di scaricare l'aggiornamento, disattiva l'antivirus (ricordati di riattivarlo a scansione conclusa) e clicca su "scan my computer". Nel caso rilevi qualcosa di infetto, incolla il log ottenuto.

[stex84]

ciao, allora dopo ore di scansione kaspersky ha confermato i sospetti:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Monday, March 9, 2009
Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Monday, March 09, 2009 13:32:02
Records in database: 1882766
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan statistics:
Files scanned: 216480
Threat name: 6
Infected objects: 8
Suspicious objects: 0
Duration of the scan: 03:15:54


File name / Threat name / Threats count
C:\$WINDOWS.~Q\DATA\Documents and Settings\Ospite\Impostazioni locali\Temp\~tmp\yunml08\winlogon.exe Infected: Trojan-Mailfinder.Win32.Blen.gl 1
C:\$WINDOWS.~Q\DATA\Documents and Settings\Stefano\Impostazioni locali\Temp\~tmp\hmunmlcn69\svchost.exe Infected: Trojan-Mailfinder.Win32.Blen.gp 1
C:\$WINDOWS.~Q\DATA\Documents and Settings\Stefano\Impostazioni locali\Temp\~tmp\msrg06\winlogon.exe Infected: Trojan-Mailfinder.Win32.Blen.gs 1
C:\$WINDOWS.~Q\DATA\Documents and Settings\Stefano\Impostazioni locali\Temp\~tmp\msvrf07\winlogon.exe Infected: Trojan-Mailfinder.Win32.Blen.gu 1
C:\$WINDOWS.~Q\DATA\Documents and Settings\Stefano\Impostazioni locali\Temp\~tmp\yinprs02\ctfmon.exe Infected: Trojan.Win32.Zapchast.sl 1
C:\Program Files\Alwil Software\Avast4\DATA\moved\svchost.exe.2.vir Infected: Trojan-Mailfinder.Win32.Blen.gv 1
C:\Program Files\Alwil Software\Avast4\DATA\moved\svchost.exe.vir Infected: Trojan-Mailfinder.Win32.Blen.gv 1
C:\Users\Ospite\AppData\Local\Temp\~tmp\hmunmlcn80 \svchost.exe Infected: Trojan-Mailfinder.Win32.Blen.gv 1

The selected area was scanned.


Che suggerite per l'eliminazione definitiva? considerando che avast non ce la fa, adaware neanche lo trova e ccleaner può fare poco...attendo aiuto! graziee

[SkinBonno]

Uhm...fai così
Da Risorse del computer (o una qualsiasi cartella) Strumenti--> Opzioni cartella
Nella pagina Visualizzazione spunta: Visualla File e Cartelle nascosti
e togli la spunta a: nascondi file di sistema
applica le modifiche e cerca manualmente i file che ti vengono segnalati come infetti (segui il percorso C:\document and settings\ ecc.ecc.) e svuota il cestino. Se qualche file non riesci a cancellarlo postami il percorso completo. Poi:
Scarica Atf Cleaner, esegui una pulizia completa (spunta select all ((se non vuoi perdere le password di internet e\o mozilla lascia solo quella casella libera)). Eseguilo 2 volte.
Scarica Ccleaner, esegui una pulizia dei file e un controllo dei problemi al registro, e risolvili (2 volte entrambi i passaggi).