Errore MSN e probabile virus

[ogrando]

Ho letto in un altra discussione riguardo un problema simile, se non lo stesso, il suggerimento di aprire una nuova discussione per evitare confusione e il link a Hijack.

Ho Win XP.
Il problema è che una volta loggato ad MSN (l'ultima versione, che ha sempre fuzionato fino a prima) dopo pochi secondi esce l'errore: AppNam: wlcomm.exe e ModName: cvasds0.dll
Subito dopo Avast mi segnala un virus in C:\ (non ricordo il nome, e tra latro andando in C:\ non lo vedo il file in questione), do il consenso a cancellarlo e poi riavvia il pc fa la scansione prima di avviare Win, senza ritrovarlo. Ma una volta finita, partito Win e riloggato MSN si ripresenta l'errore e risegnala il file sospetto in C:\


Quindi, ho installato Hijack, ho fatto la scansione (non ho mai usato prima il programma, ho semplicemente cliccato "do a system scan and save a logfile", basta questo vero?) ed ecco il logfile

----------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.03.38, on 20/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\EPSON\ESM2\eEBSVC.exe
E:\Programmi\LogMeIn Hamachi\hamachi-2.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Mobile Partner\Mobile Partner.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\dwwin.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programmi\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programmi\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Grando\IMPOST~1\Temp\herss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{10F91165-EA2D-466E-A517-829AD21586A6}: NameServer = 62.13.171.4 62.13.171.5
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\EPSON\ESM2\eEBSVC.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - E:\Programmi\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6421 bytes
-------------------------------------------


Spero in un vostro aiuto, grazie

[amvinfe]

Ciao,

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.mediafire.com clicca su "Use basic uploader" carica il file con estensione .zip e scrivi, nella tua prossima replica, l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.




SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

[ogrando]

ok, oggi appena ho tempo procedo come suggerito.

Intanto ti aggiorno. Anche oggi avast rileva il file sospetto in C:\ e sta volta me lo sono segnato:

file sospetto
usato metodo euristico
C:\se 12ydam.exe
tipo: Rootkit: processo nascosto

[ogrando]

Allora aggiorno e riassumo per maggiore chiarezza.

sistema operativo: WinXP

Problemi:
1) MSN (aggiornato un mese fa, quindi dovrebbe essere l'ultima versione) da ieri si blocca dopo essere loggati dando il seguente errore:
AppNam: wlcomm.exe e ModName: cvasds0.dll
2) sempre da ieri AVAST mi segnala un file sospetto:
[...]usato metodo euristico
C:\se 12ydam.exe
tipo: Rootkit: processo nascosto[...]
Clicco su elimina, e poi avast avvisa che il file potrebbe risiedere in memoria, quindi riavvia il pc e esegue una scansione prima di avviare winXP. Eseguita la scansione, segnalati un paio di file come virus, cancellati (forse erano falsi positivi, ma li ho cancellati comunque visto che non erano essenziali). Ma il problema rimane.



Eseguito "systemscan" con:
1) Avast, Firewall di win e ZoneAlarm disattivati
2) chiavetta internet Tre scollegata
3) cavo LAN scollegato
4) rete Hamachi disattivata da risorse di rete
5) tutte le voci di controllo di "systemscan" spuntate

Risultato caricato in mediafire

Grazie per l'aiuto

[ogrando]

Aggiornamento:
cercando in una "eciclopedia dei malware" ho trovato questo

Potrebbe essere, vista la presenza nell'errore in MSN di cvasds0.dll e di herss.exe nel log di Hijack?

[amvinfe]

Disconnesso da internet e con l'antivirus disattivato:

Apri il Blocco note ed inserisci al suo interno questo script, fai un copia/incolla

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"cdoosoft"=-
;

Clicca in alto a sx su "File" poi su "Salva con nome", dalla finestra che si apre clicca in corrispondenza di "Salva come:">seleziona "Tutti i file">nella casella "Nome file" scrivi fix.reg > salva il file sul desktop.
Lo useremo dopo.


apri SystemScan>Clicca su "Removal Script".
All'interno del box bianco copia ed incolla i valori riportati qui sotto

Files to delete:
C:\autorun.inf
C:\se12ydam.exe
C:\DOCUME~1\Grando\IMPOST~1\Temp\cvasds0.dll
C:\DOCUME~1\Grando\IMPOST~1\Temp\herss.exe
E:\autorun.inf

ora clicca su "Proceed with removal" e poi su OK.

Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Esegui il file fix.reg e riavvia il pc.

Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) ed un nuovo report

grazie

[ogrando]

Originariamente inviato da amvinfe
[...] il contenuto del log generato da Avenger (avenger.txt) ed un nuovo report

grazie

Grazie di che, sono io che ti ringrazio per l'aiuto.

Procedura eseguita, ecco i risultati:

1) qui report di Systemscan

2) qui file Avenger.txt

3) wlcomm.exe di MSN non fa più l'errore dopo essere loggati

4) però non riesco ancora a vedere i file nascosti (non l'avevo scritto nei post prima, ma da quando è sorto il problema non vedo i file nascosti). Attivo l'opzione "visualiza file e cartelle nascoste", ma non vedo ugualmente i file, e quando rientro nelle opzioni cartella non rimane mai attivata la voce.

[ogrando]

AGGIORNAMENTO (scusa ma non posso modificare il post sopra, sono passati 60 minuti, quindi continuo qui)

5) Il virus, dovrebbe essere W32.Silly.BCT, secondo il sito http://www.spywareremove.com/removeW32SillyFDCBCT.html, ha modificato anche questi valori nel registro (riporto i valori che ho e come li ho appena modificati/devo modificare):

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "145" ---> devo mettere 181?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \"CheckedValue" = "0" ---> ho messo 1 e vedo i file nascosti

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0" ---> qui ho lasciato a 0. Ho visto che mettendo 1, mi fa vedere altri file nascosti di Windows (come per es. la cartella "Recycle" e "system volume information" in C:\) e questi non interessa vederli sempre. OK?

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "1 o 0, non ricordo" ---> ho messo 2 o devo mettere/lasciare 1?

Adesso vedo i file nascosti. Per il "NoDriveTypeAutoRun" so che serve per l'autorun, ma non ho capito bene coe funziona la cosa. Se non voglio l'autorun di pendrive, cd/dvd, HD esterni e quant'altro che valore devo mettere?
Oppure le voci sono state create e non modificate e quindi le posso cancellare interamente?

6)
Mettendo "ShowSuperHidden" = "1" ho trovato in E:\ (ho infatti due partizioni nell'hard disk) il file "se12ydam.exe". Quindi ho cancellato il bastardo manualmente.

7) sembra modifichi o crei anche questi file:
%System%\drivers\cdaudio.sys
%System%\dllcache\cdaudio.sys

Non capisco però se li crea o modifica, quindi non so se posso cancellarli.

[amvinfe]

riguardo questa
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoDriveTypeAutoRun"

portati su \..\explorer\ apri la cartellina gialla explorer e dal pannello di dx seleziona di dx NoDriveTypeAutoRun e clicca su "Elimina".

Riguardo questa chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden"
ti roporto le tre opzioni possibili:

1 - tutti i file sono visibili
2 - i file nascosti non sono visibili
0 - non sono visibili neanche i file di sistema

questi file vengono modificati
%Sysdir%\dllcache\cdaudio.sys
%Sysdir%\drivers\cdaudio.sys

per ulteriori informazioni leggi all'URL
http://www.nod32.it/threat-center/en...a1.php?id=2046

[ogrando]

Grazie, chiarite le questioni di registro di sistema.



Secondo un paio di siti che vo visto (tra cui spywareremove.com) dovrei cancellare %Sysdir%\dllcache\cdaudio.sys
%Sysdir%\drivers\cdaudio.sys

ma secondo "http://www.nod32.it" (e come scrivi tu sopra) non sono stati creati dal virus, ma modificati, e quindi sono file di win e non posso cancellarli così D’emblée. Che faccio?


EDIT
Ho dato un'occhiata ai due file con un editor esadecimale e ho cercato riferimenti ai file "se12ydam.exe", "cvasds0.dll" e "herss.exe" senza trovare niente. (non so che altro cercare, considera che non sono un ingegnere informatico).
Quindi in questo sito e quest'altro ho trovato che i file di win hanno dimesione 18,688 bytes. Anche i miei due file hanno queste dimensioni quindi dovrebbero essere puliti, o il bastardo è furbo che aggiunge e toglie istruzioni ai file per far tornare la dimensione?