lettura log

[rebelia]

ciao a tutti

ho ripulito un portatile che presentava diverse schifezze incastrate l'una nell'altra; ora non ne trovo piu' nessuna scansionando con clamwin+avira antivir+superantispyware+alcuni files cancellati direttamente dal registro

questo e' il log di hijackthis al momento:


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14.18.26, on 14/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Programmi\ASUS\Wireless Console\wcourier.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\RapidBIT\cidaemon.exe
c:\programmi\avira\antivir desktop\avcenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir Desktop\avscan.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHP0.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PHPNukeIT Toolbar - {2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} - C:\Programmi\PHPNukeIT\tbPHP0.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmi\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [{128E8472-8A6B-142B-9916-E3873AC77438}] "C:\Documents and Settings\Rudi\Dati applicazioni\Matapo\wozah.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} - file:///C:/Programmi/Farm%20Mania/Images/stg_drm.ocx
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Programmi/Farm%20Mania/Images/armhelper.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Remote Connections Service (FlexService) - BitMicro Software Corporation - C:\Programmi\RapidBIT\cisvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8518 bytes




qualcuno cortesemente potrebbe dargli un'occhiata e dirmi cos'ho dimenticato?

grazie mille

[amvinfe]

Ciao

purtroppo HJT da solo non è più sufficiente per verificare tutte le aree di un computer.

Scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Portati su www.wikisend.com carica il file con estensione .zip e scrivi l'URL nella tua prossima risposta.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disattivato.


SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

[rebelia]

grazie per la risposta, ecco lo zip: 14_08_2010_21_39_report.zip

[amvinfe]

è presente un file collegato ad un adware, un rootkit ed un servizio collegato al rootkit.

Inizia a disinstallare ClamAv e Superantispyware, lascia installato solo Avira.


Scarica sul desktop the avenger http://swandog46.geekstogo.com/avenger2/download.php

Non connessa e con Avira disattivato:

- esegui il file appena scaricato.

Nel box bianco scrivi questo script:

Files to delete:
C:\WINDOWS\system32\drivers\pblwrvko.sys
C:\zrpt.xml
C:\DOCUME~1\Rudi\IMPOST~1\Temp\6.dir


Registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset002\services\p blwrvko

togli la spunta da "Scan for rootkit" e mettila su "Automatically disable any rootkit"

clicca su "Execute".

Dopo il riavvio portati in C:\ apri il file di testo avenger.txt copia/incola, nella tua prossima risposta, il contenuto insieme ad un nuovo report di SystemScan

NB
portati su www.virustotal.com e controlla questo driver C:\WINDOWS\system32\KGyGaAvL.sys postami il risultato.

Ciao

[rebelia]

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\WINDOWS\system32\drivers\pblwrvko.sys" deleted successfully.
File "C:\zrpt.xml" deleted successfully.

Error: "C:\DOCUME~1\Rudi\IMPOST~1\Temp\6.dir" is a folder, not a file!
Deletion of file "C:\DOCUME~1\Rudi\IMPOST~1\Temp\6.dir" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error: could not open registry key "HKEY_LOCAL_MACHINE\system\controlset002\services\ pblwrvko" for deletion
Deletion of registry key "HKEY_LOCAL_MACHINE\system\controlset002\services\ pblwrvko" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)


Completed script processing.

*******************

Finished! Terminate.


questo il file caricato: 15_08_2010_14_20_report.zip

non trovo invece l'altro file che mi indichi (nemmeno visualizzando i files nascosti), ma al riavvio e' partito avira in automatico, mi ha segnalato un file infetto e gli ho detto di procedere con l'eliminazione senza controllare quale fosse, sorry

[amvinfe]

mi servirebbe sapere il responso di virustotal.com riguardo il driver.

Il file eliminato da Avira probabile sia l'eseguibile di SystemScan verificalo fra la cronologia degli eventi dell'antivirus o dalla quarantena.

Non è stato eliminato il servizio relativo al rootkit, il driver sì.

==

Non connessa e con Avira disattivato, esegui nuovamente avenger:

nel box bianco scrivi questo script:

Drivers to disable:
pblwrvko

Folders to delete:
C:\DOCUME~1\Rudi\IMPOST~1\Temp\6.dir

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\controlset002\services\p blwrvko
HKLM\SOFTWARE\Microsoft\windows\currentversion\run \pblwrvko

togli la spunta da "Scan for rootkit" e mettila su "Automatically disable any rootkit"

clicca su "Execute".

Dopo il riavvio portati in C:\ apri il file di testo avenger.txt copia/incola, nella tua prossima risposta, il contenuto insieme ad un nuovo report di SystemScan e il responso di virustotal sul driver C:\WINDOWS\system32\KGyGaAvL.sys

ciao

[rebelia]

ok, 'sto giro ci son riuscita (avevo dimenticato di rendere visibili i files di sistema, sigh!)

questi i due avvisi di avira: quello sopra di ieri (a cui ho negato l'accesso) e quello sotto di oggi (a cui l'ho autorizzato visto che la cartella di partenza era avenger):

Nel file 'C:\Avenger\pblwrvko.sys'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Nega accesso

Nel file 'C:\Avenger\pblwrvko.sys'
è stato rilevato un virus o programma indesiderato 'TR/Crypt.ZPACK.Gen' [trojan].
Azione eseguita: Consenti accesso

il file di systemscan: 16_08_2010_12_32_report.zip

il report di avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver "pblwrvko" disabled successfully.
Folder "C:\DOCUME~1\Rudi\IMPOST~1\Temp\6.dir" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\system\controlset002\services\ pblwrvko" deleted successfully.

Error: registry key "HKLM\SOFTWARE\Microsoft\windows\currentversion\ru n\pblwrvko" not found!
Deletion of registry key "HKLM\SOFTWARE\Microsoft\windows\currentversion\ru n\pblwrvko" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

e il link all'analisi di virustotal: http://www.virustotal.com/file-scan/...8de-1281954301

spero di aver capito tutto giusto

[amvinfe]

Hai capito giusto il problema era mio, ho inserito nello script un percorso errato, sorry

Non connessa e con Avira disattivato, esegui nuovamente avenger:

nel box bianco scrivi questo script:

Registry keys to delete:
HKLM\system\currentcontrolset\services\pblwrvko

togli la spunta da "Scan for rootkit" e mettila su "Automatically disable any rootkit"

clicca su "Execute".

Dopo il riavvio portati in C:\ apri il file di testo avenger.txt copia/incola, nella tua prossima risposta, il contenuto insieme ad un nuovo report di SystemScan.

Il driver che ti ho fatto controllare è ok.

NB
se nel log di avenger il servizio è stato eliminato, puoi procedere con una scansione completa del disco da effettuare con Avira aggiornato, il report di SystemScan te lo faccio fare per precauzione anche se credo che l'infezione sia stata tolta.

Installa anche un firewall, ti suggerisco Comodo (senza antivirus ovviamente) o Online Armor entrambi free.

[rebelia]

file di systemscan: http://wikisend.com/download/631978/..._07_report.zip

report di avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key "HKLM\system\currentcontrolset\services\pblwrv ko" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

e nessun alert di avira ripartito all'avvio

come firewall provero' Online Armor: comodo gia' lo conosco, cosi' sara' l'occasione per provarne un altro

[amvinfe]

effettua comunque una scansione completa del disco.

Ripulisci, infine, i file obsoleti o che comunque occupano inutilmente spazio utilizzando CCleaner. Ricordati, durante l'installazione, di NON accettare la toolbar di Yahoo.
Dopo averlo installato portati nella scheda Opzioni>Avanzate e togli la spunta da "cancella file in windows temp solo se più vecchi di 24 ore". Clicca su "Pulizia">Avvia Pulizia (in basso a dx)

ciao

edit
http://www.piriform.com/ccleaner/download