PDA

View Full Version : Non sono sicura di aver risolto tutto dopo infezione di coolwebsearch


medea1000
20-05-2008, 16:29
Buongiorno a tutti!
Ieri, aprendo un file che ho scaricato dopo averlo scansionato (ma nod32 non mi ha trovato nulla) ho preso coolwebsearch più vari altri virus e una quantità di spyware inimmaginabile.
Dopo aver seguito le indicazioni del forum, credo di aver risolto la maggior parte dei problemi ma ci sono delle voci nel log di hijack che non mi convincono.
Ve lo posto così magari mi sapete dire.
Mi date una mano per favore?
Sono un pò preoccupata.

xcdegasp
20-05-2008, 16:41
segui la semplice procedura descritta nella Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737), rispettando l'ordine nell'esecuzione e pubblicando tutti i log usando uno dei metodi censiti nelle Regole di Sezione. :)

medea1000
20-05-2008, 16:44
si scusa, non ho specificato che ho effettuato la disinfezione così come è consigliato qui sul forum.
Ho risolto praticamente tutti i problemi tanto che spybot adaware e antivir non mi trovano più niente.
Il fatto è che, facendo analizzare il log da un sito mi sono resa conto che ci sono forse ancora delle voci sospette.

medea1000
20-05-2008, 16:48
ah, dimenticavo, il log è allegato come file txt.
Grazie di tutto.
In particolare, la voce di cui non sono sicura, è:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\xwusuhzh.exe,

wjmat
20-05-2008, 17:12
è sicuramente da fixare, ma se tu ci allegassi i log potremmo capire qualche cosa in più... ;)

medea1000
20-05-2008, 17:15
:D
Ma il log è sopra!
nel mio primo post!
allegato come file txt, pensavo che andasse bene!
Comunque ve lo allego in altro modo:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.14.51, on 20/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pricipale\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\xwusuhzh.exe,
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207083636823
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21B20EA9-E539-491D-B49E-81F42F62F664}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 5399 bytes

wjmat
20-05-2008, 17:18
i log non il log di hjt ;) sarà anche un buon programmino ma non fa miracoli.... dal log si vede solo la voce F2 ma quello potrebbe essere il sintomo di altre infezioni.... che noi non sapremo mai se hai debellato completamente...

medea1000
20-05-2008, 17:22
..mi sa che mi sono persa...i log sarebbero i risultati delle scansioni con l'antivirus?
Se si posto l'ultima con antivir.
Pe ril resto grazie al cielo spybot ed adaware non trovano più niente.
Scusate l'ignoranza!

medea1000
20-05-2008, 17:28
ecco quello di antivir.
Dopo aver fatto la scansione di cui vi riporto sotto il log ne ho fatta un'altra e non ha trovato più niente.

medea1000
20-05-2008, 17:30
Avira AntiVir Personal
Report file date: martedì 20 maggio 2008 13:57

Scanning for 1280998 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: LENZIARDI

Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.4.53 1848832 Bytes 17/05/2008 11:55:45
ANTIVIR3.VDF : 7.0.4.68 75776 Bytes 20/05/2008 11:55:46
Engineversion : 8.1.0.46
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.33 266618 Bytes 20/05/2008 11:56:00
AESCN.DLL : 8.1.0.18 119156 Bytes 20/05/2008 11:55:58
AERDL.DLL : 8.1.0.20 418165 Bytes 20/05/2008 11:55:57
AEPACK.DLL : 8.1.1.5 364918 Bytes 20/05/2008 11:55:56
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 20/05/2008 11:55:54
AEHEUR.DLL : 8.1.0.29 1253750 Bytes 20/05/2008 11:55:53
AEHELP.DLL : 8.1.0.14 115063 Bytes 20/05/2008 11:55:49
AEGEN.DLL : 8.1.0.21 303477 Bytes 20/05/2008 11:55:49
AEEMU.DLL : 8.1.0.6 430451 Bytes 20/05/2008 11:55:48
AECORE.DLL : 8.1.0.29 168311 Bytes 20/05/2008 11:55:47
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programmi\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: martedì 20 maggio 2008 13:57

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'CDAC11BA.EXE' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'RaUI.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'Smc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
29 processes with 29 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '37' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffIedll.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bd51.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffIedll1.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bd5d.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffIedll2.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bd65.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffIedll3.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[WARNING] An error has occurred and the file was not deleted. ErrorID: 26004
[WARNING]
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffIedll4.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bdd5.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchAffIedll5.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bdda.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchBootconf.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bde0.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchBootconf1.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bde4.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchBootconf2.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bde8.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchSmartSearch.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bdee.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchSmartSearch1.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bdf4.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchSmartSearch2.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49dfcfa5.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchSvcinit.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bdf5.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchSvcinit1.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49dfcfa6.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\CoolWWWSearchSvcinit2.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '48a1bdf7.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdf4.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC10.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdf5.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC11.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfa6.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC12.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdf7.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC19.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdf6.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC20.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfa7.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC22.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdf8.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC23.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfa8.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC24.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdf9.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC27.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfaa.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC29.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfa9.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC3.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdfa.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC30.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfab.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC31.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdfb.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC32.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfac.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC39.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdfd.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC4.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdfc.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC40.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfad.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC42.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdfe.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC43.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfae.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC44.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbdff.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC45.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cc50.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC47.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbe01.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC48.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfaf.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC49.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbde0.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC5.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfb1.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC50.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cc52.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC6.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbe03.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC8.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cc54.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudC9.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbde2.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudCgeneric.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cfb3.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudCgeneric1.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbde4.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudCgeneric2.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbe05.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cc56.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudCgp1.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '489bbe07.qua'!
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\SmitfraudCgp2.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The fund was classified as suspicious.
[NOTE] The file was moved to '49e5cc58.qua'!
C:\Programmi\Softwin\BitDefender8\Quarantine\xwusuhzh.exe
[DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen
[NOTE] The file was deleted!
C:\WINDOWS\system32\jkkHxUMG.dll
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[NOTE] The file was deleted!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!

wjmat
20-05-2008, 17:30
Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili e cancellato gli asd con ADS Scanner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di A-squared scansione deep aggiornato ad oggi
log di F-Secure OnLine oppure di Kaspersky Virus Removal Tool scaricato oggi
log di Dr.Web CureIT scaricato oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI


spybot e ad-aware non trovano, non perchè tu sia pulita, ma perchè sono abbastanza limitati... ;)

medea1000
20-05-2008, 17:31
provvedo!
Grazie!

medea1000
20-05-2008, 18:59
posto il log di a-squared intanto.
Se devo mandarli tutti insieme una volta effettuate tutte le scansioni fatemelo sapere.
Altrimenti mando man mano che le faccio.
Grazie di nuovo a tutti!

wjmat
20-05-2008, 19:11
mandali tutti insieme nel prossimo post o riedita il precendente

xcdegasp
20-05-2008, 21:38
non non è necessario modificare quel messaggio, raggruppa tutti i log in un unico messaggio :)

medea1000
20-05-2008, 23:07
Dovrei essere quasi alla fine del lavoro però ho alcuni problemi:
1 non so come salvare il log di cureit, alla fine della scansione non vedo questa possibilità
2 devo mandare anche i log dei programmi che non hanno torvato infezioni?
3 il log di kasperscy è un file di testo di 86 MEGA non riesco a capire perchè, mi è impossibile mandarlo credo (comunque non ha trovato niente)
4e' normale che per il deep scan kaspersky abbia impiegato tre ore e venti minuti?
Considerata l'ora e il fatto che non ho ancora finito, vi posto tutto domani.
Grazie a tutti in anticipo e buonanotte!

medea1000
21-05-2008, 00:38
Dovrei essere quasi alla fine del lavoro però ho alcuni problemi:
1 non so come salvare il log di cureit, alla fine della scansione non vedo questa possibilità
2 devo mandare anche i log dei programmi che non hanno torvato infezioni?
3 il log di kasperscy è un file di testo di 86 MEGA non riesco a capire perchè, mi è impossibile mandarlo credo (comunque non ha trovato niente)
4e' normale che per il deep scan kaspersky abbia impiegato tre ore e venti minuti?
Considerata l'ora e il fatto che non ho ancora finito, vi posto tutto domani.
Grazie a tutti in anticipo e buonanotte!

5 come faccio a salvare il log di prevxcsi?
Grazie!

wjmat
21-05-2008, 07:41
1 Fai start -> esegui digita %USERPROFILE%\DoctorWeb (invio) il log lo trovi li
2 si
3 lo apri e copi solo la parte dei rilevamenti che ci interessa
4 si
5 A fine scansione -> click dx sull'icona di prevx a fianco dell'ora -> View the result of your last scan online -> Una volta aperto il tuo browser predefinito copia tutta la riga dell'indirizzo ed incollalo nella discussione

Angelus88
21-05-2008, 08:05
A nessuno di voi è venuto in mente che forse l'Userinit della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon va editato manualmente togliendo la parte C:\WINDOWS\system32\xwusuhzh.exe ed eliminando quindi il relativo file?

Consiglio pure di controllare Shell che deve essere solo explorer.exe e consiglio di controllare che nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options non ci sia Explorer.exe e in caso affermativo, eliminarla

wjmat
21-05-2008, 08:18
per il momento è l'unica infezione che abbiamo visto, a parte qualcosa nell'unica scansione fatta ossia quella di a-squared, stavamo solo aspettando i log, anche se effettivamente era meglio segarlo subito ;)

Angelus88
21-05-2008, 08:20
Eh già appunto...

xcdegasp
21-05-2008, 10:15
io preferiscvo avere prima tutti i log per procedere con qualcosa :)

medea1000
21-05-2008, 10:17
Allora, ieri sera ho finito tutto.
stamani non sono a casa
oggi, nel pomeriggio poterò tutto e attenderò istruzioni!
Siete gentilissimi!
Grazie!

medea1000
21-05-2008, 10:19
poSterò tutto.....:D

medea1000
21-05-2008, 16:15
eccoli:
http://wikisend.com/download/563348/log di asquared.txt

kaspersky.txt (http://wikisend.com/download/563384/kaspersky.txt)

http://wikisend.com/download/563382/DrWeb.csv

SysInspector.txt (http://wikisend.com/download/523914/SysInspector.txt)


http://wikisend.com/download/523904/hijackthis.log

http://wikisend.com/download/563558/gmer.log
manca quello di prevxcsi perchè non riesco proprio a metterlo non mi compare nessuna icona accanto alla barra dell'ora quando faccio la scansione!

medea1000
21-05-2008, 16:21
fatto eccolo:

http://csia0.prevx.com/individualcsiresultsplus.asp?ano=21877264&LICVERIFIER=29B8DACD-B149-4224-A3D7-BDBE174B479D&Opt=C&AGENTPROFILE=CSIPLUS&CMD=LSR

wjmat
21-05-2008, 16:32
Fai Start -> Esegui -> digita regedit (invio)

naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Nel pannello di destra doppio click su Userinit ed elimini C:\WINDOWS\system32\xwusuhzh.exe, (invio)

Deve rimanere così (virgola compresa) C:\WINDOWS\system32\userinit.exe,

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo -> Clicca Ok -> Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato insieme ad un nuovo log di HJT.

Files to delete:
C:\WINDOWS\system32\xwusuhzh.exe


Dei file trovati da prevx dovremmo sapere la posizione, o li cerchi manualmente e ce la comunichi o rifai la scansione e alla fine, alla schermata con l'esito, allarga bene le colonne in modo che si veda la posizione e fai lo foto allo schermo con il tasto stamp, apri paint incolli l'immagine, salvi in jpg e carichi su http://fileqube.com

Per Eset devi salvarlo in xlm

medea1000
21-05-2008, 16:41
mi potresti dire che cosa era per curiosità?
grazie!
Voerrei sapere che cosa mi ha infettata!!:D

wjmat
21-05-2008, 16:43
Prima di rifare hijackthis, eset e prevx facciamo girare combofix.

Disattiva eventuali protezioni in realtime di antivirus, antispyware, firewall.
Scarica da qui (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) Combofix
Scollegati da internet -> Chiudi ogni altra finestra o programma
Lancialo -> Aspetta che appaia una finestra in cui ti chieda di digitare 1 per continuare -> Digita 1 -> Attendi la scansione evitando di fare qualsiasi altra operazione -> Dai conferma nel caso ti chieda di rimuovere alcuni driver -> Attendi pazientemente senza toccare nulla -> Al termine verrà mostrato il log che si trova in C:\ComboFix.txt. -> Caricalo secondo le modalità

xcdegasp
21-05-2008, 17:01
eccoli:
http://wikisend.com/download/563348/log di asquared.txt

kaspersky.txt (http://wikisend.com/download/563384/kaspersky.txt)

http://wikisend.com/download/563382/DrWeb.csv

SysInspector.txt (http://wikisend.com/download/523914/SysInspector.txt)


http://wikisend.com/download/523904/hijackthis.log

http://wikisend.com/download/563558/gmer.log
manca quello di prevxcsi perchè non riesco proprio a metterlo non mi compare nessuna icona accanto alla barra dell'ora quando faccio la scansione!

rifai correttamente il log di sysinspector perchè non hai seguito la corretta procedura ;)


riesegui hijackthis optando per la funzione "Scan Only", a fine scansione il pulsante in fondo a

sinistra si chiamerà "Fix Checked", quindi selezionare le voci desiderate e premere questo tasto.

Fixa:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\xwusuhzh.exe,
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207083636823
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab



@ wjmat:
l'ho già detto un numero sufficente di volte di evitare Combofix quante volte devo ripeterlo?

medea1000
21-05-2008, 17:01
ecco il log:

wjmat
21-05-2008, 17:13
sinceramente non ho ancora capito perchè lo sconsigli sempre.... anche stavolta ha rimosso qualcosa che non si era trovato prima e mostra anche le posizioni della maggior parte dei file trovati da prevx.
a proposito per prevx non è meglio far fare subito la foto allo schermo invece che avere tutte le volte solo i nomi dei files e non le posizioni?

medea1000
21-05-2008, 17:15
ok ok ok non litigate!:D
Tanto ormai combofix l'ho fatto girare.
ora che faccio?
Vorrei venire a capo della questione sinceramente!
Vi seguo alla lettera!:)

xcdegasp
21-05-2008, 17:16
sinceramente non ho ancora capito perchè lo sconsigli sempre.... anche stavolta ha rimosso qualcosa che non si era trovato prima e mostra anche le posizioni della maggior parte dei file trovati da prevx.
a proposito per prevx non è meglio far fare subito la foto allo schermo invece che avere tutte le volte solo i nomi dei files e non le posizioni?

non si trovava prima perchè non si è analizzato il log di sysinspector :)
comunque mi devi ancora togliere una curiosità in un altro thread...

xcdegasp
21-05-2008, 17:17
ok ok ok non litigate!:D
Tanto ormai combofix l'ho fatto girare.
ora che faccio?
Vorrei venire a capo della questione sinceramente!
Vi seguo alla lettera!:)

puoi per cortesia rifare il log di sysinspector? grazie :p

medea1000
21-05-2008, 17:22
eccolo:

http://wikisend.com/download/563082/log sys.xml

wjmat
21-05-2008, 17:59
Dei file trovati da prevx dovremmo sapere la posizione, o li cerchi manualmente e ce la comunichi o rifai la scansione e alla fine, alla schermata con l'esito, allarga bene le colonne in modo che si veda la posizione e fai lo foto allo schermo con il tasto stamp, apri paint incolli l'immagine, salvi in jpg e carichi su http://fileqube.com

poi anche nuovo log di HijackThis

medea1000
21-05-2008, 18:15
http://www.fileqube.com/shared/KJelMslV29677

http://www.fileqube.com/shared/mipXKItAw29681

http://www.fileqube.com/shared/ChbiBJGeM29683


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.14.43, on 21/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\RALINK\Common\RaUI.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Pricipale\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programmi\RALINK\Common\RaUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207083636823
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21B20EA9-E539-491D-B49E-81F42F62F664}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 5585 bytes]

medea1000
21-05-2008, 18:18
ho sbagliato: di prevx ne ho messi due uguali ( i primi due sono identici)

qusto è l'altro:
http://www.fileqube.com/shared/NCilyuu29689

La collocazione è dentro la cartella di windows, so che le immagini si vedono male.
Basta che mi diciate come devo fare e tolgo tutto manualmente!
Grazie!
P.s
Alla fine della procedura, mi potreste spiegare che cosa era successo perfavore? mi scoccia essere così inconsapevole ed ignorante!
comunque grazie di tutto!

xcdegasp
21-05-2008, 18:25
eccolo:

http://wikisend.com/download/563082/log sys.xml

apri il file c:\windows\win.ini ed elimina le ultime righe, per la precisione:

Intsall=...
Install2=...
Device2=...

mi faresti anche un log con FindAWF (http://noahdfear.geekstogo.com/FindAWF.exe) tanto da togliermi i cattivi pensieri? grazie :)

medea1000
21-05-2008, 18:29
fatto.
Ora sono pulita??

xcdegasp
21-05-2008, 18:31
fatto.
Ora sono pulita??

fammi un log con http://noahdfear.geekstogo.com/FindAWF.exe :)

medea1000
21-05-2008, 18:33
eccolo:

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

medea1000
21-05-2008, 18:34
quest'ultima cosa che mi hai fatto fare non la capisco proprio, spero di aver fatto giusto...:D
Tutti i file individuati da prevx li ho eliminati amano.
Ora non trova più niente.
A questo punto sono pulita?
Vuoi di nuovo il log di hijackthis?

xcdegasp
21-05-2008, 18:41
rifai un log di prevx, a-squared e hijackthis :)

medea1000
21-05-2008, 18:46
ok.
Va bene, forse non avete capito.
Ho appena rifatto prevx e non ha trovato nulla.
Io vi ringrazio tanto dell'aiuto ma così mi fate sentire un'imbecille.
Perfavore, prima di farmi fare qualsiasi cosa, potete dirmi COSA stiamo facendo e se avete ancora dei dubbi su possibili infezioni?
Giuro che non voglio essere polemica, sul serio, siete gentilissimi e velocissimi e mi avete aiutato tanto, però vi chiedo per favore di essere più chiari.
Grazie a tutti di nuovo!

medea1000
21-05-2008, 18:50
ecco il log di hijackthis.

wjmat
21-05-2008, 19:25
il log è pulito
Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
Io ad-aware lo toglierei

medea1000
21-05-2008, 19:28
ok grazie!ma perchè toglieresti adaware?
Di solito trova tutto quello che non trova spybot e viceversa!

wjmat
21-05-2008, 19:37
è stato uno dei primi ad uscire come anti spyware ma di questi tempi ha perso moltissimo, noi consigliamo a-squared, poi tieni pure spybot che ha un minimo di protezione in tempo reale

xcdegasp
22-05-2008, 09:39
ok grazie!ma perchè toglieresti adaware?
Di solito trova tutto quello che non trova spybot e viceversa!

volevo solo precisare che di programmi che richiedono l'installazione ci sono solo PrevxCSI, a-squared (se non si prende la versione per chiavetta usb), kaspersky tool questo solo per chirirti le idee :)
quello che abbiamo fatto è stato correggere un file di configurazione del tuo pc affinchè ad ogni avvio non scaricasse malware e cancellare l'artefice dell'infezione.
i file che hai cancellato manualmente erano probabilmente avviati dal primo perchè in nessun modo venivano usato dal tuo windows infatti il registro di sistema era pulito :)

sysinspector è uno di quei tool che mostrano infatti molte sfumature del tuo pc cosa che tutti gli altri programmi pronti all'uso non riescono a fare. l'approccio usato è stato del tipo a cipolla, si è lavorato a strati con tool specifici prima per togliere la buccie esterne e le parti bruttine, per poi tagliare e sminuzzare..

buona vita :)

medea1000
22-05-2008, 10:08
quello che abbiamo fatto è stato correggere un file di configurazione del tuo pc affinchè ad ogni avvio non scaricasse malware e cancellare l'artefice dell'infezione.


buona vita :)
Chi era il maledetto??????:mad:

Ti spiego: il fatto è che queste cose mi piacciono, mi divertono anche in un certo senso quindi volevo non solo risolvere il problema, ma anche capire!
Qual'era il file colpevole di tutto?
E che genere di malware è?
Grazie ancora!

wjmat
22-05-2008, 10:25
l'approccio usato è stato del tipo a cipolla, si è lavorato a strati con tool specifici prima per togliere la buccie esterne e le parti bruttine, per poi tagliare e sminuzzare..
mi fai piangere dal ridere:D :D :D :D
ma siamo in un pronto soccorso o dalla clerici alla prova del cuoco??? :D :D :D :D

a me spieghi che roba erano quelle voci del file win.ini

xcdegasp
22-05-2008, 10:42
pensavo di farti piangere al pensiero della cipolla tagliata :D
tzè Clerici.. si vede che non hai il satellite :O
:Prrr:

wjmat
22-05-2008, 12:07
il piangere era più per la cipolla... ;)
quel file win.ini??

xcdegasp
22-05-2008, 16:37
non credo sia più oggetto di interesse :)