Ciao a tutti!

Allora... diciamo che ho un problemino di infezione al pc. Volevo illustrarvi la situazione sperando mi possiate aiutare… aiuto!
Nella sezione dedicata ai log di Hijack ho postato il mio log e mi è stato detto di spuntare una serie di voci:
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programmi\Octoshape Streaming Services\Carriero\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [rsvp] C:\WINDOWS\System32\drivers\rsvp.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [Mstsc] C:\DOCUME~1\Carriero\DATIAP~1\mstsc.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Logman] C:\WINDOWS\System32\drivers\logman.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [Logman] C:\WINDOWS\System32\drivers\logman.exe /waitservice (User 'Default user')
O16 - tutte le voci

In seguito a ciò il mio log era:
http://wikisend.com/download/532600/hijackthis.txt

Inoltre ho controllato su Virustotal e Virscan queste voci:
C:\WINDOWS\System32\drivers\rsvp.exe
C:\DOCUME~1\Carriero\DATIAP~1\mstsc.exe
C:\WINDOWS\System32\drivers\logman.exe

E i risultati sono stati questi:
SCANSIONI SU VIRUS TOTAL:

1) C:\WINDOWS\System32\drivers\rsvp.exe
http://www.virustotal.com/it/analisi...20b2c61a6b35ab


2) C:\DOCUME~1\Carriero\DATIAP~1\mstsc.exe
http://www.virustotal.com/it/analisi...0d07d4871fb9f2


3) C:\WINDOWS\System32\drivers\logman.exe
http://www.virustotal.com/it/analisi...948407584760a6


SCANSIONI SU VIRSCAN:

1) C:\WINDOWS\System32\drivers\rsvp.exe
http://virscan.org/report/feee59daef...2c5b36f7a.html


2) C:\DOCUME~1\Carriero\DATIAP~1\mstsc.exe
http://virscan.org/report/feee59daef...2c5b36f7a.html


3) C:\WINDOWS\System32\drivers\logman.exe
http://virscan.org/report/feee59daef...2c5b36f7a.html

Dunque dopo ciò ho seguito la procedura per le infezioni e fatto tutti i controlli con i programmi della lista. Di seguito posto i risultati:

Malwarebytes Anti-Malware:
http://wikisend.com/download/527226/mbam-log-2008-11-09 (19-24-23).txt

(nota: come risultato ho cancellato degli elementi trovati ma non ho cancellato mstsc.exe poiché è nella cartella di sistema e avevo paura a metterci mano…)

A-Squared Free v3.x:
http://wikisend.com/download/548730/a2scan_081109-195257.txt

F-Secure OnLine:
http://wikisend.com/download/892274/scansione.txt

Dr.Web CureIT:
http://wikisend.com/download/230772/CureIt.log.txt

ESET SysInspector:
http://wikisend.com/download/106984/SysInspector-VALERIO-081110-1206.xml

HiJackThis:
http://wikisend.com/download/741326/hijackthis.log

Gmer:
Non sono riuscito a fare la scansione perché a un certo punto il processo si arrestava e chiudeva automaticamente Gmer. Se lo riaprivo e avviavo un’altra scansione mi riavviava automaticamente il pc…

PrevxCSI:
http://wikisend.com/download/548594/scansione.log


Potete aiutarmi? non so davvero dove mettere mano :(
Grazie per qualsiasi intervento!

i link su virustotal sono irraggiungibili

Fai controllare su www.virustotal.com e su http://virscan.org/
C:\Documents and Settings\Carriero\Dati applicazioni\mstsc.exe
C:\Documents and Settings\Carriero\Impostazioni locali\Temp\mstinit.exe
C:\Documents and Settings\Carriero\Dati applicazioni\Microsoft\mqtgsvc.exe


Una volta sui siti clicca su sfoglia -> cerca i file che ti ho segnalato -> conferma -> Clicca Invia o Upload e attendi l'esito.
Per mostrarci gli esiti, alla fine delle scansioni copia gli indirizzi di entrambe le pagine con i risultati e incollale nella discussione

Se il file dovesse essere nascosto o di sistema, Apri Risorse Computer -> Strumenti -> Opzioni Cartella... -> Visualizzazione -> Seleziona "Visualizza cartelle e file nascosti" -> scendi e togli la spunta a "Nascondi i file di sistema (consigliato)
Alla fine della verifica rimetti le impostazioni originali


con hjt
fixa
F3 - REG:win.ini: load=C:\DOCUME~1\Carriero\DATIAP~1\mstsc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\DOCUME~1\Carriero\IMPOST~1\Temp\mstinit.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [MqtgSVC] C:\DOCUME~1\Carriero\DATIAP~1\MICROS~1\mqtgsvc.exe /waitservice
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System\esentutl.exe /waitservice (User 'SYSTEM')

infatti per prevxCSI:

Last Scan: Mon 2008-11-10 12:28:07 ora solare Europa occidentale. Number of Scans: 1

[G<R00000088>] C:\WINDOWS\System32\Drivers\sptd.sys [PX5: BD6E5EC2F0328E87F1980A3577FE2A00CB8C0F3C]

[B] (ACTIVE) C:\Documents and Settings\Carriero\Dati applicazioni\mstsc.exe [PX5: B84797AB000A024550470122D73D75005C2B743B] Malware Group: Cloaked Malware

[B] C:\Documents and Settings\Carriero\Impostazioni locali\Temp\mstinit.exe [PX5: B84797AB000A024550470122D73D75005C2B743B] Malware Group: Cloaked Malware

[B] C:\Documents and Settings\Carriero\Dati applicazioni\Microsoft\mqtgsvc.exe [PX5: B84797AB000A024550470122D73D75005C2B743B] Malware Group: Cloaked Malware

Scusa per i link non funzionanti

Ecco le scansioni:

Scansioni con Virus Total:

1) C:\Documents and Settings\Carriero\Dati applicazioni\mstsc.exe

http://www.virustotal.com/it/analisis/360d2ea60604050de8e0abfd8fd6a701

2) C:\Documents and Settings\Carriero\Impostazioni locali\Temp\mstinit.exe

http://www.virustotal.com/it/analisis/6909546ddfce9d52b5ddeefc43261d36

3) C:\Documents and Settings\Carriero\Dati applicazioni\Microsoft\mqtgsvc.exe

http://www.virustotal.com/it/analisis/11ed8a74cfda90eee6c3b7d1c38d626f

Scansioni con VirScan:

1) C:\Documents and Settings\Carriero\Dati applicazioni\mstsc.exe

http://virscan.org/report/feee59daef95ccc00bdcd952c5b36f7a.html

Quelle degli altri due file con Virscan non me le fa perchè mi dice che la scansione è gia stata fatta e ripropone il risultato dell'ultimo link che ti ho dato.

Con Hijack ho fatto quel che mi hai detto e il log eseguito dopo è:
66779

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\Documents and Settings\Carriero\Dati applicazioni\mstsc.exe
C:\Documents and Settings\Carriero\Impostazioni locali\Temp\mstinit.exe
C:\Documents and Settings\Carriero\Dati applicazioni\Microsoft\mqtgsvc.exe

Ok, fatto,sembra andato a buon fine, ecco il risultato:

66780

con mbam prova a rifare lo scan completo

rifixa queste
F3 - REG:win.ini: load=C:\DOCUME~1\Carriero\DATIAP~1\mstsc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\DOCUME~1\Carriero\IMPOST~1\Temp\mstinit.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [MqtgSVC] C:\DOCUME~1\Carriero\DATIAP~1\MICROS~1\mqtgsvc.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [Esent Utl] C:\WINDOWS\System\esentutl.exe /waitservice (User 'SYSTEM')

Ok, ora lo avvio e tipo per domani sarà pronto.. hehe Come finisce ti faccio sapere. Grazie per l'AIUTO enorme che mi hai dato. Speriamo bene!
P.S.
Le voci che mi hai detto di fixare non ci sono nella lista di HIJACK....???

Ho fatto la scansione e questo è il log risultante... :
66781

Ho fatto la scansione e questo è il log risultante... :
66781

elimina tutto quello cheha trovato

con hjt fai un nuovo log, prima forse hai caricato quello vecchio

Appena eliminato quei due file che Malware aveva trovato.
Ho rifatto il log ma il risultato è sempre quello:
66782

prova a fixare da modalità provvisoria
poi da modalità normale produci un nuovo log di prevx

Ho avviato in modalità provvisoria ma sono riuscito a fixare solo:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Gli altri, come prima, non ci sono nella lista...

Ho fatto anche un log dopo aver fixato quelle due voci, non so se possa servirti...
66793

aspetto il log di prevx e poi uno di Sdfix (http://www.hwupgrade.it/forum/showpost.php?p=24113148&postcount=20)

Eccoli

PrevX http://www.fileqube.com/file/gEpcvYp147256

Sdfix http://www.fileqube.com/file/uViOigA147257

è dura la cosa?

ora segnala questi
C:\WINDOWS\System\esentutl.exe
C:\WINDOWS\sessmgr.exe
C:\WINDOWS\System\logman.exe

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

ora segnala questi
C:\WINDOWS\System\esentutl.exe
C:\WINDOWS\sessmgr.exe
C:\WINDOWS\System\logman.exe

carica un log di Combofix (http://www.hwupgrade.it/forum/showpost.php?p=24113140&postcount=19) (leggi bene le info)

Scusami, cosa intendi per segnalare?

Scusami, cosa intendi per segnalare?

solo che prevx segnala altro, se combo non risolve li facciamo fuori a mano, dopo la solita verifica sui 2 siti

guarda scusami, non avevo capito il senso di "segnala", pensavo fosse un imperativo. Solo rileggendo stamane i log ho capito cosa intendevi... hehe

Ecco il log di Combo
66813

fai controllare i files che ti ho segnalato prima su virustotal e virscan

Ecco i risultati:

Scansioni su Virus Total:

1) C:\WINDOWS\System\esentutl.exe
http://www.virustotal.com/it/analisis/a817f2f28fc4f5e51c1b84c0a0ef6720

2) C:\WINDOWS\sessmgr.exe
http://www.virustotal.com/it/analisis/61734572cfa463cda11f8edf8f3f9884

3) C:\WINDOWS\System\logman.exe
http://www.virustotal.com/it/analisis/345dbd2b98edb8d471047c28fde2a8d0

Scansioni su VirScan:

1) C:\WINDOWS\System\esentutl.exe
http://virscan.org/report/feee59daef95ccc00bdcd952c5b36f7a.html


Su VirScan c'è la solita questione che il secondo e terzo file non me li analizza perchè me li associa alla scansione del primo...

aspettiamo anche un parere di chill ma penso che vadano eliminati

ok, attendo. (a costo d'essere ripetitivo, Grazie!)

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\System\esentutl.exe
C:\WINDOWS\sessmgr.exe
C:\WINDOWS\System\logman.exe

Scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo → Clicca Ok → Copia e Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma → Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\System\esentutl.exe
C:\WINDOWS\sessmgr.exe
C:\WINDOWS\System\logman.exe


anche questo:

C:\Documents and Settings\Carriero\Dati applicazioni\sessmgr.exe

Ecco il log:

66827

Ecco il log:

66827

Ok, allega nuovo log di HJT e nuovo log di Prevx CSI ed aggiornaci sullo stato del PC

Eccovi i log di Hijack e Prevx:

Hijack: http://www.fileqube.com/file/oYxnEtK148144

Prevx: http://www.fileqube.com/file/iedYzlIz148145

Per aggiornarvi sullo stato del pc devo fare una scansione con Malwarebytes?

Eccovi i log di Hijack e Prevx:

Hijack: http://www.fileqube.com/file/oYxnEtK148144

Prevx: http://www.fileqube.com/file/iedYzlIz148145

Per aggiornarvi sullo stato del pc devo fare una scansione con Malwarebytes?

Ripetere la scansione con MBAM male non fà, dai log comunque non emerge nulla quindi volevo sapere se riscontri anomalie o problemi :)

In verità non avevo mai riscontrato anomalie nel computer fortunatamente, tutto normalissimo. E' iniziato tutto dal fatto che ogni tanto Avast trovava questo trojan nella cartella Temp di C: e visto che persisteva ho capito che non era una cosa temporanea.
Sono quasi commosso a pensare che il pc è pulito ora! :D
Farò una bella scansione per togliere i dubbi, ma non so come ringraziarvi per l'AIUTONE, non sarei mai riuscito da solo! GRAZIE!
Comunque come faccio la scansione vi faccio sapere...incrociamo le dita! :-)

In verità non avevo mai riscontrato anomalie nel computer fortunatamente, tutto normalissimo. E' iniziato tutto dal fatto che ogni tanto Avast trovava questo trojan nella cartella Temp di C: e visto che persisteva ho capito che non era una cosa temporanea.
Sono quasi commosso a pensare che il pc è pulito ora! :D
Farò una bella scansione per togliere i dubbi, ma non so come ringraziarvi per l'AIUTONE, non sarei mai riuscito da solo! GRAZIE!
Comunque come faccio la scansione vi faccio sapere...incrociamo le dita! :-)

Ok fai la scansione con Avast, comunicaci il risultato poi prendiamo in considerazione la sostituzione dell'AV :)

Appena fatta la scansione con Avast e non ha trovato nulla! Considerando che ha lasciato entrare di tutto non so quanto possa essere felice... hehe
Dunque come AV ho appunto Avast! e come firewall ho Sygate Personal Firewall. Secondo voi con cosa sarebbe oppurtuno cambiare?

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

Sto seguendo i vari punti della guida post infezione, grazie. Ho installato Avira e mi da un messaggio in cui si rileva questo file:
C:\WINDOWS\NIRCMD.exe
Contains recognition pattern of the APPL/NirCmd.E.2.B application

Gli ho fatto una scansione con VirusTotal e questo è il risultato:
http://www.virustotal.com/it/analisis/cf30f8c71b1ecf343188383584fa352b

Mi devo preoccupare?

rimuovi combofix come indicato nelle sue info, dovrebbe appartenere a lui quel file

grazie :)

di nulla ;)