Zonealarm distrutto dopo virus

[andrew81]

Ciao a tutti, vi descrivo brevemente il mio problema.
Alcuni giorni fa, aprendo un file che NON dovevo aprire mi son beccato una lunga serie di malware e worms (smitfraud, spysheriff, backdoor vari...) che mi hanno devastato, tra le altre cose, il firewall ZoneAlarm.
Ora è tutto a posto, ho rimosso tutto dopo ore di tribolazioni, il sistema non ha più attività strane (internet, hd), antispyware ed antivirus non trovano niente e i log dei processi in esecuzione sembrano ok. Però, c'è un però, una traccia dei danni è rimasta, ovvero non riesco più a far partire zonealarm, ne tantomeno a disinstallarlo o reinstallarlo. Nel frattempo ho aggiornato XP al SP2 e con gli ultimi update e ho installato il firewall di sygate, che va, ma con ZA mi trovavo meglio e vorrei trovare il sistema di rimetterlo su senza dover formattare.

Nel dettaglio, i programmi di installazione e disinstallazione tentano di accedere a vsmon.exe ma non riescono ad aprirlo. Il programma non risulta però attivo, e il relativo servizio di windows (true vector internet monitor) non riesce a partire, e non si avvia nenache manualmente (error 1068: the dependancy service or group failed to start). Questo file inoltre non si riesce a cancellare in nessun modo, nè da modalità provvisoria, nè da hijackthis selezionando la cancellatura al successivo riavvio. Sono però riuscito a cancellarlo manualmente, insieme a tutti gli altri files nella directory ZoneAlarm sotto windows tramite un disco di avvio NTFS, ma al successivo tentativo di reinstallazione di ZA le cose non sono cambiate.

Qualcuno sa darmi una mano nel capire cosa sia successo al povero ZA?

Allego un log di HijackThis, magari mi è sfuggito qualcosa

Logfile of HijackThis v1.99.1
Scan saved at 21.22.50, on 18/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Rage3DTweak\RegTwk.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\rage3dtweak\gameutil.exe
C:\Program Files\GetRight\getright.exe
C:\Program Files\GetRight\getright.exe
C:\Program Files\EPSON\ESM2\eEBSVC.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\zz\spysheriff\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NXIECatcher Class - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RegTweak] C:\Program Files\Rage3DTweak\RegTwk.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: gameutil.exe.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Program Files\Offline Explorer Enterprise\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Program Files\Offline Explorer Enterprise\Add_AllO.htm
O8 - Extra context menu item: Download all by NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Download by NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...67/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6354D9D8-E9C3-4086-AC63-F354E09F2D96}: NameServer = 80.18.136.22,151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\EPSON\ESM2\eEBSVC.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

[monkey island]

Hai pulito il registro?Trova e cancella tutti i riferimenti al FW : Zone labs,zone alarm e tutto l'inerente.
Elimina o disattiva il servizio di ZA.
Controlla in C:\windows e system32 che non vi siano file del FW.
Per essere sicuro di cancellare quelli giiusti controlla sempre le proprietà del file.

[andrew81]

Quote:

Originariamente inviato da monkey island

Elimina o disattiva il servizio di ZA.

Ecco, come si fa a eliminare un servizio?

[monkey island]

Con Hijackthis vai nella sez. Misc Tool e metti il nome del servizio.

[fester40]

Ciao, questi 2 processi sono del FW Sygate; quasi certamente è questa la ragione dei tuoi problemi. Devi eliminare TUTTE le tracce del Sygate prima di installare ZA

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

[andrew81]

X fester40: ho installato il Sygate proprio perchè ZA era inutilizzabile. I problemi c'erano prima che mettessi il sygate.

X monkey island: ho eliminato il servizio, ho passato un'ora a cercare ogni file di zone alarm e ogni riferimento sel registro di sistema, eliminando tutto. Qualche prograsso c'è stato perchè sono riuscito ad installare ZA con *apparente* successo, perchè alla fine mi è comparsa una finestrella che diceva qualcosa tipo "non sono state apportate tutte le modifiche al sistema perchè non si dispone dei privilegi necessari", ma io sono l'unico utente del pc e ho i privilegi da amministratore. E infatti, al successivo riavvio, il servizio vsmon non è partito dando lo stesso errore (1068: the dependancy service or group failed to start) e ZA nn si disinstalla più come prima.

[jackal21]

Se vuoi un consiglio tieniti il sygate,e' migliore del zone alarm...io son passato dal zone al sygate e nn me ne son pentito,mi sembra + intuitivo e + completo.
ciao

[fabrixx2]

Quote:

Originariamente inviato da monkey island

Con Hijackthis vai nella sez. Misc Tool e metti il nome del servizio.

Mitici!!

Ora posso eliminare il Mcafee framework che tanti problemi mi dava!!

Mi pare che l'amico abbia fatto un bel tritello!!

La vedo male Con windows quando si entra in certi tunnel la cosa migliore è farsi un bel backup su cd delle cose da salvare, formattare e reinstallare.

Usando più accortezza con i file strani magari

[monkey island]

Quote:

Originariamente inviato da jackal21

Se vuoi un consiglio tieniti il sygate,e' migliore del zone alarm...io son passato dal zone al sygate e nn me ne son pentito,mi sembra + intuitivo e + completo.
ciao

Io uso Sygate Pro da anni e mi trovo molto bene..le rispettive versioni free di questi FW all'incirca si equivalgono ma ZA dopo molte ore diventa un divora risorse (la colpa è di vsmon.exe).

Di recente Sygate è stata acquisita da Symantec che ha dichiarato di non voler + supportare questo ottimo FW.

[monkey island]

Quote:

Originariamente inviato da andrew81

X fester40: ho installato il Sygate proprio perchè ZA era inutilizzabile. I problemi c'erano prima che mettessi il sygate.

X monkey island: ho eliminato il servizio, ho passato un'ora a cercare ogni file di zone alarm e ogni riferimento sel registro di sistema, eliminando tutto. Qualche prograsso c'è stato perchè sono riuscito ad installare ZA con *apparente* successo, perchè alla fine mi è comparsa una finestrella che diceva qualcosa tipo "non sono state apportate tutte le modifiche al sistema perchè non si dispone dei privilegi necessari", ma io sono l'unico utente del pc e ho i privilegi da amministratore. E infatti, al successivo riavvio, il servizio vsmon non è partito dando lo stesso errore (1068: the dependancy service or group failed to start) e ZA nn si disinstalla più come prima.

Controlla nuovamente i servizi,guarda che il servizio di ZA sia correttamente avviato e che le sue dipendenze sia anch'esse avviate.

[andrew81]

x jackal e monkey: è vero che ZA è un mangia risorse però col sygate non riesco a impostare delle regole personalizzate che invece riuscivo a mettere su ZA. E mi crea un bel problema perchè riguardano un sito internet che visito spesso

x monkey: infatti il servizio non parte... capire perchè non parta è cosa ardua... ora cerco un po' di info sulle dipendenze (AFD, RPC e vsdatant)

x fabrixx: infatti mi sa che alla fine farò così

Grazie a tutti ragazzi x l'aiuto, farò ancora qualche prova

[andrew81]

Salve a tutti, per la cronaca ho dovuto formattare
Non tanto per la questione di zonealarm, quanto piuttosto per il fatto che ho scoperto che il mio sistema non era del tutto pulito. Infatti mi ritrovavo sempre questi files sotto windows/system32:

vinm32.dll
vinm32.sys
vinm64.sys

identificati solo da alcuni antivirus (sophos, mcaffee) come un trojan di cui non ricordo il nome. Questi files dopo essere stati rimossi dal sistema, tornavano sistematicamente ad ogni riavvio di windows... allora per sicurezza ho fatto che formattare.

[Ciaba]

Quote:

Originariamente inviato da andrew81

Salve a tutti, per la cronaca ho dovuto formattare
Non tanto per la questione di zonealarm, quanto piuttosto per il fatto che ho scoperto che il mio sistema non era del tutto pulito. Infatti mi ritrovavo sempre questi files sotto windows/system32:

vinm32.dll
vinm32.sys
vinm64.sys

identificati solo da alcuni antivirus (sophos, mcaffee) come un trojan di cui non ricordo il nome. Questi files dopo essere stati rimossi dal sistema, tornavano sistematicamente ad ogni riavvio di windows... allora per sicurezza ho fatto che formattare.

...nn occorre sempre formattare, probabilmente se disabilitavi l'utilità di ripristino e andavi a pulire il sistema in modalità provvisoria risolvevi tutti i tuoi problemi.

[andrew81]

Quote:

Originariamente inviato da Ciaba

...nn occorre sempre formattare, probabilmente se disabilitavi l'utilità di ripristino e andavi a pulire il sistema in modalità provvisoria risolvevi tutti i tuoi problemi.

Fatto, e rifatto
Avevo disabilitato il ripristino, come consigliato nelle istruzioni per rimozione di virus e malware vari... ho usato delle utility di pulizia del registro e diversi antispyware (spybot, adaware, edwido) e infatti "quasi" tutto era normale... però con quei file che tornavano e zonealarm che non c'era verso di far funzionare, ho preferito non rischiare di tenermi un OS compromesso.

Da notare che quei tre file citati non comparivano nel registro...