Inesperto chiede aiuto

[Cicciosaur]

Il mio problema è che io ho seguito tutti i passaggi descritti nel topic guida: teniamo il pc pulito e il risultato è stato quello di scoprire delle cose molto strane... La mia scarsa cultura informatica mi impedisce di comprenderne il significato, però percepisco la possibile pericolosità della situazione, quindi AIUTO! Fino a qualche giorno fa avevo il solito norton 2005, solo che in seguito ai continui attacchi che se pur rilevati permettevano l'entrata nel mio pc di misteriosi trojan, ho deciso di pasare ad avast. . Ho installato il tutto e scansionato il sistema ed il nuovo antivirus ha trovato una serie di file che il norton non notava. Così come diceva il programma io li ho spostati e rinominati come .vyr per poi passare una scansione al riavvio che mi ha consentito di eliminarli tutti... Solo che adesso quando riavvio il sistema compare una finestra che mi dice impossibile trovare sto benedetto file nail.exe che faceva parte dei virus rilevati anche da norton e che guarda caso non si riusciva mai ad eliminare... Cmq questo è niente!!! Perchè il bello viene una volta installato e attivato sygate firewall pro. Il programma mi ha rilevato tuttta un insieme di processi appartenenti alla cartella system32 di dubbia origine che presumibilmente dovrebbero essere innocui file di windows e in effetti stanno in modalità ask al posto loro e non si connetto alla rete, ma io non mi spiego proprio a cosa posano servire. . La scoperta più temibile dal mio punto di vista, e magari mi sbaglio ed è tutta una roba normale, è la seguente. C'è sto file ndisuio.sys che mi effettua quasi più traffico di emule.exe!!! Il firewall me lo rileva come NDIS user mode I/O driver... ma che é?? Ed infine, cosa per me incomprensibile, quando mi sconnneto ed esco da emule il sygate continua a mostrarmi l'icona del mulo a intermittenza ed infatti pare che qualcosa continui ad entrare e uscire dal mio pc senza alcuna autorizzazione . Da profano ho provato ad indagare guardando il traffic log, facendo il backtrace di qualcuno di questi traffici ed anche a rintracciare le info sull' IP visto che il sygate lo consente, ma quello che ne è venuto fuori è per me paurosamente incomprensibile.

OrgName: Sprint
OrgID: SPRN
Address: 12502 Sunrise Valley Drive
City: Reston
StateProv: VA
PostalCode: 20196
Country: US

NetRange: 160.81.0.0 - 160.81.255.255
CIDR: 160.81.0.0/16
NetName: SPRN-BLKI
NetHandle: NET-160-81-0-0-1
Parent: NET-160-0-0-0-0
NetType: Direct Allocation
NameServer: NS1-AUTH.SPRINTLINK.NET
NameServer: NS2-AUTH.SPRINTLINK.NET
NameServer: NS3-AUTH.SPRINTLINK.NET
Comment:
RegDate: 1992-04-28
Updated: 2005-03-02

TechHandle: SPRINT-NOC-ARIN
TechName: Sprintlink (Sprint)
TechPhone: +1-800-232-6895
TechEmail: [email protected]

OrgTechHandle: ARINS-ARIN
OrgTechName: arin-sprint-iprequest
OrgTechPhone: +1-800-232-3458
OrgTechEmail: [email protected]

# ARIN WHOIS database, last updated 2005-07-12 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Qualche buon anima ci capisce qualcosa?

[bluepix]

Messa così, è difficile dare una risposta a tutto.
Però.....

1) Nail.exe è un trojan .. probabolmente viene richiamato da una entry nel registro di sistema. Per rimuoverla è necessario avere il report di Hijackthis.

2) ndisuio.sys è un processo regolare di Windows XP che si occupa dei collegamenti wireless. Se tu non ne hai puoi disabilitarlo agento sui servizi:
start-impostazioni-pannello di controllo-servizi di amministrazione-servizi
cerca la voce "Wireless Zero Configuration" testo destro e poi arresta
tasto destro-proprieta e metti il tipo di avvio in "Disabilitato".
Gli altri programmi che non conosci si possono individuare e controllare sempre dal report di Hijackthis.

3) Un'idea di cos'è la società Spring e di quello che fa lo trovi qui:
http://www2.sprint.com/mr/news_dtl.do?id=7020


ciao

[Ciaba]

http://www.merijn.org/files/hijackthis.zip

...scaricati questo programma...nn necessita di installazione...fai doppio clik sull'icona e poi scegli "Do a System Scan Only" fatto questo clicca su Save Log...lui creerà un file di testo...fai copia incolla del testo e postalo quà.

[Cicciosaur]

Grazie mille per il tuo interessamento! Ecco il log...

Logfile of HijackThis v1.99.1
Scan saved at 11.35.00, on 14/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\C6 Messenger\TinMessenger.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Ciccio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: RAID Manager.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A266D01D-82CB-4143-875B-3B6E05E7FB20}: NameServer = 193.70.192.25,193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

[andorra24]

Fixa:
C:\WINDOWS\ALCMTR.EXE
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.skymasters.biz
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

[Cicciosaur]

Io ho fixato tutto quello che mi hai detto tranne C:\WINDOWS\ALCMTR.EXE che nel log salvato itxt compare, ma in quelo del programma no...?... Ti dispiacerebbe però spiegarmi in breve che cosa ho fatto co sto fix? Grazie anche te .

[BravoGT83]

Quote:

Originariamente inviato da Cicciosaur

Io ho fixato tutto quello che mi hai detto tranne C:\WINDOWS\ALCMTR.EXE che nel log salvato itxt compare, ma in quelo del programma no...?... Ti dispiacerebbe però spiegarmi in breve che cosa ho fatto co sto fix? Grazie anche te .

ALCMTR.EXE is a process installed alongside RealTek AC97 audio hardware and provides a monitoring service. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems.

processi in esecuzione. (ALCMTR.EXE)
Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor ones actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers
Processo pericoloso! Premete Fix in HijackThis e provate a cancellarlo manualmente!

ecco cos'è spero che capisci l'inglese

cmq comincia a togliere i file missing che sono inutili e anche quelli con la voce 015

[3dsst]

Quote:

Originariamente inviato da BravoGT83

ALCMTR.EXE is a process installed alongside RealTek AC97 audio hardware and provides a monitoring service. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems.

processi in esecuzione. (ALCMTR.EXE)
Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor ones actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers
Processo pericoloso! Premete Fix in HijackThis e provate a cancellarlo manualmente!

ecco cos'è spero che capisci l'inglese

cmq comincia a togliere i file missing che sono inutili e anche quelli con la voce 015

è da un po che non ti si sentiva che fine avevi fatto

[BravoGT83]

Quote:

Originariamente inviato da 3dsst

è da un po che non ti si sentiva che fine avevi fatto

ho cambiato casa e solo settimana prox mi è arrivato l'adsl...

era oltre un mese non mi facevo vedere ma adesso son ritornato...

ciao 3dsst

[andorra24]

Quote:

Originariamente inviato da Cicciosaur

Io ho fixato tutto quello che mi hai detto tranne C:\WINDOWS\ALCMTR.EXE che nel log salvato itxt compare, ma in quelo del programma no...?... Ti dispiacerebbe però spiegarmi in breve che cosa ho fatto co sto fix? Grazie anche te .

Nel log c'erano alcune voci che si riferivano a spyware (ALCMTR.EXE) o trojan ( Nail.exe,svcproc.exe ). Poi c'erano dei siti inseriti in ''trusted zone'' che e' preferibile eliminare e inoltre c'erano alcune voci di file missing che e' inutile portarsi appresso. Tutto qui.

[Cicciosaur]

Annamobbene! Ma facendo il fix con HijackThis tutti sti processi vengono rimossi per sempre dal mio pc? Vero? Cmq adesso che ho seguito i vostri consigli in effetti il log del firewall mi rileva solo il traffico di emule il che è OK. E' normale, però, che facendo il backtrace -> whois delle cose che passano attravarso il mulo trovo sempre qualcosa riferito a compagnie come quella sprint di prima? Sono per caso i provider o qualcosa del genere della gente da cui scarico?

[BravoGT83]

Quote:

Originariamente inviato da Cicciosaur

Annamobbene! Ma facendo il fix con HijackThis tutti sti processi vengono rimossi per sempre dal mio pc? Vero? Cmq adesso che ho seguito i vostri consigli in effetti il log del firewall mi rileva solo il traffico di emule il che è OK. E' normale, però, che facendo il backtrace -> whois delle cose che passano attravarso il mulo trovo sempre qualcosa riferito a compagnie come quella sprint di prima? Sono per caso i provider o qualcosa del genere della gente da cui scarico?

prima di fare il fix

disabilita il ripristino di sistema...

poi fai il fix

reboot del pc

e poi rifai il log se non ce traccia di loro allora puoi abilitare il ripristino

[3dsst]

Quote:

Originariamente inviato da BravoGT83

ho cambiato casa e solo settimana prox mi è arrivato l'adsl...

era oltre un mese non mi facevo vedere ma adesso son ritornato...

ciao 3dsst

[Cicciosaur]

Cos'è il ripristino di sistema? (Sto a zero lo so) Come faccio a disabilitarlo?

[BravoGT83]

Quote:

Originariamente inviato da Cicciosaur

Cos'è il ripristino di sistema? (Sto a zero lo so) Come faccio a disabilitarlo?

vai su Start-> tutti i programmi ->accessori-utilità di sistema e lo trovi

vai sulle impostazioni e lo disabiliti

[Cicciosaur]

Fatto tutto ecco il log attuale

Logfile of HijackThis v1.99.1
Scan saved at 14.02.45, on 14/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Ciccio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: RAID Manager.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A266D01D-82CB-4143-875B-3B6E05E7FB20}: NameServer = 193.70.192.25,193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

quell'ultima voce di file missing non riesco ad eliminarla. Ho ripetuto il fix un sacco di volte ma non va via... vabè...
Adesso vorrei sapere se sti benedetti aggiornamenti automatici di windows me li devo scaricare e installare per forza visto che mi breakano le balls fisso...

[andorra24]

Devi scaricarti ed installarti tutti i windows update. Il sistema operativo deve sempre essere aggiornato altrimenti i pericoli aumentano notevolmente.
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) Questa voce hai provato a fixarla dalla modalita' provvisoria?

[bluepix]

Ciao Bravo

[Cicciosaur]

Ok scaricati e installati pure quelli... Come faccio a fare la scansione con HijackThis in modalità provvisoria?

[bluepix]

Fai partire la macchina schiacciando ripetutamente il tasto F8 .
Poi, dal menu che ti si apre, scegli modalità provvisoria (oppure safe mode).
Hijackthis lo lanci come in modalità normale.