Eraser aiutoooo!! Aiutatemiii!

[Rick67]

Ho gia postato un msg simile precedentemente ma non ho ancora risolto niente per cui lo invio più completo di info richiestemi:
Da quasi un mese ho beccato un file maledettissimo ... credo crittografato, che si è installato nella cartella c:\programmi (credo crittografato perchè c0on la scritta in verde). Attualmente il file è nominato TPiFnk.txt.exe ma cambia nome in continuazione. La ricerca con avast lo rileva ma non riesce ad attaccarlo, è impossibile cancellarlo e, se si prova a toccarlo con qualche antivirus o antispyware cambi nome non consentendo di cancellarlo. A tutt'oggi, nonostante molti tentativi non sono riuscito a cancellarlo in alcun modo (neanche provvisoriamente). Nel task manager di winxp non lo ritrovo in esecuzione ma se provo con il classico canc mi dice che è in esecuzione e quindi non cancellabile. Unico indizio fino ad oggi un avviso, ogni volta che avvio il pc che mi dice tramite VirIT Lite di aver rilevato una modifica nel registro dei programmi in esecuzione automatica indicando come programma c:\windows\system32\aux.xns (il nome del progr. in questo caso è sempre lo stesso). La ricerca di quel file sul pc, però, da comunque e sempre esito negativo.
Uno degli effetti di questo maledetto, oltre al rallentamento del pc, credo sia l'apertura di una finestra (che per ora ho notato in coincidenza di ricerche effettuatr senza risultato su google). In allegato foto della finestra che si apre.
In messaggi successivi posterò il log il log di hijackthis e le altre finestre di allarme.
Vi ringrazio se saprete essermi utili.
PS. Non so se può dipendere da quel maledettissimo ma da quando si è installato sul pc ogni volta che lo accendo e cerco di collegarmi al web il router inizia a dare i numeri e perde la connessione (e la linea cui è connesso è una linea adsl ad IP fisso).

[Rick67]

questo è il log di hijackthis:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programmi\ClocX\ClocX.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rundll32.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Rick\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {56C70F55-A745-0916-7EF7-0FD0F2B1261B} - C:\WINDOWS\isihl1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programmi\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [ClocX] C:\Programmi\ClocX\ClocX.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: www.linkautomatici.com
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/IT/install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096893011906
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://atlantide.virgilio.it/c6/down...derActiveX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74FF6948-7DFD-4F1A-A0DB-9A32542B0F92}: NameServer = 195.110.128.1,212.48.4.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{74FF6948-7DFD-4F1A-A0DB-9A32542B0F92}: NameServer = 195.110.128.1,212.48.4.11
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LogRpc - Unknown owner - C:\Programmi\TPiFnK.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

[Rick67]

questa la finestra di allarme VirIT Lite

[Rick67]

e, infine, questo il maledetto!!!!

[Karmian]

Mmm... per caso passavo di qui e ho visto il 3d.

Non so nulla di questo tipo di cose, ma posso dirti di provare l'utility GiPo@MoveOnBoot, che cancella i file prima di caricare windows. Magari funziona...
Trovi info QUI in "file utilities".

Ciao

[Rick67]

niente da fare ... non lo vede nemmeno ...

[Karmian]

Quote:

Originariamente inviato da Rick67

niente da fare ... non lo vede nemmeno ...

Peccato...

[Rick67]

Dillo a me!!
Con il msconfig non trovo niente riconducibile al file, con hijackthis non si riesce a toccarlo (neanche impostando il progr. in modo che lo distrugga al primo riavvio), con GiPo@MoveOnBoot stessissimo risultato (non lo tocca nemmeno).
Ma per di più, quel maledettissimo file aux.xns (ammesso che sia riconducibile allo stesso file) e che comunque viene segnalato in avvio di winxp da VirIt Lite non si riesce a trovare da nessuna parte ne, tantomeno, nella cartella system32 in cui è segnalato.
Ma sarà mai possibile che debba essere costretto a formattare tutto per un maledettissimo file delle dimensioni di 92,0 Kb??

[eraser]

Allora, prima di tutto fai questo:

scarica da www.gmer.net il programma GMER e fai una scansione rootkit, vedi cosa ti dice - se trova dei files HIDDEN (nascosti)

poi a poco a poco andiamo avanti

[Rick67]

Fatto ...
si, gmer trova un file "hidden" ... la stringa che lo identifica è questa:

Library C:\WINDOWS\isihl1.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1848] 0x02370000

che devo fare adesso!!

[eraser]

ok, ora fai sta prova (sto cercando strade alternative a quella diretta)

scarica https://europe.f-secure.com/blacklight/ blacklight e vedi se vede questo rootkit.

In caso, se lo vede, alla fine fai "rinomina" il file e riavvia.

[Rick67]

Messaggio di FSecure:
F-Secure Blacklite could not acquire necessary privilege - a malicious program might have disabled these privileges

Rispondo subito alle tue eventuali domande:
- sono loggato sul pc come administrator;
- altri antivirus sono disabilitati;
- ho provato a resettare il pc dopo aver scaricato il file ...

quindi????

[eraser]

Apri il task manager (CTRL+ALT+CANC);

termina il processo EXPLORER.EXE (scomparirá il desktop, nessun problema);

termina inoltre tutti i processi dei programmi attivi che conosci (lascia sempre il task manager aperto);

ora dal task manager clicca su FILE - NUOVA OPERAZIONE - scrivi "CMD" (senza le "") e vai su esegui;

dal dos muoviti nella directory di windows (segui i comandi qua sotto)

cd \
cd windows
dir isih*.dll (qui vedi se ti vede la dll, se la vede passa al punto successivo)
ren isihl1.dll isihl1.vir
explorer

[Rick67]

niente da fare .... file non trovato

[eraser]

scusa la domanda stupida, ma in modalitá provvisoria te la vede quella dll?

[eraser]

ok, fai cosí:

Lancia GMER e vai alla voce AutoStart

Clicca su Scan

Cerca la voce

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs

e vedi se c'é e se é associata a qualche file

fammi sapere

[Rick67]

niente da fare ... in modalità provvisoria non lo vede ...

gmer su autostart trova questa stringa:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ >>>
Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,
Windows@AppInit_DLLs = \\?\C:\WINDOWS\System32\aux.xns

[Rick67]

quel cacchio di aux.xns è quello che mi rileva all'avvio di winxp ma che non riesco a trovare da nessuna parte.

Pensi che prima o poi riuscirò a debellare questo maledetto????

[Rick67]

comunque, non so se può servire, GMER su "process" segnala in rosso
c:\programmi\InternetExplorer\iexplore.exe PID 3324, memory 2264, Threads 17, Handles 504, User Time 10.156 (variabile variabile), kernel time 19.046 (valore variabile)

[eraser]

si, quella è la parte rootkit che nasconde la dll, che è un adware LinkOptimizer.


Scarica il programma Killbox e, dalla schermata principale



Scrivi sulla path:

"C:\WINDOWS\System32\aux.xns" (Senza gli "", puoi anche fare copia incolla da questa stringa)

Poi clicca su "delete on reboot", clicca su Single File e poi sulla croce rossa X a fianco del nome del file.

Al riavvio parti in modalità provvisoria e vedi se riesci a vedere questa famosa dll