Sono bloccato, Chittychat maledetto.

[Special]

All'inizio non ero sicuro di essere infetto, posto quì visto che adesso la sezione corretta è questa, quoto gli altri post significativi quì sotto:

Quote:

Originariamente inviato da Special

Xp sp2
Avast sempre aggiornato.

Torno al pc e trovo questa finestra quì sopra di chittychat aperta..
Ma che roba è?

Su internet non trovo niente, solo un riferimento da parte di Symantec ma credo sia fuorviante...

Quote:

Originariamente inviato da Special

Ho trovato qualcosa, tra l'altro il processo di avast è stato terminato, credo sia un worm, e che l'info di symantec non fosse poi così fuorviante, trovo le stesse info quì:

http://www.avira.com/it/threats/sect..._bagle.gc.html

Ora vediamo se trovo qualcosa x rimoverlo..

Avevo poi trovato un tool della sophos che rileva solo una voce di registro che ripristina, ma poi non c'è niente da fare xchè torna tutto come prima.

Quote:

Originariamente inviato da Special

però il comportamento non corrisponde del tutto, non sò come fare azzo..

E tra l'altro non ne vuole nemmeno sapere di partire in modalità provvisoria, si riavvia prima di arrivare alla schermata di caricamento..

Quote:

Originariamente inviato da Special

Niente, dopo 3 ore di lavoro niente da fare.
Modalità provvisoria non funziona.
Avast! anche se lo reistallo appena riavviato il SO (da premettere che non c'è versi di fargli fare la scansione dei dischi prima dell'avvio) quando si entra in win, prima parte, dopo poco viene disattivato, si chiude e la cartella viene cancellata.
Kaspersky invece non si istalla, si blocca durante l'istallazione durante la scrittura dell'eseguibile che sembra essere impossibile e dà errore..

Quote:

Originariamente inviato da Special

Tra l'altro adesso questa finestrella si apre ogni volta che accendo il pc e sembra random mentre il pc è acceso..

Quote:

Originariamente inviato da Special

Non riesco ad istallare nemmeno BitDefender, si blocca quando deve scrivere l'eseguibile, accidentaccio...

E il ripristino configurazione di sistema è già disattivato (l'ho scoperto quando ho provato a disattivarlo seguendo la guida prima di istallare BitDefender)

Provo a postare il log di HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 12.02.22, on 05/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\Programmi\WinFax\WFXMOD32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\sstray.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\WhatPulse\WhatPulse.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Opera\Opera.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Muletto\Desktop\bitdefender_free_v8.exe
C:\DOCUME~1\Muletto\IMPOST~1\Temp\IXP000.TMP\Setup.Exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Muletto\IMPOST~1\Temp\Rar$EX00.672\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\Muletto\IMPOST~1\Temp\IXP000.TMP\"
O4 - HKCU\..\Run: [WhatPulse] C:\Programmi\WhatPulse\WhatPulse.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [googletalk] "C:\Programmi\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1146502284234
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD1143C7-CBDD-4DF9-BA4B-67A5E97BFAAF}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Norton Ghost\Agent\VProSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

[KingOfTheDark]

Fixa questo
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Ma è semplicemente inutile...

Prova a fare una scansione online....

[Special]

Ne stavo cercando uno che riuscisse a funzionare, Trend Micro rimane in caricamento e non parte, A-square mi dà un error loading engine...


Edit.
Ferma ferma ne dopo averli provati quasi tutti ho trovato il Kaspersky che sembra funzionare (online)

[KingOfTheDark]

Prova a vedere qui

[Special]

si si, era da quella lista che li stavo provando..

[Special]

Kaspersky online mi ha già trovato 4 virus 21 file infettati e 16 files sospetti...
L'unico problema è che dopo 40 minuti stò ancora all'1%

[wizard1993]

fatti un cd con bart pe, e incudi il tool di active virus shield ( kasperksy depotenziato ma stesso tasso di rilevazione

[Special]

Kaspersky mi ha trovato un bel pò di robaccia, tra cui quello che sospettavo, ma come diavolo li tolgo?

[Special]

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, March 05, 2007 4:39:59 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 5/03/2007
Kaspersky Anti-Virus database records: 275912
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
I:\
J:\
K:\
L:\
M:\

Scan Statistics:
Total number of scanned objects: 100032
Number of viruses found: 18
Number of infected objects: 146 / 0
Number of suspicious objects: 23
Duration of the scan process: 03:19:19

Ora provo con un altro scan che però facci anche il clean

[juninho85]

meno pippe special
hai provato con avg antispyware?

[Special]

Quote:

Originariamente inviato da juninho85

meno pippe special
hai provato con avg antispyware?

Eppure ormai i porno li scarico solo da emule...

Adesso stò provando a fare uno scan con ewido, poi lo farò con panda e poi lo ri faccio con kasperesky a quel punto vedo un pò se sono ancora infetto o se riesco a istallare un qualche antivirus, purtroppo sto stronzetto non mi fà istallare niente e nemmeno vanno tutti gli scan online..

[juninho85]

Quote:

Originariamente inviato da Special

Eppure ormai i porno li scarico solo da emule...

Adesso stò provando a fare uno scan con ewido, poi lo farò con panda e poi lo ri faccio con kasperesky a quel punto vedo un pò se sono ancora infetto o se riesco a istallare un qualche antivirus, purtroppo sto stronzetto non mi fà istallare niente e nemmeno vanno tutti gli scan online..

allora c'hai il beagle(non il bigolo )

[wizard1993]

Quote:

Originariamente inviato da juninho85

allora c'hai il beagle(non il bigolo )

se il panda trova m_hook.sys si

[Special]

il panda mi ha già rilevato 9 virus che dice di aver però "Disinfected" purtroppo però rileva anche 17 spyware e 9 hacking tools and rootkits che, a meno di non pagare 13 euro, non toglie...

[wizard1993]

Quote:

Originariamente inviato da Special

il panda mi ha già rilevato 9 virus che dice di aver però "Disinfected" purtroppo però rileva anche 17 spyware e 9 hacking tools and rootkits che, a meno di non pagare 13 euro, non toglie...

c'era m_hook.sys?

[Special]

non credo, dopo la scansione online con Panda mi ha rilevato 12 virus e ne ha tolti 11.
Dopodichè sono riuscito ad installare Kaspersky e stò facendo uno scan di tutto il SO.

Mi ha trovato tipo 80 copie di bagle tra aa ih ac ie etc etc.. 5 linkoptimizer e un trojan chiamato dopper, ma stiamo solo all'83%

[Special]

Quote:

Originariamente inviato da wizard1993

c'era m_hook.sys?

E invece si, mi stà chiedendo adesso Kaspersky di cancellarlo..

[wizard1993]

Quote:

Originariamente inviato da Special

E invece si, mi stà chiedendo adesso Kaspersky di cancellarlo..

usa questa procedura altrimenti non si cancella
http://www.megalab.it/articoli.php?id=948.
comunque preova con kav prima

[Special]

Allora, ho provato a fare come dice sul link indicato, xchè in effetti la cartella piena di file rinominati random era presente, ho usato lo script:

Files to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\WINDOWS\system32\wintems.exe
%SystemDrive%:\WINDOWS\system32\hldrrr.exe

folders to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

Modificandolo opportunamente, ma il risultato è stato il seguente:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\occyuoap

*******************

Script file located at: \??\C:\WINDOWS\shtsoyeq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Documents and Settings\Muletto\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\Muletto\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\Muletto\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\Muletto\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\Muletto\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\Muletto\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



Folder C:\Documents and Settings\Muletto\Dati applicazioni\hidires not found!
Deletion of folder C:\Documents and Settings\Muletto\Dati applicazioni\hidires failed!

Could not process line:
C:\Documents and Settings\Muletto\Dati applicazioni\hidires
Status: 0xc0000034

Folder C:\WINDOWS\exefld deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[wizard1993]

Quote:

Originariamente inviato da Special

Allora, ho provato a fare come dice sul link indicato, xchè in effetti la cartella piena di file rinominati random era presente, ho usato lo script:

Files to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\WINDOWS\system32\wintems.exe
%SystemDrive%:\WINDOWS\system32\hldrrr.exe

folders to delete:
%SystemDrive%:\Documents and Settings\[Utente corrente]\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

Modificandolo opportunamente, ma il risultato è stato il seguente:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\occyuoap

*******************

Script file located at: \??\C:\WINDOWS\shtsoyeq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Documents and Settings\Muletto\Dati applicazioni\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\Muletto\Dati applicazioni\hidires\m_hook.sys failed!

Could not process line:
C:\Documents and Settings\Muletto\Dati applicazioni\hidires\m_hook.sys
Status: 0xc000003a



Could not open file C:\Documents and Settings\Muletto\Dati applicazioni\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\Muletto\Dati applicazioni\hidires\hidr.exe failed!

Could not process line:
C:\Documents and Settings\Muletto\Dati applicazioni\hidires\hidr.exe
Status: 0xc000003a



File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!

Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034



File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!

Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034



Folder C:\Documents and Settings\Muletto\Dati applicazioni\hidires not found!
Deletion of folder C:\Documents and Settings\Muletto\Dati applicazioni\hidires failed!

Could not process line:
C:\Documents and Settings\Muletto\Dati applicazioni\hidires
Status: 0xc0000034

Folder C:\WINDOWS\exefld deleted successfully.


Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034

Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

fai una scan con gmer di rootkit e auto start e cancella le voci in rosso