www.MegaLab.it

da **ste_95** » dom feb 17, 2008 7:34 am

Ti chiedo di ripristinare momentaneamente questi file dalla quarantena dell'antivirus e quindi di inviare l'archivio backup.zip al sito indicato:

Codice: Seleziona tutto: 481a63a0.qua

Il log di combofix era nuovo? Se no rifallo.

da **zupermax** » dom feb 17, 2008 6:13 pm

@ste_95

Scusami, ma da quello che capisco, quel file che mi indichi "Backup.zip" contiene le chiavi di registro eliminate da Avenger e null'altro.
Ho l'impressione che Il sito http://softnews.altervista.org/upload_malware.php abbia lo scopo di analizzare dei file sospetti piuttosto che delle chiavi di registro. Comunque quel file che mi segnali "481a63a0.qua" non riesco a trovarlo da nessuna parte.

Il problema di quei riferimenti segnalati da Hijackthis l'ho comunque risolto utilizzando uno dei programmi di editing del registro del MegalbCD.
Ho dato una nuova controllata e sembra non ci siano piu' grossi problemi.

Grazie del tuo aiuto.

[^]

da **ste_95** » dom feb 17, 2008 6:16 pm

Il log di combofix era nuovo? Se no rifallo.

Il file che ti ho chiesto di ripristinare è nella quarantena di antivir.

Il sito invece è il mio [bleh]

Riproviamo una cosa:

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il flag su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto: Files to delete: C:\WINDOWS\Tasks\A4089085919302CD.job C:\WINDOWS\system32\drivers\dizneghy.dat c:\windows\system32\cmutilv.dll c:\windows\system32\cmutilv.dll.bak C:\WINDOWS\system32\libssl32.dll C:\WINDOWS\system32\libeay32.dll C:\WINDOWS\system32\drivers\^bctyudc.sys C:\WINDOWS\system32\elsa.dll

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

da **zupermax** » dom feb 17, 2008 9:37 pm

@ste_95
Il sito era il tuo ??? [acc2]

hehe... vabbe', allora ti mando quel file che mi chiedi [:)]

Il file della quarantena di Antivir non riesco a trovarlo.
Ti ricordo che ho usato la versione dell'antivir del MegaCD, facendo il boot con quest'ultimo.
Sei sicuro che anche in questo caso antivir salva i files della quarantena da qualche parte sull'hard disk ?

Una domanda...
Ha senso inserire nello script di avenger la rimozione di alcuni file che, a giudicare da quello che vedo con esplora risorse, non esistono fisicamente sull'hard disk ?

Comunqe, ho seguito le tue indicazioni, e qui c'e' il log: http://www.freefilehosting.net/download/3c77e

Ho inserito anche quello di combofix.

...A proposito, anche il log di combofix dell'altra volta era aggiornato.

da **ste_95** » lun feb 18, 2008 7:18 am

Ci troviamo sempre nella stessa mer*a:

Loag Avenger ha scritto:Could not open file C:\WINDOWS\system32\drivers\dizneghy.dat for deletion
Deletion of file C:\WINDOWS\system32\drivers\dizneghy.dat failed!

Could not open file c:\windows\system32\cmutilv.dll for deletion
Deletion of file c:\windows\system32\cmutilv.dll failed!

Could not open file c:\windows\system32\cmutilv.dll.bak for deletion
Deletion of file c:\windows\system32\cmutilv.dll.bak failed!

Qui non dice not found, ma dice Could not open file (Non posso aprire il file). Dal MegalabCD verifica l'esistenza di questi file:

C:\WINDOWS\system32\drivers\dizneghy.dat
c:\windows\system32\cmutilv.dll
c:\windows\system32\cmutilv.dll.bak
C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat

da **zupermax** » lun feb 18, 2008 7:44 pm

ste_95 ha scritto:Qui non dice not found, ma dice Could not open file (Non posso aprire il file). Dal MegalabCD verifica l'esistenza di questi file:

C:\WINDOWS\system32\drivers\dizneghy.dat
c:\windows\system32\cmutilv.dll
c:\windows\system32\cmutilv.dll.bak
C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat

Ho fatto il boot dal MegaCD,
Il file C:\WINDOWS\system32\drivers\dizneghy.dat c'era e l'ho cancellato.
I file c:\windows\system32\cmutilv.dll e c:\windows\system32\cmutilv.dll.bak non c'erano.
Il file C:\Documents and Settings\All Users\Dati applicazioni\ezsid.dat c'era e l'ho cancellato.

Ho fatto un nuovo passaggio con combofix ed hijackthis e li ho uppati sul
solito sito a questo indirizzo...

http://www.freefilehosting.net/download/3c86e

edit:
Ora il fix di hijackthis funziona e mi e' stato possibile eliminare un po di robaccia che era rimasta.

Ho fatto un nuovo log con hijackthis ed il solito combofix.
sono a questo indirizzo:
http://www.freefilehosting.net/download/3c873

da **ste_95** » lun feb 18, 2008 8:24 pm

Ah, finalmente lo abbiamo eliminato.

Scansiona ancora questi file su www.virustotal.com

C:\WINDOWS\system32\AppCert\wsil32.dll
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Update_0801_KB241618.exe

da **zupermax** » lun feb 18, 2008 8:48 pm

ste_95 ha scritto:Scansiona ancora questi file su www.virustotal.com

C:\WINDOWS\system32\AppCert\wsil32.dll
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Update_0801_KB241618.exe

Non ci sono... non li trovo neanche con il MegaCD. [boh]

da **ste_95** » lun feb 18, 2008 8:57 pm

Ah, d'accordo. Allora sembra che sia davvero tutto a posto. Sei d'accordo?

da **zupermax** » lun feb 18, 2008 9:15 pm

ste_95 ha scritto:Ah, d'accordo. Allora sembra che sia davvero tutto a posto. Sei d'accordo?

Direi di si... o almeno lo spero.

Grazie del tuo aiuto. [^]

da **ste_95** » lun feb 18, 2008 9:17 pm

Se il problema dovesse tornare siamo sempre qui. [^]

da **figio87** » mar feb 19, 2008 7:49 am

cari amici invece il mio problema persiste. M'avevi consigliato di farlo da ubuntu ma non riesco a scaricare il cd. non riesco a faro partire insomma.
poi avrei da farvi una domanda?
quando ho scaricato megalabcd io non ho fatto la procedura descritta dal vs sito per cui avevo salvato la cartella megalabcd su desktop e avevo fatto le operazioni, non riuscendo poi a cancellare niente.

il mio problema sta nel fatto che il file .bak rimane
mentre quello associato era stato cancellato da antivirPE che era riuscito a rinominarlo e poi a eliminarlo.

da **ste_95** » mar feb 19, 2008 2:29 pm

Allora, segui queste indicazioni così da avere tutte le informazioni necessarie.

Scarica ComboFix e dai una passata con lui, quindi postane il log.

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.

da **figio87** » mar feb 19, 2008 6:19 pm

http://www.freefilehosting.net/download/3c9b1
(gmer autostart)
http://www.freefilehosting.net/download/3c9b3
(gmer rootkit)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21, on 2008-02-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Microsoft LifeCam\MSCamS32.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://10.0.0.2/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1F9F1983-2C24-46F5-86D6-606C3D202086} - c:\windows\system32\kbdbenev.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Disk Monitor] C:\Programmi\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\kmd.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... xmk789YYIT
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocach ... 0.0.15.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b55762.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZI ... b55579.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{995DA65B-C9AE-4504-838E-6389ABED8B93}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe
O23 - Service: WsSec(wssec) (WsSec) - Unknown owner - C:\WINDOWS\system32\wssec.exe (file missing)

--
End of file - 8765 bytes

da **ste_95** » mar feb 19, 2008 7:49 pm

Manca il log più importante, quello di combofix.

da **figio87** » mer feb 20, 2008 12:28 am

sì eccolo mi ero dimenticato...
ho trovato questo di log...

ComboFix 08-02-15.2 - STEFANO 2008-02-20 0:18:20.3 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1040.18.946 [GMT 1:00]
Eseguito da: C:\Documents and Settings\STEFANO\Desktop\antivirus\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

da **ste_95** » mer feb 20, 2008 7:18 am

Tutto qui?

da **figio87** » mer feb 20, 2008 7:56 am

eh sì tra l'altro questo log
è stato abbastanza introvabile.
posso riprovare se vuoi.

da **figio87** » mer feb 20, 2008 8:04 am

ah no ecco
probabilmente avevo scaricato una versione stupida...
eccoti il log

da **ste_95** » mer feb 20, 2008 2:18 pm

Porcaccia, la tua situazione è più grave, vedo anche Bagle nel computer, prima esegui la scansione on-line estesa con Kaspersky come descritto qui.

www.MegaLab.it

win32/trojanclicker.delf NAZ non rimovibile

Chi c’è in linea