www.MegaLab.it

[pillow55]

Spett.li utenti e mitico forum. Prima di tutto i ringraziamenti per avermi accettato come utente. Ho due portatili che utilizzo al lavoro, uno con SO W2K e l'altro con XP professional. Da un po' di tempo affetto da dialer che tentano la connessione con modem analogico interno ultimamente ho iniziato ad avere problemi con pagine internet dove si parla di sicurezza e aprire file di diagnostica e pulizia neanche a parlarne. Utilizzando l'opzione ricerca sul sito ho trovato un post dove la mitica Amantide indicava un'operazione da effettuare sul registro di sistema dove indicato \userinit.exe e mediante AGVPFIX sono riuscito a cancellare la voce successiva e quindi riuscire a lanciare Hijackthis e GMER di cui allego i log.
Mentre sul W2K l'operazione non è riuscita considerando che dopo \userinit.exe ci sono queste diciture: "lotus-checker.exe"-"philipsmonitor.exe"-"regsetup.exe"-"bootlookup.exe".
Per quanto riguarda il log di GMER ho messo quello relativo al rootkit non avendo altre indicazioni su quale cartella del programma far visionare. Posso comunque sotto espressa indicazione vostra postare la cartella più significativa.
Grazie per la pazienza e per la cortesia di chi vorrà rispondermi.
Roberto

[crazy.cat]

Mentre sul W2K l'operazione non è riuscita considerando che dopo \userinit.exe ci sono queste diciture: "lotus-checker.exe"-"philipsmonitor.exe"-"regsetup.exe"-"bootlookup.exe".

Cancella dal tuo pc tutti i file "lotus-checker.exe"-"philipsmonitor.exe"-"regsetup.exe"-"bootlookup.exe"

Di gmer sarebbe più utile il log della sezione autostart, comunque adesso leggo i due log e vediamo cosa si può tirarne fuori.

Cerca nella cartella Windows un file exe composto da una serie di numeri e con data di creazione recente (potrebbe anche non esserci).

[crazy.cat]

Questa voce è strana, non saprei cosa sia.
O4 - HKLM\..\Run: [ThpSrv] c:\WINDOWS\system32\thpsrv /logon

Rifai la scansione con hijackthis, selezioni le caselle di queste righe e premi fix checked, poi cancella anche i file indicati in rosso, usa unlocker o killbox.

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\googlespeed.exe",
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O4 - HKLM\..\Run: [lsadzkrf] "c:\windows\system32\lsadzkrf.exe"
O4 - HKLM\..\Run: [mdkpa] "C:\DOCUME~1\Roberto\IMPOST~1\Temp\1173984.exe"
O4 - HKCU\..\Run: [mdkpa] "C:\DOCUME~1\Roberto\IMPOST~1\Temp\1173984.exe"

[pillow55]

Grazie a crazy.cat per la sollecita ed esauriente risposta. Metto al corrente delle ultime azioni intraprese secondo le indicazioni date. Per comodità visto che sto lavorando in tandem con i due portatili li indico con il SO.
-W2k- come prevedevo i file indicati nel registro di sistema non si riescono a cancellare perché naturalmente dice che sono in uso. Adesso farò una prova con killbox sempre che mi consenta di aprire il programma.
-WXP- mi ha lasciato perplesso che nel lo di Hijackthis si sia ripresentata la voce F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\googlespeed.exe", visto che mi sembrava di averlo tolto con AGVPFIX comunque controllando in system32 il file non è più presente. Ho rifatto girare Hijackthis e seguito le indicazioni per fixare i file indicati, dopo questo ho scaricato killbox però non è stato in grado di cancellare le voci in rosso e credo di averle cancellate conAGVPFIX. Allego come da indicazioni il log di GMER sezione autostart e ancora quello di Hijackthis dopo le operazione sopraindicate. Dopo aver fatto girare GMER mi è apparsa una finestra con la seguente dicitura:
GMER has found system modification caused by ROOTKIT activity
Grazie Roberto

[crazy.cat]

Con due pc alla volta perdo il filo del discorso.

Se qualche file ti dice che è in uso, apri il task manager e termini il processo relativo.
Poi lo cancelli.

Il log di hijackthis direi che è a posto, assicurati di avere cancellato i file indicati.

In Gmer non ti ha dato qualche file indicato in rosso?
A volte anche i programmi di drive virtuali
D:\Roberto\VirtualCloneDrive\VCDDaemon.exe
gmer li interpreta come dei rootkit.

[pillow55]

Hai perfettamente ragione crazy. Allora momentaneamente abbandono il portatile W2K per dedicarmi al WXP che mi interessa in modo particolare ed è quello nuovo. Devo passare ad un'altro problema che ho su questo PC. Quando spengo il computer mi va in schermata blu con una dicitura che allego e poi mi si riavvia. Leggendo dei post trovati con l'opzione cerca il tutto dovrebbe essere procurato dal worm Bagle, potrebbe essere? Dall'analisi di Hijackthis risultava qualcosa? Seguendo le indicazioni del messaggio ho provato a reinstallare i driver della scheda video(che oltretutto sono prioritari Toshiba), ho seguito anche le indicazioni della Microsoft cercate secondo il codice di errore ma niente. Qualche indicazione in merito da darmi?
Cordiali saluti.
Roberto

[pillow55]

Chiedo venia rileggendo il messaggio mi sono accorto che mi sono dimenticato di mettere i dati della schermata blu. Provvedo subito:
DRIVER_POWER_STATE_FAILURE
0x0000009F (0x00000500, 0x00000002, 0x860EB030, 0x863A7DF09.
Aggiungo che al riavvio mi appare la finestra che indica sono stati rilevati degli errori con le due scelte NON INVIARE - INVIARE al sito della Microsoft il report dell'errore. Scegliendo l'opzione INVIARE mi si apre una pagina internet Microsoft Windosw Error Reporting dove mi dà l'indicazione che c'è un problema con la scheda video. Ho provato a seguire le indicazioni del sito con nessun risultato.
Grazie ciao.

[crazy.cat]

con hijackthis non si vede altro di pericoloso.

Qui dicono che può essere un problema di driver
http://support.microsoft.com/kb/246243
Aggiorna tutto non solo quelli della scheda video.

Qui sarebbe meglio parlare solo dei virus.
Un argomento=una discussione

[pillow55]

Scusate il ritardo ma ho dovuto cercare di pulire il portatile con SO W2K per poter postare i log di GMER e Hijackthis. Grazie a crazy.cat per l'aiuto nel controllo del portatile WXP, risolto con successo, per quanto riguarda la schermata blu ci sto' lavorando ed eventualmente, come suggerito da crazy, se non dovessi approdare a nulla apriro' un nuovo post.
Ecco gli allegati.
Grazie a tutti per la pazienza e competenza.
Roberto

[crazy.cat]

Intanto un po di roba da ripulire, cancella tutti gli exe con il tools della nod e poi una bella scansione con Virit per ripulire.
Il log di gmer lo leggo dopo adesso vado a lavorare anche se ne ho poca voglia.

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,"c:\winnt\system32\lotus-checker.exe",
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: Class - {3E430059-D886-69E1-C559-93ADBEDC4F7F} - C:\WINNT\tadlp1.dll (file missing)
O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
O4 - HKLM\..\Run: [zzaqma.exe] C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\zzaqma.exe
O4 - HKLM\..\Run: [oczzzc.exe] C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\oczzzc.exe
O4 - HKLM\..\Run: [qkgmc] "C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\1949262.exe"
O4 - HKCU\..\Run: [qkgmc] "C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\1949262.exe"
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll (avevi norton installato???)
O23 - Service: LogXte - Unknown owner - \\?\C:\Programmi\File comuni\System\aux.exe (file missing)
O23 - Service: Speed Disk service - Unknown owner - C:\Programmi\Norton SystemWorks\Norton Speed Disk\nopdb.exe (file missing)
O23 - Service: WinBem - Unknown owner - \\?\C:\Programmi\Windows NT\com3.exe (file missing)

[pillow55]

Grazie crazy e buon lavoro. Sai qualche link "sicuro" dove poter scaricare i tools della nod e virit? Intanto sto' facendo fare il controllo da Kaspersky online e mi ha trovato un po' di robaccia in giro. Quando ha finito il controllo metto il log salvato.
Ciao

[crazy.cat]

Questo è il tools della nod

e mediante AGVPFIX sono riuscito a cancellare la voce

Virit
http://www.tgsoft.it/italy/index_ita.html

[crazy.cat]

C'è qualche altro file da eliminare, controlla in quelle cartelle la presenza di strani exe di piccole dimensioni e nomi strani.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = \\?\C:\WINNT\com5.abx
LogXte /*LogXte*/@ = "\\?\C:\Programmi\File comuni\System\aux.exe"
WinBem /*WinBem*/@ = "\\?\C:\Programmi\Windows NT\com3.exe"

[pillow55]

Sono ritornato. Praticamente horisolto il mio problema con il portatile W2K.
Adesso è pulito. Grazie per il supporto datomi. Per amore di completezza con il portatile WXP che sembrava pulito ho fatto girare l'antivirus Kaspersky online e mi ha trovato 10 virus e 28 file sospetti. Una cosa strana di questi programmi, avevo installato Avast, l'ho fatto girare e mi ha rivelato un virus, disinstallato ho installato una versione trial di virIt mi ha trovato tre virus. Dopo la disistallazione di questo ho installato l'antivirus trial Kaspersky che mi ha definitivamente pulito il PC. sono perplesso e basito. Non ho ancora risolto il problema della schermata blu e riavvio, ma questo sarà frutto di un'altro topic in un'altra sezione del validissimo forum.
Grazie ancora.
Roberto