www.MegaLab.it

[mfd]

Aiuto!

Questo è il file log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 14.49.39, on 02/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\Modem Event Monitor\IntelMEM.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\SolidWorks SolidNetWork License Manager\lmgrd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programmi\SolidWorks SolidNetWork License Manager\SW_D.EXE
C:\Software\Utilities\Sicurezza\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelMeM] C:\Programmi\Intel\Modem Event Monitor\IntelMEM.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: WKCALREM.LNK = C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\Programmi\SolidWorks SolidNetWork License Manager\lmgrd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Appena apro una pagina web, il mio antivirus (AntiVir) rileva il virus:TR/small.EV6 generato da INTELL32.exe.

La navigazione in internet diventa molto rallentata e in maniera del tutto silenziosa e nascosta si installa automaticamente un finto programma per eliminare spyware denominato PS guard.

A questo punto Spybot S&D mi avvisa che alcune variazioni nel registro sono state eseguite.

La scansione con Ad-Ware rileva un centinaio di valori e alcune chiavi di registro che devono essere eliminate al più presto (tutte legate al MALEDETTO maleware PS guard!).

Eliminando tali valori e scansionando con l'antivirus (che peraltro non rileva nulla!!) il problema sembrerebbe risolto ma solo apparentemente perché appena apro una nuova pagina web tutto incomincia da capo...

Notare che sia AntiVir che Ad-Ware che Spybot S&D sono aggiornati all'ultima revisione.

Qualcuno può aiutarmi?

[crazy.cat]

E' per caso questo il tuo ospite? http://securityresponse.symantec.com/av ... ack.c.html

Prova a seguire le istruzioni sopra, se corrisponde al tuo problema e fai una scansione anche con questo dalla modalità provvisoria
http://www.MegaLab.it/2333

[mfd]

Ciao crazy.cat e grazie per la sollecitudine.

I "sintomi" sono gli stessi descritti da symantec.

Ho già lanciato nei giorni scorsi Scangui, ma non nella modalità provvisoria, come giustamente mi suggerisci.

Provo e poi ti so dire. Speriamo bene...

[mfd]

Nulla da fare.

Neanche Scangui dalla modalità provvisoria trova qualche cosa.

Ho seguito anche le istruzioni di Symantec andando ad agire sulle chiavi di registro.
E' tutto a posto tranne questa:

HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}

che ho cancellato (come da istruzioni Symantec) ma ritorna inesorabilmente appena apro una pagina web, come del resto ritorna INTELL32.EXE in C:\WINDOWS\Sistem32 (che quarda caso ha l'icona identica al simbolino rosso che mi appare nella barra di avvio e che mi dice "your computer is infect".....!!!)

Non riesco a trovare quale sia l'applicazione che permetta tutto questo.

E' possibile, secondo voi, che il virus si trasformi in qualche nuova variante ogni volta che apro una pagina web, in modo tale da passare inosservato all'antivius?

Secondo voi l'unico modo certo è "spazzolare" tutto (me tapino... ) e reinstallare XP?

[crazy.cat]

Nei punti 12 e 13 si parla di questi file
PSGuardInstall.exe,wininet.dll,oleext32.dll
guarda se sono presenti sul tuo pc, il secondo dovrebbe esserci, ma dovrebbe essere infetto da quello che capisco io e il terzo è quello che provoca l'infezione.
In caso cancella il primo e il terzo, il secondo ne dovresti avere delle copie sul pc con una data diversa, dovresti provare a cancellare quello che si trova in windows\system32 e sostituirlo con uno degli altri files che trovi in altra cartella, questo lo provi a fare dalla modalità provvisoria.

Speriamo bene......

[arthur]

Ciao non è per caso un WORM???Tipo alcan io l'o preso, l'antivirus lo eliminava ma lui compariva in un altro posto

[mfd]

Fatto! Problema risolto. O almeno cosi sembra...

Il file incriminato (e anche un po' bas***do... era "oleext.dll" che risiedeva in C:\windows\System32.

Non è stato banale cancellarlo: per farlo ho dovuto usare il tool "Killbox" che lo ha cancellato durante il reboot.

Una volta eliminato questo file è sparito pure l'eseguibile INTELL32 e la chiave:

HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}

così come non si è più verificato il download di PSguard.

I files "PSGuardInstall.exe" e "oleext32.dll" non sono presenti sul mio pc, mentre il file "wininet.dll" c'è, ma non è possibile ne modificarlo ne tantomeno cancellarlo (neanche in safe mode e con Killbox).

Quello che non mi spiego è come mai i vari antivirus e antispyware hanno eliminato solo parzialmente il virus, lasciando inalterato "oleext.exe" (e probabilmente qualche altra schifezza che non vedo e che speriamo non faccia casino in futuro).

Qualche cosa di strano (file con il nome PSguard, intell32, ecc.) l'ho notato nelle carelle di Ad-Ware e di Spybot S&D.
Forse erano back-up, ma ho preferito cancellare tutto e reinsatallare nuovamente i due SW.

Volevo ringraziare tutti e in particolare crazy.cat per il particolare e determinante aiuto. Sei un grande!!!

Ciao a tutti.

[crazy.cat]

perché non è stato visto, si può spiegare con il fatto che molti virus sono in grado di "nascondersi" all'antivirus.
Il fatto dei nomi dei file differenti, si trattava magari di un altra variante dello stesso virus.
Solo il Mafee riconosce circa 130 mila virus.....