www.MegaLab.it

da **Iluvatar593** » dom nov 05, 2006 11:25 am

Da qualche giorno, il mio PC soffre dei seguenti problemi:

la tastiera è impazzita, ho provato a verificare se fosse un problema hardware ma continuava a scrivere lettere casuali anche senza batterie, inoltre spesso mi apre centinaia di volte il browser e sono costretto a killare il processo.

altro problema è il fatto che windows xp sp2 ogni tanto mi da una finestra con errore e altri dettagli, ma è diversa da quella classica, quindi non so se sia un virus o realmente il SO (non ho screen per ora, se ricapita ne posto uno). c'è da dire che ho disattivato la finestra di invio degli errori

inoltre ho un dialer, quello con l'icona delle labbra, ma non mi creava molti problemi e quindi ci stavo "convivendo" dato che se non clicco io non riesce a connettersi, però magari potrebbe essere legato alle altre due cose.

formattando il pc dovrei risolvere ma questi giorni non ho il tempo per farlo e volevo sapere se riuscite ad aiutarmi a trovare un rimedio "precario"

posto un log di hijackthis

Logfile of HijackThis v1.99.0
Scan saved at 11.21, on 05/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\poweroff.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\mTIRC\mTIRC versione Beta 1.0.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Logitech\MouseWare\System\Em_exec.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Luca\Desktop\Luca\Download\Download 2006\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Luca\1118917.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmi\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programmi\messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programmi\messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D63A1647-3364-4691-9EA4-E6046CAAD633}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NOD32 Kernel Service - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Poweroff - Jorgen Bosman - C:\WINDOWS\system32\poweroff.exe

da **crazy.cat** » dom nov 05, 2006 12:59 pm

Intanto fai sparire questo file C:\WINDOWS\service32.exe usa delete doctor o unlocker per eliminarlo.
Controlla se sul desktop hai una dll con un nome simile a 1121765.dll e controlla se nel pc ci sono questi file
syst32.dll
syshost.dll
mdm32.dll
winsmgr32.dll
iexplore32.dll
scrss32.dll
spoolsv32.dll
svchost32.dll
Non è detto che si siano ma se li trovi eliminali.

Per beccare il dialer usa A2 squared o superantispyware aggiornati ed elimina quello che trovano.

da **Amantide** » dom nov 05, 2006 2:05 pm

crazy.cat ha scritto:Controlla se sul desktop hai una dll con un nome simile a 1121765.dll

E' questo qui
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Luca\1118917.dll
Tanto per cambiare non sta sul desktop.

P.S. Installa anche un buon firewall, Comodo o Zone Alarm.

da **Iluvatar593** » dom nov 05, 2006 3:45 pm

Vi sono 4 files nella cartella C:\Documents and Settings\Luca\ e sono

Codice: Seleziona tutto: 10815656.dll 10214059.dll 101765359.dll 1118917.dll

Il file service32.exe che mi avevi indicato l'ho cancellato a mano per distrazione [:I]

che tipo di delete devo usare con delete doctor?

Delle dll che mi hai elencato non ne ho trovata nessuna, anche se ho trovato nei log dell'antivirus questo:

05/11/2006 10.12 AMON file C:\WINDOWS\syst32.dll Win32/TrojanClicker.Small.KJ cavallo di troia posto in quarantena. - cancellato ILU593\Luca Evento occorso su un nuovo file creato da un'applicazione: C:\WINDOWS\service32.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

Nella cartella C:\Documents and Settings si sono create oltre le 2 cartelle All Users e Luca (e oltre quelle nascoste Default User, LocalService, NetworkService) anche altre 2 che si chiamano Apg e hzQrYJK

Inoltre l'antivirus (nod32) mi ha trovato:
05/11/2006 14.53 AMON file C:\WINDOWS\gybph1.dll probabilmente una variante di Win32/TrojanDownloader.Agent.BQ cavallo di troia posto in quarantena. - cancellato Evento occorso su un nuovo file creato da un'applicazione: C:\WINDOWS\TEMP\8D7.tmp. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

05/11/2006 14.53 AMON file C:\WINDOWS\Temp\udkk1.exe variante modificata di Win32/TrojanDownloader.Agent cavallo di troia posto in quarantena. - cancellato NT AUTHORITY\SYSTEM Evento occorso su un nuovo file creato da un'applicazione: C:\WINDOWS\system32\svchost.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

Per quanto riguarda la tastiera, ho notato che le funzionalità aggiuntive (ad esempio i tasti Play, Pausa, Homepage, Mute, Messenger, Email eccetera) sono invertite oppure non funzionano. Ho disinstallato l'utility Logitech "iTouch" ma il problema persiste; può essere un danno hardware?

Per il dialer ho usato a-squared e mi ha trovato:

C:\Documents and Settings\Luca\Impostazioni locali\Temp\it_0118.exe Possible dialer
C:\Documents and Settings\Luca\Impostazioni locali\Temp\it_0193.exe Possible dialer

e gli ho detto Quarantine Objects (non so se premendo next me li abbia tolti ma presumo di si)

da **crazy.cat** » dom nov 05, 2006 3:53 pm

Cancella pure tutto

Codice: Seleziona tutto: 10815656.dll 10214059.dll 101765359.dll 1118917.dll

Se service32.exe si è lasciato eliminare meglio così.

Anche per te c'è il link optimizer/gromozon

Codice: Seleziona tutto: anche altre 2 che si chiamano [b]Apg[/b] e [b]hzQrYJK[/b]

Leggi il post in rilievo nella sezione su come finire di ripulire questo virus

Questo è meno bello,controlla se il file exe è ancora presente nella cartella.

Codice: Seleziona tutto: C:\WINDOWS\system32\svchost.exe. Il file è stato inserito nella quarantena.

Hai provato a reinstallare il programma della tastiera?

da **Iluvatar593** » dom nov 05, 2006 3:58 pm

crazy.cat ha scritto:Se service32.exe si è lasciato eliminare meglio così.

ho dovuto killare il processo però (non ho ancora riavviato il pc però, non è che ritorna??

Questo è meno bello,controlla se il file exe è ancora presente nella cartella.
Codice:
C:\WINDOWS\system32\svchost.exe. Il file è stato inserito nella quarantena.

si c'è ancora, che faccio?

da **crazy.cat** » dom nov 05, 2006 4:18 pm

Cancella tutte le dll con i numeri e poi prova una riavvio, una di quelle potrebbe ricreare il virus.
Ricontrolla poi se i file con i numeri ricompaiono dopo il riavvio.

Se il file svchost.exe è presente meglio così pensavo lo avesse spostato.

da **Iluvatar593** » dom nov 05, 2006 4:42 pm

ottimo, per la tastiera pare che sia riuscito a risolvere, e le dll non ricompaiono

rimane linkoptimizer/gromozon che non riesco a eliminare perché i link ai tool non riesco a farli funzionare malgrado abbia cambiato il file hosts [cry+]

da **Amantide** » dom nov 05, 2006 4:45 pm

Scarica l'allegato con i tools rinominati che trovi in questo articolo.

da **Iluvatar593** » dom nov 05, 2006 5:09 pm

il tool della symantec non si apre, ho usato il tool nod e ho eliminato i file col nome di colore verde dalla cartella C:\Programmi\File comuni\System

gmer e the avenger non si aprono

edit: ho cancellato manualmente la cartella con l'user fittizio (l'altra, Apg, non c'era piu)

da **Iluvatar593** » dom nov 12, 2006 5:37 pm

scusate se riposto, ma ho trovato un topic inerente il problema della tastiera e non so se potevate aiutarmi, anche se da cio che è scritto nel topic pare che si possa fare ben poco

http://help.lockergnome.com/general/33- ... 41805.html (in inglese)

inoltre questo è un mio log di hijackthis dopo che son riuscito ad utilizzare il tool prevx, sono ancora infetto?

Logfile of HijackThis v1.99.1
Scan saved at 16.51, on 12/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\poweroff.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOCUME~1\Luca\IMPOST~1\Temp\Rar$EX08.360\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programmi\messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programmi\messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D63A1647-3364-4691-9EA4-E6046CAAD633}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Poweroff - Unknown owner - C:\WINDOWS\system32\poweroff.exe" -service (file missing)

www.MegaLab.it

Tastiera impazzita, errori windows e forse un dialer.

Tastiera impazzita, errori windows e forse un dialer.

Chi c’è in linea