www.MegaLab.it

[ChupaTheSnake]

Ciao a Tutti!
Io sono un novizio di questo forum e cercando una risoluzione al mio problema vi ci sono incappato quasi per caso!
Sono giorni che qualcosa di non identificato tormenta il mio computer(e non solo).
Tutto è cominciato qualche giorno fa quando, mentre stavo su internet, ho beccato un malware (probabilmente mi da problemi a tutti i file con estensione .exe o perlomeno così mi è sembrato di capire).
Comunque ho fatto una scansione con avg e mi ha trovato un paio di Trojan che sono riuscito a rimuovere dalla modalità provvisoria perché non me li faceva cancellare!I nomi dei processi che attivavano erano:iesmin.exe & iaesmin.exe.
Da questo punto in poi la storia si complica...di tanto in tanto mi viene segnalato un errore ad explorer.exe e l'operazione viene terminata....ma explorer non si rigenera e sono dunque costretto a riavviare il pc dalla task manager altrimenti non posso fare niente.
Anche windows media player mi da il problema dell'invio segnalazione errori.
Il guaio si è esteso al mio pen-drive che abitualmente connetto al pc;
ho dovuto formattarlo perché mi segnalava un trojan VB(script) in E:\Recycled\ctfmon.exe. Ma nonostante la formattazione il Trojan (anzi il figlio di Tr....) sembra ricomparire di tanto in tanto.
Ho provato quasi di tutto:
1- Analisi del log con Hjth (mi ha trovato solo i 2 trojan cancellati in precedenza e li ho opportunamente fixati)
2- Scansione con altri antivirus (bitdefender online, ho provato anche a scaricare il trial di sophos ma non l'ho istallato perché c'erano problemi con la "condivisione semplice" che sinceramente non ho capito)
Ogni tanto mi compare anche tra i processi attivi un file di testo "ogvguwke.txt" che si trova in Windows\system32 ma non me lo fa cancellare(mi dice file protetto accesso negato)!

Non so davvero + cosa fare e per questo mi rimetto alla vostra bravura e clemenza per cercare di risolvere questo/i problema/i!

Grazie anticipate!!!!!!!!!!!!!!!!

P.s.:vi allego il file di log casomai a voi potrebbe essere d'aiuto:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.03.30, on 28/05/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Documents and Settings\kris\Desktop\gmer.exe
C:\Documents and Settings\kris\Desktop\HiJackThis_v2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 4330 bytes
[/list]

[crazy.cat]

Il log è anche pulito da quello che si vede.
E' quello che non si vede che è più preoccupante, manca il sp2 e manca un vero antivirus, avg antispyware non basta.
Installa active virus shield e fai una bella scansione del pc e vedi cosa trova.

[ChupaTheSnake]

Grazie Crazy,
ora ci provo ma purtroppo il pc non è mio, è di un mio compagno di casa, e non è un grandissimo computer quindi Lui ha deciso di non mettere il service pack 2 perché ha detto che gli si rallenta troppo!

[ChupaTheSnake]

Ciao Crazy,
ho fatto come mi hai detto:ho scaricato avs e ho fatto fare una scansione completa di C:, D: e anche del mio pen-drive e mi ha trovato un po' di trojan in una dll di Windows ed un .exe che non sono riuscito ad individuare ma che suppongo abbia cancellato come la dll finta.
Ho provato ad allegarti un'immagine...non sò se sei riuscito a vederla dato che sono un po' impedito e non sono sicurissimo di averla caricata correttamente. Se sai qualcosa in più ti prego di farmelo sapere e ti ringrazio nuovamente!

[crazy.cat]

Si sono risolti i problemi?

[ChupaTheSnake]

Non ne sono totalmente sicuro ma per ora non mi sta dando particolari problemi, se ce ne dovessero essere, ti faccio sapere.
Volevo chiederti solo una cosa: avs quando mi ha rilevato i files infettati dai trojan ha provato a disinfettarli ma non ci è riuscito.Quindi mi ha chiesto se volevo eliminarli ed io l'ho fatto! Mi sapresti spiegare che differenza c'è?
Potrebbe anche accadere che una dll infetta sia disinfettata senza essere cancellata?
Grazie della disponibilità e perdona la mia Ignoranza!

[crazy.cat]

Rasapi32.dll è una dll di sistema per quello ti ha detto che voleva ripulirla.
Occupandosi dell'accesso remoto questa dll, se riesci a collegarti lo stesso, evidentemente non serviva a molto.
Se una dll è di un virus non credo proprio che provi a salvarla pulendola, la cancella e basta.

[ChupaTheSnake]

ciao Crazy,
scusa se ti disturbo ancora. I problemi del pc sembrano essersi risolti ma ne è rimasto uno. Il pen drive, nonostante avs mi abbia eliminato il file, quando lo collego ad altri computer(soprattutto a quelli del laboratorio di informatica all'università), mi da accesso negato perché trova il solito trojan in E:\Reclyded\ctfmon.exe e non me lo fa eliminare nè disinfettare nè niente di niente. Premetto che ho già provato a formattarlo 4 o 5 volte ma niente di fatto. Sapresti dirmi qualche cosa in merito? Non so, magari se fosse possibile leggere i files di log di periferiche per l'archiviazione usb. Grazie!

[crazy.cat]

Sapresti dirmi qualche cosa in merito?

Se lo colleghi al tuo pc non ti da nessun avviso?
La formattazione riesce?

[ChupaTheSnake]

Al mio pc non dà nessun avviso ma agli altri pc a volte esce! La formattazione riesce, ed è quella completa non quella veloce.
Poi ci sono dei files e processi sospetti, ad esempio:

1- CDAC11BA.EXE (un processo di sistema.A dir la verità non mi è tanto sospetto, sò che è dipendente da un'installazione di autocad ma non riesco a capire perché è sempre attivo e a cosa serva!)

2- Due .dll in C:\windows\system32 : clauth1 e clauth2 (sono di autore sconosciuto ed hanno una data di creazione abbastanza recente)

3- Un file .txt sempre in C:\windows\system32 : ogvguwke.txt al quale non mi fa accedere in lettura (mi dice accesso negato), e di conseguenza non mi fa neanche cancellare. Di tanto in tanto mi compare anche tra i processi attivi nella task manager.

Mi daresti ancora una volta una mano?
Mi sto davvero disperando!

[crazy.cat]

1) E' pulito
cdac11ba.exe is a process belonging to MacroVision safeCast copy protection software. This piece of software allows manufacturers to protect their products from illegal duplication. Disabling, or deleting this process may corrupt the product it was supplied with.

2) quei nomi di dll, sono presenti in svariate cose, da programmi linux a borland, a un virus.
Carica i file sul sito www.virustotal.com e falli analizzare a loro.

3) Riesci a copiarti il file da un altra parte e tentare di aprirlo per vedere cosa ci scrive dentro.
Hai provato magari con unlocker ad eliminarlo?