Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Aiuto: PS guard!!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Aiuto: PS guard!!

Messaggioda mfd » mar ago 02, 2005 2:57 pm

Aiuto!

Questo è il file log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 14.49.39, on 02/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\Modem Event Monitor\IntelMEM.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\SolidWorks SolidNetWork License Manager\lmgrd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programmi\SolidWorks SolidNetWork License Manager\SW_D.EXE
C:\Software\Utilities\Sicurezza\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelMeM] C:\Programmi\Intel\Modem Event Monitor\IntelMEM.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: WKCALREM.LNK = C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\Programmi\SolidWorks SolidNetWork License Manager\lmgrd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe


Appena apro una pagina web, il mio antivirus (AntiVir) rileva il virus:TR/small.EV6 generato da INTELL32.exe.

La navigazione in internet diventa molto rallentata e in maniera del tutto silenziosa e nascosta si installa automaticamente un finto programma per eliminare spyware denominato PS guard.

A questo punto Spybot S&D mi avvisa che alcune variazioni nel registro sono state eseguite.

La scansione con Ad-Ware rileva un centinaio di valori e alcune chiavi di registro che devono essere eliminate al più presto (tutte legate al MALEDETTO maleware PS guard!).

Eliminando tali valori e scansionando con l'antivirus (che peraltro non rileva nulla!!) il problema sembrerebbe risolto ma solo apparentemente perché appena apro una nuova pagina web tutto incomincia da capo...

Notare che sia AntiVir che Ad-Ware che Spybot S&D sono aggiornati all'ultima revisione.

Qualcuno può aiutarmi?



mfd
Avatar utente
mfd
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mar ago 10, 2004 10:20 am

Messaggioda crazy.cat » mar ago 02, 2005 3:57 pm

E' per caso questo il tuo ospite? http://securityresponse.symantec.com/av ... ack.c.html

Prova a seguire le istruzioni sopra, se corrisponde al tuo problema e fai una scansione anche con questo dalla modalità provvisoria
http://www.MegaLab.it/2333
Ultima modifica di crazy.cat il mer ago 03, 2005 11:32 am, modificato 1 volta in totale.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda mfd » mar ago 02, 2005 4:38 pm

Ciao crazy.cat e grazie per la sollecitudine.

I "sintomi" sono gli stessi descritti da symantec.

Ho già lanciato nei giorni scorsi Scangui, ma non nella modalità provvisoria, come giustamente mi suggerisci.

Provo e poi ti so dire. Speriamo bene...
mfd
Avatar utente
mfd
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mar ago 10, 2004 10:20 am


Messaggioda mfd » mer ago 03, 2005 9:33 am

Nulla da fare.

Neanche Scangui dalla modalità provvisoria trova qualche cosa.

Ho seguito anche le istruzioni di Symantec andando ad agire sulle chiavi di registro.
E' tutto a posto tranne questa:

HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}

che ho cancellato (come da istruzioni Symantec) ma ritorna inesorabilmente appena apro una pagina web, come del resto ritorna INTELL32.EXE in C:\WINDOWS\Sistem32 (che quarda caso ha l'icona identica al simbolino rosso che mi appare nella barra di avvio e che mi dice "your computer is infect".....!!!)

Non riesco a trovare quale sia l'applicazione che permetta tutto questo.

E' possibile, secondo voi, che il virus si trasformi in qualche nuova variante ogni volta che apro una pagina web, in modo tale da passare inosservato all'antivius?

Secondo voi l'unico modo certo è "spazzolare" tutto (me tapino... [cry+] ) e reinstallare XP?
mfd
Avatar utente
mfd
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mar ago 10, 2004 10:20 am

Messaggioda crazy.cat » mer ago 03, 2005 12:00 pm

Nei punti 12 e 13 si parla di questi file
PSGuardInstall.exe,wininet.dll,oleext32.dll
guarda se sono presenti sul tuo pc, il secondo dovrebbe esserci, ma dovrebbe essere infetto da quello che capisco io e il terzo è quello che provoca l'infezione.
In caso cancella il primo e il terzo, il secondo ne dovresti avere delle copie sul pc con una data diversa, dovresti provare a cancellare quello che si trova in windows\system32 e sostituirlo con uno degli altri files che trovi in altra cartella, questo lo provi a fare dalla modalità provvisoria.

Speriamo bene......
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

VIRUS??

Messaggioda arthur » mer ago 03, 2005 8:55 pm

Ciao non è per caso un WORM???Tipo alcan io l'o preso, l'antivirus lo eliminava ma lui compariva in un altro posto
Avatar utente
arthur
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: ven lug 29, 2005 5:47 pm

Messaggioda mfd » gio ago 04, 2005 12:57 pm

Fatto! Problema risolto. O almeno cosi sembra...

Il file incriminato (e anche un po' bas***do... [nomi] era "oleext.dll" che risiedeva in C:\windows\System32.

Non è stato banale cancellarlo: per farlo ho dovuto usare il tool "Killbox" che lo ha cancellato durante il reboot.

Una volta eliminato questo file è sparito pure l'eseguibile INTELL32 e la chiave:

HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}

così come non si è più verificato il download di PSguard.

I files "PSGuardInstall.exe" e "oleext32.dll" non sono presenti sul mio pc, mentre il file "wininet.dll" c'è, ma non è possibile ne modificarlo ne tantomeno cancellarlo (neanche in safe mode e con Killbox).

Quello che non mi spiego è come mai i vari antivirus e antispyware hanno eliminato solo parzialmente il virus, lasciando inalterato "oleext.exe" (e probabilmente qualche altra schifezza che non vedo e che speriamo non faccia casino in futuro).

Qualche cosa di strano (file con il nome PSguard, intell32, ecc.) l'ho notato nelle carelle di Ad-Ware e di Spybot S&D.
Forse erano back-up, ma ho preferito cancellare tutto e reinsatallare nuovamente i due SW.

Volevo ringraziare tutti e in particolare crazy.cat per il particolare e determinante aiuto. Sei un grande!!!

Ciao a tutti.
mfd
Avatar utente
mfd
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: mar ago 10, 2004 10:20 am

Messaggioda crazy.cat » gio ago 04, 2005 1:08 pm

perché non è stato visto, si può spiegare con il fatto che molti virus sono in grado di "nascondersi" all'antivirus.
Il fatto dei nomi dei file differenti, si trattava magari di un altra variante dello stesso virus.
Solo il Mafee riconosce circa 130 mila virus.....
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising