Grave infezione!?!?

[harry_potter]

Mi sono preso l'impegno di sistemare il portatile a una mia collega (carina ) che da qualche tempo ha strani sintomi:
dopo aver fatto "girare" avg aggiornato, ovviamente senza nessun rilevamento, ho cercato di far partire Hijackthis, che stranamente non si attiva, o per lo meno si chiude immediamante, stesso problema se faccio partire ccleaner e anche se vado sul sito di ccleaner IE si chiude in un secondo!!!
Ho provato gli anti-"tutto" + comuni, anche facedoli partire da chiavetta usb, ma non ho rilevato nulla!!
Che cavolaccio di virus e/o trojan è????
Preciso che la mia collega è abbastanza "utonta" di conseguenza potrebbe aver aperto mail o visitato siti pericolosi senza saperlo!!!
Grazie in anticipo per tutto l'aiuto che potrete darmi!!!
Saluti
Paolo

[Luke57]

Ciao, apri il registro di sistema:
start>esegui>regedit (lo digiti nello spazio)>OK
Cliccando sul segno + accanto alle singole voci, segui quresto percorso:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
clik sul segno + di quest'ultima voce, verifica se fra le varie sottovoci è presente
explorer.exe,
se è presente clik su di essa e riporta che cosa trovi al suo interno.

[harry_potter]

Ecco cosa c'è dentro nella voce "explorer.exe":

(Predefinito) REG_SZ (valore non impostato)
Debugger REG_SZ c:\windows\system32\elkjtlge.dat

A me "puzza" di qualcosa che non va, giusto ?

[Luke57]

Ciao, devieliminare l'intera chiave explorer.exe.
Segui questa procedura, magari stampa la pagina. La devi seguire nell'ordine perchè se elimini il file, lasciando la chiave di registro aggiunta dal malware (linkoptimizer b.), il computer si riavvia senza il desktop.
Scarica AVGPfix da qui (è un cleaner puro):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
(mettilo sul desktop)


2)apri il taskmanager (ctrl+alt+canc), premi il tab.Processi, evidenzia explorer.exe, premi Termina processo. A questo punto il desktop scomparirà, sempre dal taskmanager vai su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
explorer.exe

click tasto dx su explorer.exe>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e In lettura>OK. A questo punto, click tasto dx sulla voce e scegli Elimina.
Chiudi il registro

3)Sempre dal task manager , vai su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.

verifica di aver effettivamente tolto la voce explorer.exe, riavviando il computer e controllando nel registro.

4)avvii Avgpfix
(premi start, individui il file:
c:\windows\system32\elkjtlge.dat

premi OK per eliminare il file).


Poi fai anche questi controlli, sempre nel registro di sistema:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
RFC1156Agent
se trovi la voce che ti indico in neretto, click tasto dx e scegli Elimina

2)HKEY_LOCAL_MACHINE
SOFTWARE
Macromedia
ShockPlayer32
se trovi la voce in neretto click tasto dx e scegli Elimina

3)HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Internet Explorer
AdvancedOptions
sotto l'ultima voce in neretto, se trovi sottochiavi con nome causale con 5 lettere ( possono essere una o più) vanno eliminate
(in questo caso se hai dei dubbi, prima di cancellare informa nel forum il nome di quelle trovate)

Cerca ed elimina le stesse voci , se presenti, sotto la chiave iniziale di registro:
1)HKEY_CURRENT_USER
SOFTWARE
Microsoft
Internet Explorer
AdvancedOptions
Nome causale con 5 lettere

2)HKEY_CURRENT_USER
SOFTWARE
Macromedia
ShockPlayer32

3)HKEY_CURRENT_USER
SOFTWARE
Microsoft
RFC1156Agent

Finita la procedura, prova a utilizzare hijackthis e a postare un log.

[harry_potter]

Innanzitutto grazie infinite!
Penso di aver eliminato il tutto anche se, come vedrai dal log di hijackthis, ci sono tre voci sospette! Le posso eliminare ???

Logfile of HijackThis v1.99.1
Scan saved at 19.25.45, on 24/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Arcade\PCMService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Acer\eRecovery\Monitor.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\DOCUME~1\Manu\IMPOST~1\Temp\5093359.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\RioMSC.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\macromed\flash\GetFlash.exe
C:\Documents and Settings\Manu\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.acer-dialer.com/cgi-bin/step1.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\cisconetwork.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Programmi\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [phewv] "C:\DOCUME~1\Manu\IMPOST~1\Temp\5093359.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [phewv] "C:\DOCUME~1\Manu\IMPOST~1\Temp\5093359.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: RIO Mass Storage C (RioMSC) - Digital Networks North America, Inc. - C:\WINDOWS\system32\RioMSC.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

[Luke57]

Ciao, disconnesso da internet e con le applicazioni chiuse, apri hijackthis, premi "do a system scan only", cerchi e spunti le voci seguenti:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\system32\cisconetwork.exe",
O4 - HKLM\..\Run: [phewv] "C:\DOCUME~1\Manu\IMPOST~1\Temp\5093359.exe"
O4 - HKCU\..\Run: [phewv] "C:\DOCUME~1\Manu\IMPOST~1\Temp\5093359.exe"

premi fix checked.

Poi utilizzi AVgpfix precedentemente scaricato e vai a eliminare i seguenti file (visualizza anche i file e cartelle nascosti, da risorse del computer>strumenti>opzioni cartella>visualizzazione> metti la spunta a "visualizza file e cartelle nascosti", la togli a "nascondi file protetti di sistema">OK):
c:\windows\system32\cisconetwork.exe
C:\DOCUME~1\Manu\IMPOST~1\Temp\5093359.exe

Elimina poi tutti i file .temp e .tmp di windows, allo scopo installa CCleaner da qui:
http://www.filehippo.com/download/98383 ... /download/
lo installi, non scegliendo l'opzione "installa la barra di Yahoo". Lo avvii, lasci le impostazioni di default, solo che in opzioni>avanzate, togli la spunta a "cancella file temp solo se più vecchi di 48 ore". Clicchi su Pulizia ed elimini tutto quello proposto.

Inoltre, scarica questi due tools:

prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://securityresponse.symantec.com/av ... inkopt.exe

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)
Invia anche questo rapporto.

[harry_potter]

Fatto anche questo! Devo dire che era ben farcito!
Grozom
Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\lpt4.zcp
\\?\C:\WINDOWS\lpt4.zcp
Resetting file permissions...
Clearing attributes...
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\ohrda1.dll
Removed!
Trojan.Gromozon Removed!

Fixlinkopt

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

C:\Programmi\File comuni\System\aux.exe: (deleted)

Trojan.Linkoptimizer has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 41732
The number of deleted threat files: 1
The number of threat processes terminated: 0
The number of threat threads terminated: 0
The number of registry entries fixed: 0

The tool initiated a system reboot.

Devo fare qualcosaltro ??

[harry_potter]

Dimenticavo, devo formattare la chiavetta usb usata in precedenza?

[Luke57]

Ciao, il linkoptimizer può lasciare altri residui che possono sfuggire ai tools. Vai qui, scarica systemscan (strumento di diagnosi):
http://www.suspectfile.com/forum/viewtopic.php?t=466
lo metti sul desktop, estrasi il file .exe. Chiudi antivirus e programmi, lo avvii, spunti tutte le opzioni, premi scan now. Al termine della scansione, sarà generato un report in una cartella report.zip che troverai in C:\suspectfile.
Inserisci questa cartella in un sito di hosting, tipo
http://www.sendmefile.com/
premi sfoglia, individui la cartella,premi Upload. Dopo il caricamento del file, ti sarà dato il link per poterlo vedere che tu copierai in un successivo post. Quando l'avrò esaminato, potrai cancellarlo