AAA: cercasi qualcuno che sappia leggere un log di hijackthis

Ciao ragazzi,
stamattina avg mi ha avvisato tristemente d'essermi buscato un "trojan agent rootkit" ... Ho letto i sintomi classici e ci sono tutti: tremendo rallentamento del pc, certe cartelle vanno in tilt se aperte, il virus cambia nome e cartella a ogni riavvio. Ho provato a fare un ripristino di sistema a un mese fa ma niente. Ora, so che con hijackthis e avenger è possibile eliminare il virus, ma serve sapere che script immettere in avenger per far eliminare il file, quindi bisogna riconoscere il marcio nel log. Io di logs non ne capisco una beneamata ceppa quindi se foste così gentili da aiutarmi e indirizzarmi nel trovare l'errore nel log ve ne sarei grato. Spero mi possiate aiutare.
Il log è questo:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.24.44, on 12/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Creative\SBExtigy\RemoteCenter\Rc\Rcman.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\Programmi\Creative\SBExtigy\RemoteCenter\Rc\EAX.exe
C:\Programmi\Creative\SBExtigy\RemoteCenter\Rc\VRC.exe
C:\Programmi\Creative\SBExtigy\RemoteCenter\Center\RCenter.exe
C:\Programmi\Creative\SBExtigy\RemoteCenter\Rc\OSDMenu.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Live\Toolbar\wltuser.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\Programmi\AVG\AVG8\avgcmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-0n (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AudCtrl] RunDll32 AudCtrl.dll,RCMonitor
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\SBExtigy\RemoteCenter\Rc\Rcman.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Update Service (gupdate1c98e068761f864) (gupdate1c98e068761f864) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 8787 bytes

So che il virus è in C:\WINDOWS\system32\drivers\ndis.sys
Posso semplicemente eliminare tramite lo script eliminate file?
Datemi una maaaanoooooo

NON CANCELLARLO!!! E' IL FILE CHE SERVE PER LA RICERCA DELLE INFEZIONI, SE TOGLI QUELLO DISABILITI LE TUE DIFESE!!!!

Poi ti ritrovi col pc pieno zeppo di schifezza come Siculo o Falco...

Da qui non riesco ma quando arrivo a casa nel pomeriggio-sera ti posto come fare.

Grazie ser heinz, avevo già provato a cancellarlo prima di leggere ma cmq avenger ha fallito perchè trova "accesso negato"... Man mano che vado avanti il pc si impalla sempre di più... aiutooooo

Fatti una scansione anche con xoftspyse

ranka via il tuo antivirus (avg, abbastanza in là in classifica) e scarica aviura antivirus download.html.it/software/getit/4636/avira-antivir-personal-free-an...

dopodichè scarica un buon antispyware e aggiornalo. fai puoi una scansione completa con tutti e due e dovresti essere a posto, se nn ce la fai, dicci. (scegli uno dei mirrors, io consiglio i safer networking) www.safer-networking.org/it/mirrors/index.html

Sean il problema è che il virus è nel sistema del pc, quindi non me lo fa eliminare. I tuoi programmi me lo fanno fare? Comunque il pc si impalla a ogni cosa che faccio se legata a internet, soprattutto i download, anche se da quando ho cercato di eliminare il file ndis.sys l'avviso di avg che appariva prima nn c'è più... Ho trovato nella cartella sistem32 anche un paio di cartelle chiamate catroot e catroot 2, questo mi fa pensare pensare... anche il file ndis è presente nella versione ndis e ndis 2! E per quanto riguarda il log? Qualcuno ci ha capito qualcosa a riguardo?

NON FARE NIENTE DI TUTTO CIO' CHE HA DETTO SEAN. Quelli sono giocattoli, non gli fai niente, giusto in classifica stanno bene.

Più lo punzecchi e usi il pc e più si infilerà nelle parti che attivi impedendoti di debellarlo, ho il sospetto che sia un replicante che protegge una door, scommetto che fai fatica anche a navigare...

Alla peggio useremo combofix, ma solo come ultima risorsa.

Intanto se puoi salva l'archivio su un supporto esterno, scriviti tutti i nomi utente, le psw, salva la posta e i segnalibri o preferiti che siano, l'attacco è ormai in profondità e potrebbe essere necessaria la formattazione.

Vedi se riesci a scaricarti Systemscan e prova a vedere se riesci a farlo girare, ha dentro anche avenger. Le cartelle catroot sono create da windows niente di che avere paura, sempre che non siano infette anche loro.
La guida è qui:
www.suspectfile.com/guida_systemscan.php

Certo che se tu avessi una chiavetta usb tipo winpenpack potresti attivare delle difese da lì e sarebbe più semplice.

A) fare una scansione all'avvio possibilmente con Avast o col tuo antivirus se ti dà l'opzione.

B) accedere in modalità provvisoria

Normalmente, all'avvio del Pc, durante il calcolo della RAM, è sufficiente premere il tasto F8 (oppure F4; CTRL +F4 ecc... dipende dal PC) per entrare in modalità provvisoria... Se per qualche motivo, il tasto non dovesse funzionare, procedete come segue:

1. Chiudere tutti i programmi aperti.
2. Fare clic su Start e poi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
3. Digitare msconfig e fare clic su OK. Verrà visualizzata l'Utilità configurazione di sistema.
4.Selezionare l'opzione "/SAFEBOOT".
5.Fare clic su OK.
6.Viene visualizzata la richiesta di riavviare il computer. Fate clic su Riavvia.
7.Il computer viene riavviato in Modalità provvisoria (tale operazione può richiedere qualche minuto di tempo).

Come utilizzare il metodo F8:
1. Riavviare il computer. Alcuni computer mostrano una barra di avanzamento che indica un set di istruzioni denominato Basic Input/Output System (BIOS). Altri non mostrano niente.
2. Immediatamente al termine del caricamento del BIOS, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Se si comincia a premere il tasto F8 troppo presto, su alcuni computer viene visualizzato il messaggio di errore "errore di tastiera". Per risolverlo, riavviare il computer e provare di nuovo.
3. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità provvisoria, quindi premere Invio.


C) disabilitare momentaneamente ripristino configurazione di sistema, riabilitare quando si è convinti che il virus sia eliminato

D) usare un programma di pulizia tipo ccleaner e selezionare tutte le impostazioni tranne le avanzate (segnare le psw e logins prima perché quelle salvate sul browser andranno perdute).

E) scandire tutti i dischi con tutti gli antivirus aggiornati che sono installati(se avete avast(pro) o nod32 o mcafee(entreprise), come antivirus principale, è meglio!)utilizzare sempre l'ultima versione disponibile in rete.

F) scandire tutti i dischi con gli anti spyware aggiornati, anche in questo caso, utilizzare sempre l'ultima versione disponibile in rete.

G) usare il cleaner per eliminare le chiavi di registro obsolete, poi dare un'altra pulita con il cleaner.

Quando si è finito di operare nella modalità provvisoria, avviare Windows in modalità normale tramite l'Utilità di configurazione di sistema: ripetere i passaggi da 1 a 4 ma al punto 4, deselezionare la voce /SAFEBOOT.
Chiudere tutti i programmi in esecuzione e riavviare normalmente il computer.
Con F8 riavviare e basta.

Ho scaricato ciò che mi hai detto heinz, ma dentro c'ha trovato 2 trojan ma che cazzo succede? nn ci capisco più nnt è normale che sia un file grande solo 750 kb? O è la backdoor che sta cercando di fottermi di più?

si heinz, in effetti avira nn è un granke, secondo in classifica è poco...

yourlifeupdated.blogspot.com/2009/03/miglior-antivirus-2009-chi-si-aggiud...

Ha scansionato il 3.3 % dei file e mi da sei avvisi quando finisce mi sa che metà computer me lo devo rifà sfigaccia porca

heinz, ci prepari una guida completa per la protezione del pc a qusto punto? con gli antivirus e gli antispyware, classifiche & co? sono curioso, nn lo avevo mai sentito quel programma che hai fatto vedere al nostro povero malcapitato.

Ma lascia perdere le classifiche Sean, servono solo a dare fumo negli occhi...

Lascia perdere systemscan Raven, ho provato e in effetti avast rileva due infezioni ma la web guard non mi disconnette immediatamente segno che il sito forse non è contaminato, potrebbe essere un falso positivo ma meglio non rischiare, certo non fosse così sarebbe un bello smacco per suspectfile.

Prova la procedura in modalità provvisoria con quello che hai, poi ci resta sempre combofix e alla fine il formattone...

stai seguendolo co qualcosa tipo crossloop?

Ora fermo la scansione che sta facendo e provo. Siamo a venti minuti dall'inizio ed è arrivato al 5% quindi per finire ci vorrano circa... 380 minuti?

Non fermare la scansione fino alla fine!!!! Porca miseria!!!! Ci volesse un giorno!!!!!!

Sean Cappone, 13/08/2009 16.40:

---

stai seguendolo co qualcosa tipo crossloop?

---

No niente VPN quando ci sono infezioni così gravi. In ogni caso i Vpn sono delle doors "benefiche" e il settaggio che ho ora non le permette né in entrata né in uscita, ci ho messo giorni per adattare le difese sulla mia configurazione Software e hardware e non ho intenzione di muovere nulla. Vado a palla da schioppo e sono iperprotetto.

heinz, mi sa che nn ho ben capito quando premere F8... io lo premo quando mi appare la schermata olidata, e si apre una schermata blu chiamata boot menu che mi dice di scegliere il primo device o na roba simile...
Mi sa che fai prima a farmi una lista di cose da fare e di cose da non fare sto in continua contraddizione

1. Chiudere tutti i programmi aperti.
2. Fare clic su Start e poi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
3. Digitare msconfig e fare clic su OK. Verrà visualizzata l'Utilità configurazione di sistema.
4.Selezionare l'opzione "/SAFEBOOT".
5.Fare clic su OK.
6.Viene visualizzata la richiesta di riavviare il computer. Fate clic su Riavvia.
7.Il computer viene riavviato in Modalità provvisoria (tale operazione può richiedere qualche minuto di tempo).

Fai questa che è sempre attuale. Purtroppo la procedura l'ho stikkata da un post che avevo fatto 2 anni fa e potrebbe essere obsoleta sul fatto dell'F8, le recenti configurazioni dei tasti all'avvio del pc non è che sono il pensiero principale nella mia vita, abbiate pazienza...