Aiuto: Virus __p9hepqkbj.exe

[ariel]

Ciao a tutti, sono nuova e un po' imbranata, per cui vi prego massima comprensione . Intanto vi posto il logfile di hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 22.07.52, on 10/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\dpFixupSvc.exe

C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\__p9hEPQkbj.exe

C:\Programmi\Apoint2K\Apoint.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe

C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe

C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\WINDOWS\System32\hphmon05.exe

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\Programmi\Winamp\winampa.exe

C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Programmi\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Programmi\Apoint2K\Apntex.exe

C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Programmi\iTunes\iTunesHelper.exe

C:\Programmi\QuickTime\qttask.exe

C:\Programmi\iPod\bin\iPodService.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Programmi\Nikon\PictureProject\NkbMonitor.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\__p9hEPQkbj.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\marina\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?296

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\__p9hEPQkbj.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [HPHUPD05] C:\Programmi\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AtiPanel] C:\WINDOWS\atip.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [sERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: www.archiviosex.net

O15 - Trusted Zone: www.linkautomatici.com

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.sgrunt.biz

O15 - Trusted Zone: www.skymasters.biz

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1114355754031

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5C264738-8487-40FA-B8FD-F9DF03FB7DE4}: NameServer = 193.70.152.15 193.70.152.25

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: dp Fixup Service (dpFixupService) - digital publishing AG - C:\WINDOWS\System32\dpFixupSvc.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

O23 - Service: hpdj3600 - Unknown owner - C:\DOCUME~1\marina\IMPOST~1\Temp\hpdj3600.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

ho letto in precedenti discussioni che bisognerebbe avviare windows in modlità provvisoria, lanciare hijackthis e "do a system scan only" per poter cancellare i files infetti! il nio problema, tra gli altri, è che i file c:\WINDOWS\__p9hEPQkbj.exe che sono presenti nel logfile non mi compaiono nella lista voci da rimuovere quando faccio il "do a system scan only" e quindi non li posso cancellare. Mi potete dire cosa devo fare passo per passo. Grazie mille a tutti

[pollicina]

[ben]ariel![/ben]

[Kuma]

Ciao ariel ]ben arrivata anche da parte mia

Procedi con una passo alla volta...

FASE 1:

Scarica KILLBOX

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

# In full path inserisci :

C:\WINDOWS\__p9hEPQkbj.exe

# seleziona la casella DELETE ON REBOOT

# Clicca sulla X rossa a destra (il computer si riavvierà)

(Il percorso in questa immagine è solo un esempio)

Dopo il riavvio, da START\ESEGUI digita regedit

Controlla OGNIUNA di queste chiavi: (sopratutto in quella evidenziata)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

che non contengano la voce: [sERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe

Se ci sono eliminale (click sulla voce con il tasto destro)

------------------------------------------------------------------

FASE 2:

scaricati questi programmi (quelli che ti mancano)

Microsoft AntiSpy

SpyBot 1.4(antispy)

Ad_Aware 1.06(antispy) + Languages (ITA)

:::::::::::::::::::::::::::::: questi sopra AGGIORNALI::::::::::::::::::::::::::::::

CwShredder (controllo infezione CoolWebSearch)

SpyWare Blaster (Protezioni pagine dannose)

RegSeeker (Pulizia del Registro)

Ccleaner (pulizia file inutili)

BootSafe (per avviare facilmente in Mod. Provv.)

(questi serviranno per la pulizia e per una futura manutenzione del PC)

_____________________________________

Scarica inoltre : Killsgrunt

e lo Script per riparare la trusted zone

FASE 3:

1. Avvia KILLSGRUNT e fagli fare una scansione

2. Decomprimi lo SCRIPT per riparare la trusted zone, cliccaci sopra con il tasto destro e seleziona la voce INSTALLA

3. rifai un log aggiornato con Hijack e ripostalo qui

[ariel]

innannzitutto grazie per l'aiuto!! ...

ho provato a seguire tutti i suggerimenti ma devo aver sbagliato qcs..

- i programmi consigliati nella "fase2" li avevo scaricati ieri notte nel tentativo di risolvere qcs

- oggi ho scaricato killbox ma quando ho fatto "delete on reboot" mi è uscita una finestra di errore che diceva "pending file rename operations registry data has been removed by external process"

- riavviando (attraverso killbox) mi è uscita un'altra finestra di errore che dice "impossibile trovare il file c:\WINDOWS\__p9hEQkbj.exe. verificare che il percorso e il nome del file siano corretti e ritentare. Per cercare un file fare clic sul pulsante start quindi scegliere trova. (e qs finestra di errore ora mi esce ogni volta che riavvio...)

- ho cercato con "trova" ed è risultato un __p9hEPQkbj.exe-3358166B.pf in C:\WINDOWS\Prefetch

- ho poi controllato le chiavi da cercare con regedit

- nella cartella \Run ho trovato [sERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe e l'ho cancellato

- nella cartella \RunOnce non ho trovato nulla

- le cartelle \RunServices e \RunServicesOnce non le ho trovate del tutto.....

- c'era una cartella \RunOnceEx che non ho toccato perchè non compariva nella lista

ora __p9hEPQkbj.exe non compare più nel task manager di windows (ieri compariva in due righe)

vi allego il nuovo logfile di hijack; cosa devo fare x eliminare __p9hEPQkbj.exe del tutto e per la finestra di errore che mi compare quando riavvio?

vi ringrazio nuovamente per tutto l'aiuto

hijackthis2.txt

[Kuma]

Dai una ripulita con CCLEANER per i file Prefetch

invece per la voce che ti appare all'avvio:

Portarsi alla seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT ed eliminare la voce: ,C:\WINDOWS\__p9hEPQkbj.exe

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

In pratica la chiave, dopo l'eliminazione della voce infetta, dovrà presentarsi in questo modo:

Poi rimettimi qui il log aggiornato

[ariel]

dunque...

ho provato con ccleaner ma con "trova" mi compare ancora __p9hEPQkbj.exe-3358166B.pf in C:\WINDOWS\Prefetch..

nella cartella \Winlogon ho trovato "userinit" ma.. come si fa a togliere il pezzo ,C:\WINDOWS\__p9hEPQkbj.exe ? ho visto che con il tasto destro mi dà alcune opzioni di "nuovo" ma non vorrei fare altri danni!!!

sempre nella cartella \Winlogon ho visto anche una riga

shell REG_SZ explorer.exe C:\WINDOWS\__p9hEPQkbj.exe

ma l'ho lasciata dov'era

Modificato January 12, 2006 da ariel

[Kuma]

Da START\ESEGUI digita > cmd

quindi all'intreno della finestra dos scrivi:

del C:\Windows\Prefetch *.pf

conferma ai messaggi

Per togliere quella voce dal registro fai doppio click sulla chiave Userinit

Nella finestra che si apre evidenzia la voce da rimuovere (virgola compresa) ,C:\WINDOWS\__p9hEPQkbj.exe]

Premi quindi il tasto per cancellare (Back Space) e conferma con OK

[ariel]

dunque...

ora il file *.pf non compare più facendo "trova"

ho sistemato la stringa userinit in \Winlogon

nel log di hijack ora mi pare sia rimasta solo la riga relativa a

shell REG_SZ explorer.exe C:\WINDOWS\__p9hEPQkbj.exe

che avevo visto sempre in \Winlogon e che ho lasciato dov'era

(allego cmq il logfile)

la finestra di errore all'avvio (quella che ha iniziato a comparire da quando ho provato a usare killbox e mi dice impossibile trovare C:\WINDOWS\__p9hEQkbj.exe.) continua ad esserci..

p.s. grazie ancora!!

p.p.s. dimenticavo l'allegato!!!

hijackthis3.txt

Modificato January 12, 2006 da ariel

[Kuma]

Direi che siamo a posto.... :up1: Brava ottimo lavoro log quasi perfettamente pulito

elimina la voce infetta anche dalla voce SHELL seguendo lo stesso procedimento sopra e abbiamo finito (con questo dovrebbe sparire anche quella finestra d'avviso) spero...

[ariel]

ce l'ho fatta!!!

e niente finestra di errore al riavvio!!!!

spero sia definitivamente risolto.. era da natale che qs virus mi dava problemi ed una finestra di errore ogni 50 minuti.. ho trovato il vs forum quando stavo x formattare tutto!!

i prossimi post spero di scriverli tutti nella sezione 4chiacchiere!!

grazie ancora x tutto e... complimenti a te x la pazienza!!!

(allego l'ultimo log)

hijackthis_ultimo.txt

Modificato January 12, 2006 da ariel

[Kuma]

Complimenti ....ariel....!

Il tuo log è stato analizzato e giudicato pulito!

Ricorda però di installare un filrewall migliore di quello di XP

[ariel]

sarà fatto!!! adesso mi rileggo bene la sezione firewall e provvedo!!

[Kuma]

Installa uno di questi (solo uno ) sono free e in italiano

Kerio Personall FW

Zone Alarm