Minaccia Sconosciuta O Stress Da Superlavoro (lungo)

[robfum]

Salve a tutti.

Da ieri mi stò scontrando con una qualche minaccia che non riesco ad identificare.

Tutto è cominciato con Outpost firewall che mi avvisava che QVDZAB.EXE

stava tentando di connettersi a 193.200.29.166 usando il protocollo http.

Fermo il programma con il task manager.

Cerco il malandrino e lo trovo in c:\document & setting\roby\local setting\temp

Blocco il malandrino lo zippo con password e allego ad una mail che l'intezione di inviarlo a qualche produttore di software antivirus / antispyware, ma lascio la mail in bozze.

Butto tutto il contenuto della cartella c:\document & setting\roby\local setting\temp

Nel frattempo lancio una scanzione completa del sistema con Kaspersky e vado a pranzo.

Al ritorno il mio fido antivirus mi annuncia:

L'allegato del messaggio di posta \qvdzab.zip\qvdzab.exe: rilevata nuova variante di un virus Password-protected-EXE

Lo dezzippo e lo faccio verificare da Kaspersky, ma non trova virus. Allora vado sul sito di Kaspersky e lo verifico con lo strumento on-line, e finalmente mi dice che si tratta di a variant of Win32/Dialer.RU.

A questo punto decido di buttare la mail in bozze (quella col sospetto virus), svuoto la cartella posta eliminata, e riavvio il PC.

Al riavvio OUTPOST mi annuncia che ho un nuovo problema. Questa volta si chiama mondwnmm.exe e stà cercando di connettersi a 85.255.115.133 sempre su porta 80.

Lo cerco e lo trovo in c:\windows\system32\, e oltrettutto trovo questi messaggi nel file

(è solo una parte la cosa si ripete più o meno uguale per diverse volte)

"tuatg.job" (mondwnmm.exe)

Started 5/2/2007 9:56:38 AM

"Task Scheduler Service" 5/2/2007 9:56:38 AM ** Error **

An error has occurred that will negatively affect the operation of the service.

The specific error is:

0x80070005: Access is denied.

Try using the Task page Browse button to locate the application.

"Task Scheduler Service" 5/2/2007 9:56:38 AM ** Error **

A failure occurred during service initialization.

The specific error is:

0x80070005: Access is denied.

Try using the Task page Browse button to locate the application.

"Task Scheduler Service"

Exited at 5/2/2007 9:56:38 AM

Blocco anche questo con OUTPOST. Lo fermo nel task manager, lo testo con Kaspersky ma niente. Allora vado sul sito di Karspesky e lo testo con lo strumento online, ma non mi dà nessun risultato cioè si comporta come se non avessi premuto il tasto submit. Strano! Con qualsiasi altro file mi dà risposte anche se negative.. Verifico e mi accorgo che è un file readonly. Cerco di sproteggerlo ma non riesco mi dice che il file è in uso. Lo sposto sul desktop. E lui ci viene. Lo rinomino. SI lascia rinominare. Cerco di zipparlo..non riesco. Installo Unlocker che è un'utility per rimuover file ostici alla rimozione. Non riesce a rimuoverlo e sclgo l'opzione di rimuoverlo al successivo riavvio. Riavvio la macchina. Non si rimuove!

Allora Installo HijackThis e controllo tutto. Non vedo nulla di strano.Installo e testo con Superantispam, AD-Aware, a-squared ANti-Dialer free, Spyware terminator. Nessuno trova nulla, ma in compenso al succesivo riavvio la macchina non riparte ma si riavvia. In safe mode parte ma in modalità standard no. Scelgo allora di riavviare in base all'ultima configurazione funzionante e il sistema riparte.

A questo punto cercando negli eventi di sistema, per capire cosa poteva essere la causa di questi riavvii mi accorgo che il Task Scheduler è già un paio di volte che non è partito

Event Type: Error

Event Source: Service Control Manager

Event Category: None

Event ID: 7023

Date: 03/05/2007

Time: 11.27.47

User: N/A

Computer: YODA

Description:

The Task Scheduler service terminated with the following error: Access is denied.

Trovo la DLL in questione e la faccio verificare al solito modo da Kaspersky sia locale che online. Niente.

A questo punto sono con un bel file sul desktop che non riesco a eliminare o zippare o copiare in nessun modo ma riesco a rinominare e spostare(!!!), il task scheduler che non riparte, un mucchio di antispyware installati e parecchi sulla situazione della mia macchina.

Il file in questione potrebbe essere una cartella mascherata da file che contiene qualcosa in esecuzione....si lo sò stò vaneggiando..ma ho dormito 4 ore questa notte!

Graditi suggerimenti!

[$angelique!?]

[ben]robfum[/ben]

Ciao robfum,

hai avuto un bel da fare vedo...

proviamo in questo modo:

Scarica ATF cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner (con i browser chiusi)

(se usi Firefox o Opera, selezionali dal menu in alto)

metti la spunta su "Select All" per ogni browser

e clicca su "Empty Select"

Abilita l'opzione "Visualizza cartelle e file nascosti" e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

e dimmi che cosa hai all'interno di questa cartella: c:\windows\tasks\

Posta anche il log di Hijack Istruzioni e Download Hijack

[robfum]

Ciao angelique e grazie per la risposta!

Al momento penso che la minaccia sia disattivata. In effetti ho 5 tasks sconosciuti in WIndows Tasks (quelli a cui facevo riferimento nel precedente messaggio).

Il problema è che sono Hdden e ReadOnly e non riesco a cambiare questi attributi. Comunque sò gia che lanciavamo il famoso MONDVNMM.EXE.

Il problema è che vorrei mandare questo eseguibile ai vari produttori di Antivirus/Antispyware ma non riesco perchè come ho scritto riesco a spostarlo e rinominarlo, ma non riesco a cancellarlo zipparlo copiarlo o allegarlo ad una mail, come se fosse in uso.

Al momento è sul mio desktop, rinominato in UFFA.

Hai idea di come poter cambiare gli attributi a questi files? Ho provato anche in safe mode.

Unica cosa ancora da fare eè fare il boot con altro S.O. (penso da dvd si possa fare)

Grazie

Roberto

Logfile of HijackThis v1.99.1

Scan saved at 13.45.28, on 04/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program Files\Sony\SmartWi Connection Utility\SmartWiService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Apoint\Apoint.exe

C:\Program Files\Sony\VAIO Power Management\SPMgr.exe

C:\Program Files\Sony\ISB Utility\ISBMgr.exe

C:\Program Files\Sony\SmartWi Connection Utility\WCULauncher.exe

C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Protector Suite QL\menusw.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Apoint\Apntex.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Sony\SmartWi Connection Utility\SmartWiTogglet.exe

C:\Program Files\X-Lite\X-Lite.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Program Files\Skype\Plugin Manager\SkypePM.exe

C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: del.icio.us Toolbar Helper - {7AA07AE6-01EF-44EC-93CA-9D7CD41CCDB6} - C:\Program Files\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Program Files\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sonyPowerCfg] "C:\Program Files\Sony\VAIO Power Management\SPMgr.exe"

O4 - HKLM\..\Run: [iSBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe

O4 - HKLM\..\Run: [WCULauncher] C:\Program Files\Sony\SmartWi Connection Utility\WCULauncher.exe

O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe"

O4 - HKLM\..\Run: [VAIO Recovery] C:\WINDOWS\Sonysys\VAIO Recovery\PartSeal.exe

O4 - HKLM\..\Run: [\\OBI-WAN_KENOBI\EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P43 "\\OBI-WAN_KENOBI\EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [biomenu] "C:\Program Files\Protector Suite QL\menusw.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [XSC SIP Client] "C:\Program Files\X-Lite\X-Lite.exe"

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Transfer by Image Converter 2 Plus - C:\Program Files\Sony\Image Converter 2\menu.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.sony.com/vaiopeople

O16 - DPF: {02CF1781-EA91-4FA5-A200-646E8241987C} (VaioInfo.CMClass) - http://esupport.sony.com/VaioInfo.CAB

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1159262226687

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://fotoalbum2.aruba.it/admin/ImageUploader3.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3E8C6F01-9118-4DCE-9168-AA255DCBAF83}: NameServer = 192.168.1.1

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: psfus - C:\WINDOWS\SYSTEM32\fusstub.dll

O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: SmartWiService - Sony Electronics, Inc - C:\Program Files\Sony\SmartWi Connection Utility\SmartWiService.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

[Kuma]

Ciao....

nel log di HJT non appare nulla di malevolo....

Siccome hai fatto 30, facciamo anche 31 (magari non serve, ma male non fa)

Scarica SDFIX: http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

- Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix

- avvia il sistema in modalità provvisoria

- Apri la cartella SDFix situata in C:\ e fai un doppio click su RunThis.bat per lanciare lo script

- seleziona Y per avviare la pulizia

- Quando te lo chiederà premi un tasto per riavviare(il sistema sarà piu lungo nell'avviarsi perchè lo script eseguirà l'eliminazione dei file trovati)

- Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished"

- Premi un tasto per terminare lo script e ricaricare le icone del desktop

- Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt

____________

il Cd d'installazione di XP, potrai avviare il PC, ma avrai la console d'emergenza (un Dos simulato in pratica e comunque anche con la console, dovresti essere in grado di eliminarlo)...

Fai partire il CD di Windows XP, e scegli la modalità di console di ripristino.

(Inserisci il cd e riavvia il computer, Premi un tasto quando ti verrà chiesto di farlo per fare il boot dal cd. Quando ti viene proposto di installare Windows premi il Tasto R per accedere alla console di ripristino.)

Da qui devi usare i comandi DOS (un poco differenti rispetto ai vecchi)

qui una breve guida: http://www.wininizio.it/forum/index.php?showtopic=44952

[robfum]

Ciao Kuma,

sono riuscito ad installare la Recovery Console di Windows con qualche ricerca, in quanto ho un Sony Vaio che arriva con una coppia di DVD da quali si può solo lanciare un'installazione completa che rade al suolo tutto e reinstalla windows e una montagna di altro software.

Lanciando c:\windows\i386\winnt32.exe /cmdcons si può installare la console.

Non ho usato SDFix, mi sembra tutto stabile, e preferisco non toccare più niente.

Stiamo a vedere.

Grazie

Roberto

[Kuma]

Ciao Kuma,

Lanciando c:\windows\i386\winnt32.exe /cmdcons si può installare la console.

Stiamo a vedere.

Grazie

Roberto

Ciao sì, il metodo è quello giusto (come anche descritto nella guida linkata)...

l'unico inconveniente è che ti appare ogni volta il menu d'avvio, ma comunque potrebbe fare molto comodo...

Facci sapere se è tutto OK ... i file incriminati, sei riuscito ad eliminarli ?