• Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Problema risolto Olmarik Virus

TRANZOLLO

Utente Esperto
Autore del topic
21 Maggio 2008
1.223
21
Miglior risposta
0
Buongiorno a tutti,
come da titolo mi sono preso (non so come) il trojan Omarik.
Ho provato ad eliminarlo in diversi modi: Combofix, Spyware Doctor e Panda - Total Scan
Come antivirus ho Nod 32 (versione 4)
Proprio l'antivirus ogni 5 minuti mi dà un messaggio d'errore con scritto che qualche applicazione ha tentato di accedere al file C:\Windows\System32\drivers\atapi.sys e tutto ciò mi innervosisce alquanto.
Qui vi posto il log di Hijackthis e lo screen del messaggio di errore, sperando che qualcuno possa aiutarmi.

Screen:
Perfavore, Entra oppure Registrati per vedere i Link!

Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.32.48, on 23/10/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18319)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe
C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MalwarebytesPortable\MalwarebytesPortable.exe
C:\Program Files\MalwarebytesPortable\App\Malwarebytes\mbam.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
Perfavore, Entra oppure Registrati per vedere i Link!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
Perfavore, Entra oppure Registrati per vedere i Link!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
Perfavore, Entra oppure Registrati per vedere i Link!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
Perfavore, Entra oppure Registrati per vedere i Link!

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
Perfavore, Entra oppure Registrati per vedere i Link!

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [DVDAgent] "C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe"
O4 - HKLM\..\Run: [TSMAgent] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe"
O4 - HKLM\..\Run: [CLMLServer for HP TouchSmart] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [TVAgent] "C:\Program Files\Hewlett-Packard\Media\TV\TVAgent.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Hewlett-Packard\Media\Webcam" update "Software\Hewlett-Packard\Media\Webcam"
O4 - HKLM\..\Run: [SmartMenu] %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [UpdatePDIRShortCut] "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "SOFTWARE\CyberLink\PowerDirector\7.0"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKUS\S-1-5-21-4010248194-1411448914-1478205661-1001\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden (User 'stefano')
O4 - HKUS\S-1-5-21-4010248194-1411448914-1478205661-1001\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'stefano')
O4 - HKUS\S-1-5-21-4010248194-1411448914-1478205661-1001\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP (User 'stefano')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia immagine alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Invia pagina alla periferica &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEA36944-03CD-4CFF-AA1D-748B30D73212}: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_408c4e5a\aestsrv.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_408c4e5a\STacSV.exe
O23 - Service: TV Background Capture Service (TVBCS) (TVCapSvc) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVCapSvc.exe
O23 - Service: TV Task Scheduler (TVTS) (TVSched) - Unknown owner - C:\Program Files\Hewlett-Packard\Media\TV\Kernel\TV\TVSched.exe

Grazie in anticipo
 
Sai a volte si deve ricorrere ad una pratica di uso molto comune: la formattazione. Ne hai mai sentito parlare? :emoji_confused:
 
Sai a volte si deve ricorrere ad una pratica di uso molto comune: la formattazione. Ne hai mai sentito parlare? :emoji_confused:

Non vorrei neanche risponderti -.-

Ho aperto questo post solo per sapere se ci fosse un modo per evitare la formattazione; anche un deficiente è capace di dire formattiamo e via
 
Guarda hai la versione di Malwarebytes anti-malware portable?
No perchè quella è l'unica cosa sospetta nel log (o almeno che io non conosca) e guardando ora lo screen mi sono resto conto che è proprio quell'applicazione che prova ad accedere al file di sistema.

Le cose sono due,quindi verifica che quel programma sia sicuro perchè magari è un falso positivo
 
C'è l'apposito topic dove postare la scansione Hijacktris.

Ma che bravo adesso hai un messaggio in più. -.-


Guarda hai la versione di Malwarebytes anti-malware portable?
No perchè quella è l'unica cosa sospetta nel log (o almeno che io non conosca) e guardando ora lo screen mi sono resto conto che è proprio quell'applicazione che prova ad accedere al file di sistema.

Le cose sono due,quindi verifica che quel programma sia sicuro perchè magari è un falso positivo

Sì la versione è portable, ma solo in questo caso è a causa sua che viene fuori il messaggio d'errore. Tutte le altre volte non è il programma ma è il processo svchost.exe
 
Puoi scrivermi qui la lista dei processi attivi nel tuo task manager? (o per lo meno quelli che non conosci o di cui ti fidi poco)
 
Nod32 ? Ti consiglio , Comodo, Avast o Avira, ma non Nod32 please xD
 
Cerca sul tuo pc conime.exe e scannerizzalo su virustotal,poi posta la scansione ed il log di combofix
 
svchost? guarda c'è ne tanti processi di quel nome su tutti i pc.
Tu vedi se ce ne è uno eseguito da administrator o il tuo nome utente.
IN QUEL CASO TERMINALO!
Infatti lo esegue solo System e Servizi di Rete.
--------------- AGGIUNTA AL POST ---------------
E servizio Locale
 
Ultima modifica:
Cerca sul tuo pc conime.exe e scannerizzalo su virustotal,poi posta la scansione ed il log di combofix

conime.exe non presenta virus (secondo nod)
ora posto la scansione di combofix e edito

svchost? guarda c'è ne tanti processi di quel nome su tutti i pc.
Tu vedi se ce ne è uno eseguito da administrator o il tuo nome utente.
IN QUEL CASO TERMINALO!
Infatti lo esegue solo System e Servizi di Rete.
--------------- AGGIUNTA AL POST ---------------
E servizio Locale

non ce ne sono di svchost.exe eseguiti dagli utenti
 
conime.exe non presenta virus (secondo nod)
ora posto la scansione di combofix e edito



non ce ne sono di svchost.exe eseguiti dagli utenti

Mhh.... potresti avere qualche lamerata che ti autoaccede col system per creare svchost maligni :asf: ma non penso... sarebbe troppo complesso per una lamer...
poi magari non è nulla e ti allarmi xD
--------------- AGGIUNTA AL POST ---------------
Nod32 ? Ti consiglio , Comodo, Avast o Avira, ma non Nod32 please xD

:ridicolo: veramente pensi che avira serva a qualcosa?
io uso avast!
 
Ultima modifica:
Sì io penso che avira serva a qualcosa,essendo il migliore in commercio e non (è il migliore a pagamento e gratis) tu usi Avast! ?
Forse è meglio che esci da questa sezione
 
Gabriel sbagli,il tuo è inutile. D:

Se non hai notato alle 19 ha scritto "ora posto il log" io alle 22:30 sono tornato e non l'ho visto,così ho pensato di ricordarglielo
 
  • Like
Reactions: 1 person