MegaLab.it

compilmenti per i sito....questo è il mio primo messaggio ^^

Per la serie i guai nn arrivano mai da soli..

Era da qualche giorno che nod 32 ad ogni connessione a internet dopo pochi minuti mi bloccava un thread poi ieri ha smesso di farlo....e mi sono beccato il virus/trojan.
In pratica quando mi connetto a internet dopo 2 o tre minuti nn posso + navigare sul web,nn carica + le pagine.Word of Warcraft invece funziona.
Ho scoperto che se apro il task manager e termino il processo msrv32 posso continuare a navigare(lentissimo),però il rocesso si riattiva automaticamente dopo 5sec.
Non posso attivare il firewall perché mi dice che è regolato da "criteri di gruppo"(?)e ange gli agg. automatici me di disattiva in continuazione
Ho scaricato hijackthis_sfx ma nn riesco ad entrare in mod. provvisoria per cui l'ho fatto partira da win normale..qua di seguito il log(eseguito a pc nn connesso a internet)......grazie a tutti


C:\Programmi\ICQToolbar\toolbaru.dll
O3 - Toolbar: War Rock Toolbar - {5D956A61-05E7-427B-A2B1-BF32FB18B1BE} - C:\Programmi\War Rock Toolbar\v3.2.0.0\War_Rock_Toolbar.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Programmi\Windows Media Connect 2\WMCCFG.exe" /StartQuiet
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copia 1)" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programmi\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programmi\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_2
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot
O4 - Startup: ms.exe
O4 - Startup: Xfire.lnk = C:\Programmi\Xfire\Xfire.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Esegui il programma di registrazione della chiave USB Wi-Fi Nintendo.lnk = C:\Programmi\WiFiConnector\NintendoWFCReg.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {C63A1E87-BCC9-491A-A392-A6C1D46DEE13} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1118505759296
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD7798BC-A0A9-4C3F-AF15-360D2AD7C444}: NameServer = 212.216.112.112,212.216.172.62,85.37.17.17,85.38.28.72
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Application Layer Gateway - Unknown owner - C:\WINDOWS\system\msrv32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe
O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DCPFLICS - Unknown owner - C:\Programmi\DCPFLICS\DCPFLICS.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - Unknown owner - C:\Programmi\File comuni\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Microsoft Validation Service - Unknown owner - C:\WINDOWS\wmiprsv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Eccolo qui il worm agabot
O23 - Service: Application Layer Gateway - Unknown owner - C:\WINDOWS\system\msrv32.exe

Tramite il tools della nod http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP o Unlocker cancella il file exe e poi rimuovi il servizio fasullo con questo sistema
http://www.MegaLab.it/2578.

Poi riavvia e riprova gli aggiornamenti e il firewall.

crazy.cat ha scritto:Eccolo qui il worm agabot
O23 - Service: Application Layer Gateway - Unknown owner - C:\WINDOWS\system\msrv32.exe

Tramite il tools della nod http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP o Unlocker cancella il file exe e poi rimuovi il servizio fasullo con questo sistema
http://www.MegaLab.it/2578.

Poi riavvia e riprova gli aggiornamenti e il firewall.

Scusa ma con il tool nella nod nn riesco ad individuare C:\WINDOWS\system\msrv32.exe ...windows nn vede questo file..come posso fare?

grazie

Per prima cosa abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti), poi termina dal task manager i processi da eliminare, e poi trova ed elimina questi file:

C:\Documents and Settings\****\Menu Avvio\Programmi\Esecuzione automatica\ms.exe - al posto degli asterischi dev'essere il nome del tuo utente.
C:\WINDOWS\system\msrv32.exe
C:\WINDOWS\wmiprsv.exe

Poi rifai la scansione con Hijackthis, seleziona queste voci e premi Fix Checked:
O4 - Startup: ms.exe
O23 - Service: Application Layer Gateway - Unknown owner - C:\WINDOWS\system\msrv32.exe
O23 - Service: Microsoft Validation Service - Unknown owner - C:\WINDOWS\wmiprsv.exe

Comunque il log è incompleto, ci servirebbe un altro.

Fai anche la scansione dalla modalità provvisoria (F8 all'avvio) sia con Nod32 che con AVG Antispyware.

Amantide ha scritto:Per prima cosa abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti), poi termina dal task manager i processi da eliminare, e poi trova ed elimina questi file:

C:\Documents and Settings\****\Menu Avvio\Programmi\Esecuzione automatica\ms.exe - al posto degli asterischi dev'essere il nome del tuo utente.
C:\WINDOWS\system\msrv32.exe
C:\WINDOWS\wmiprsv.exe

Poi rifai la scansione con Hijackthis, seleziona queste voci e premi Fix Checked:
O4 - Startup: ms.exe
O23 - Service: Application Layer Gateway - Unknown owner - C:\WINDOWS\system\msrv32.exe
O23 - Service: Microsoft Validation Service - Unknown owner - C:\WINDOWS\wmiprsv.exe

Comunque il log è incompleto, ci servirebbe un altro.

Fai anche la scansione dalla modalità provvisoria (F8 all'avvio) sia con Nod32 che con AVG Antispyware.

Ho abilitato l'opzione di visualizzazione dei file nascosti ma msrv32 nn appare all'interno di windows/system
Anceh cercandolo con la funzione cerca di win nn trovo niente
Lo vedo solo dal taskmanager.

termina il processo nel task manager o prova dalla modalità provvisoria ad eliminarlo.

Scarica The Avenger, estrai archivio in una cartella ed avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno del form copia ed incolla questo script:

Files to delete:
%UserProfile%\Menu Avvio\Programmi\Esecuzione automatica\ms.exe
C:\WINDOWS\system\msrv32.exe
C:\WINDOWS\wmiprsv.exe

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\Application Layer Gateway
HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Validation Service


Dopodichè clicca sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondi alle successive domande Si .
Il pc dovrebbe riavviarsi da solo,se cosi non fosse riavvialo manualmente.
Alla fine allegami il log di Avenger che si trova in C:/avenger.txt

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ypnuajur

*******************

Script file located at: \??\C:\WINDOWS\system32\bwfoctlj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at c:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\cgo\Menu Avvio\Programmi\Esecuzione automatica\ms.exe deleted successfully.
File C:\WINDOWS\system\msrv32.exe deleted successfully.
File C:\WINDOWS\wmiprsv.exe deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\Application Layer Gateway deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Validation Service deleted successfully.

Completed script processing.

*******************

Finished! Terminate.




questo è il log....
in effetti ora dal taskmanager nn c'è + il servizio msrv32.Però il firewall è come disattivato e nn me lo fa cambiare:dice "per motivi di sicureza alcune impostazioni sono regolate da criteri di gruppo"
Anche gli update automatici di win sono disattivati ,e ogni volta che li riattivo dopo poco tornano disattivati

Sicuramente i file ed i servizi eliminati erano solo la punta dell' iceberg.

Scarica Gmer, vai su tab Autostart, spunta la vose Show all e clicca su Scan. A scansione terminata clicca su Copy ed incolla il risultato sul blocco note. Ripeti l'operazione anche per Autostart.
Poi scarica Systemscan, estrailo ed avvialo. Spunta tutte le voci e clicca su Scan. A scansione terminata trova in C:\suspectfile il file report.txt, comprimilo in un archivio rar o zip insieme al log Autostart e Rootkit di Gmer ed allega questo archivio al tuo prossimo post.

scusa se ho tardato con la risposta....allora ho fatto tutto quello che mi hai detto.
Qua c'è il link per scaricare il file zippato

http://www.megaupload.com/?d=9V6KKJGE

grazie ancora

Carica questi file sul www.virustotal.com e vedi di cosa si tratta, i primi 2 al 99% sono i virus, potrebbero esserlo anche altri. Quelli malevoli provvedi ad eliminare.

C:\guaaaga.exe
C:\msrwl32.exe
C:\WINDOWS\AKDEIN~1.EXE
C:\WINDOWS\SYSTEM32\STRINGS.EXE
C:\WINDOWS\SYSTEM32\CEBASA~1.DLL

Svuota anche manualmente tutte le cartelle dei file temporanei.

Vi/ti ringrazio veramente tanto.....
Sono quasi imbarazzato dalla tua disponibilità e cortesia.

Posso dire che in 10 anni è la prima volta che riesco a nn formattare dopo aver preso un virus....

ps ora il firewall nn è ancora modificabile(criteri di gruppo(?)) però è su attivo e sembra tornato a funzionare

grazie ancora



edit:

Visto che sono stato accusato(giustamente)su un altro forum di aver aperto due topic identici su due forum diversi http://www.hwupgrade.it/forum/showthrea ... st16480598

Mi sembrava giusto segnalarvelo e scusarmi anche qua,perché priprio nn immaginavo fosse una cosa da non fare,(anzi lol)...Visto però che uno sbaglio nn è giustificabile da l'ignoranza mi assumo tutte le conseguenze anche su questo forum

Non ti preoccupare, capita a tutti di sbagliare... anche io avevo sbagliato reagendo in quel modo

Per quanto riguarda firewall, è meglio se installi un firewall "vero" al posto di quello di windows.