www.MegaLab.it

[fredericks]

La settimana scorsa ho notato che quando mi connettevo con l'adsl (alice) improvvisamente cominciavano a bloccarsi prima il client di posta (thunderbird), poi borwser (firefox), e succedeva che non potevo più neanke aprire iil task manager. O meglio, si apre, infatti in basso a destra compare l'icona, ma non compare la finestra, e così anche se riprovo, appaiono solo altre iconcine.
Se tento di terminare i programmi bloccati l'unico che a volte si riesce a terminare è il browser. Da notare che succede anche con MSIE.
Quando lo termino in genere riesco a riaprire e navigare senza problemi, però non riesco a disconnettere in nessun modo la connessione adsl (l'icona in basso a destra è come bloccata).

Se provo a chiudere la sessione o disconnettere a volte succede che ci riesco ma il più delle volte rimane bloccato e devo spegnere brutalmente (sta succedendo troppo spesso ultimamante).
Allora faccio un controllo antivirus con AVG e scopro che ho un virus. sembra che lo rimuove, ma guardo i processi in esecuzione e ci trovo alcuni file strani, e li termino e tolgo i riferimenti nel registro.

Da notare che se attacco il portatile alla rete dell'università non mi crea nessun problema, funziona tutto...

Più tardi mi collego, stavolta con un modem 56k e la connessione va lentissima, provo tante volte ma niente e mi si bloccano di nuovo i programmi.
Guardo di nuovo i processi e trovo svhost.exe (che inizialmente mi aveva ingannato). Termino il processo, tolgo la voce di registro e finalmente la connessione va.

fino ad oggi, che ho usato di nuovo l'adsl e mi si ripresenta lo stesso problema, solo che stavolta in esecuzione non c'è un bel niente.
Però dopo qualche secondo AVG mi dice che c'è un trojan, lo stesso di prima:SdBot.120.BO, come da oggetto.
Rifaccio la scansione e lo trova e lo elimina (era di nuovo svhost, ma non era in esecuzione tra i processi e non c'è traccia nel registro).

Morale della favola, ogni volta che mi connetto con l'adsl, prima o poi si bloccherà, soprattutto se apro programmi come il client di posta, kazaa (lite, senza spyware) o icq, ma anche se navigo semplicemente.

Putroppo non so come difendermi, non vedo nulla di strano in esecuzione, nè spybot nè hijackthis mi sembra che mi dicano niente di strano, e nel registro non ci sono riferimenti a programmi strani...

[fredericks]

Ecco il log di HijackThis

Logfile of HijackThis v1.99.0
Scan saved at 16.37.47, on 08/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe
C:\PROGRA~1\Grisoft\AVG Free\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\Mozilla Firefox\firefox.exe
D:\WinXP - MegaLab\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG Free\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG Free\avgemc.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BA76C40-CC2A-47EA-9737-D3ABFDD90F41}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{87F29592-267F-43C7-80CC-930D9B1982B5}: NameServer = 147.163.15.10,147.163.1.22
O23 - Service: Apache2 - Apache Software Foundation - C:\Programmi\Apache Group\Apache2\bin\Apache.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG Free\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG Free\avgupsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MATLAB Server - Unknown - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

[crazy.cat]

Come SdBot.120.BO non trovo notizie precise, svhost è collegato con troppi virus.
Cerca in home page scangui e cleanboot e usa quelli per farti una bella scansione, prima di tutto disattiva il ripristino della configurazione e riavviia il pc in modo da cancellare tutti i virus che sono nascosti li dentro.
Nel log non si vede niente di pericoloso.

[fredericks]

grazie del consiglio crazy....ho scaricato scangui, ho aggiornato le definizioni, ho riavviato in modalità provvisoria e ho fatto la scansione.
ecco il report:

....
Scanning C: []
Scanning C:\*.*
C:\Documents and Settings\Sunrise\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat ... file could not be opened.
C:\Documents and Settings\Sunrise\ntuser.dat ... file could not be opened.
C:\pagefile.sys ... file could not be opened.
C:\WINDOWS\system32\config\default ... file could not be opened.
C:\WINDOWS\system32\config\SAM ... file could not be opened.
C:\WINDOWS\system32\config\SECURITY ... file could not be opened.
C:\WINDOWS\system32\config\software ... file could not be opened.
C:\WINDOWS\system32\config\system ... file could not be opened.
C:\WINDOWS\system32\dnsrslve.exe\dnsrslve.exe\dnsrslve.exe\dnsrslve.exe ... Found the W32/Sdbot.worm.gen.g virus !!!
C:\WINDOWS\system32\p6.exe\p6.exe\p6.exe\p6.exe ... Found the W32/Sdbot.worm.gen.g virus !!!

Summary report on C:\*.*
File(s)
Total files: ........... 153245
Clean: ................. 60788
Not scanned: ........... 92447
Possibly Infected: ..... 2
Non-critical Error(s): 1
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0

Ecco il worm colpevole:

W32/Sdbot.worm.gen.g virus

Dopo ho rieseguito dicendogli di ripullire i files infetti e ha eliminato i due files.
Non so come mi era sfuggito dnsrslve.exe, mentre p6.exe era stato rilevato da AVG e lo aveva eliminato qualche giorno fa...

Ora sembra tutto a posto....già pensavo di dover formattare...
Grazie

[fredericks]

mi sono sbagliato.....ho riprovato a connettermi con l'adsl e tutto sembrava a posto....il task manager funzionava, ho cominciato ad aprire un sacco di programi per metterlo alla prova (download accelerator, kazaa, il browser, la posta), è durato un po' (più del solito devo dire) e poi si è bloccato di nuovo.....

Io non capisco perché mi si blocca solo con l'adsl.
infatti se uso una connessione dial-up nessun problema, e con una rete locale nemmeno....
non credo che ci sia un problema con l'adsl, perché fino a un paio di settimane fa funzionava bene....

mi rimane solo una cosa da fare.....usare cleanboot, l'unico che non ho ancora provato

[fredericks]

quando provo a creare l'immagine iso con cleanboot mi dice:

"failed to create cd image"

ho aggiornato i DAT ma non l'engine

nessuna idea?

[crazy.cat]

Qui ci sono 4 antivirus
http://www.MegaLab.it/2359

L'engine non è possibile aggiornarla, ma l'immagine Iso la crea sempre.

[fredericks]

ti assicuro che non la crea limmagine, mi dà quel messaggio di errore e non fa nulla....

Dimmi una cosa....il DAT da scaricare sono gli stessi di scangui?

Allego lo screenshot:

[crazy.cat]

Codice: Seleziona tutto

Dimmi una cosa....il DAT da scaricare sono gli stessi di scangui?

Si

Usa l'altro cd di boot che ti linkato.

[fredericks]

devo scaricare solo il primo allegato, cioè MegaLab CD, oppure tutti?

In ogni caso non ho l'adsl a disposizione, devo aspettare lunedi quando vado all'università.....non posso scaricare 20 mb con un modem 56k....

[crazy.cat]

Ti basta il primo.

Avevo riprovato a creare l'immagine Iso con cleanboot e funzionava, non ho idea perché non ti riusciva.

[holly56]

lLeggo questa discussione e mi voglio inserire anch'io in quanto da tempo ho il problema irrisolto del blocco del Task Manager , con le stesse modalita' descritte nella discussione in esame, di cui NON ho capito quale e' stato l'esito..

Come Antivirus uso Antiv P.E. e la mia dotazione e' :
O. S. Windows XP Professional (5.1, Build 2600) (2600.xpclient.010817-1148)
Processore AMD Duron ~1.2GHz
Memory: 224MB RAM
DirectX Version: DirectX 9.0c (4.09.0000.0904)
Collegamento Internet con modem analogico 56K tin.

Quindi solo collegamento analogico : il blocco avviene quando sono collegato alla rete con e-mule oppure in genere quando sono collegato con internet tramite modem.

Se guardo dal riquadro modem per lo stato connessione TIN , vedo inoltre che contemporaneamente c'e' INVIO di dati dal PC verso l'esterno oltre alla normale ricezione dall'esterno durante il collegamento.Non capisco questo TRAFFICO VRSO L'ESTERNO , visto che se apro il task manager non ho applicazioni aperte in esecuzione , salvo ovviamente quelle consentite.

AVpersonal SE mi ha segnalato il WORM SDBOT.92160.83 inserito nel file DLdr32.exe in System32 e inoltre TR/Dldr..Adload.AZ IN C:/ STEAM.EXE.

Questo comportamento va e viene : disinfetto con AV o Ewido3.5 e dopo un po' appena mi ricollego alla rete ricompare sdbot ed il blocco del task manager.Le disinfezioni ovviamente sono fatte in modalita' provvisoria e con il ripristino disabilitato.

Conoscete qualche Cleaner specifico - E GRATUITO... -
proprio per questo benedetto SDBOT?

Ciao

H.