www.MegaLab.it

[MooKid]

Allora...mi sono beccato un virus e questo é ovvio...mi intacca questo dannato file wuauclt.exe che altro non é che il windows update, che é sempre presente e si ricrea all'infinito (anche se lo chiudo dal task manager e lo butto) ho dato un occhiata in giro su alcuni forum (http://forum.swzone.it/printthread.php?t=50504) che mi hanno ricondotto qui' ---> http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-w32.ahker.d@mm.html

le caratteristiche sono quelle...cpu a palla, win update sempre presente, impossibilità di modificare chiavi di registro ecc...ora li nel link c'é la procedura ...lunghissima....per togliere questo worm...ma é davvero troppo lunga per la mia sanità mentale...non é che conoscete un tool..un programmino...o qualsiasi altra cosa per pulirmi il pc?

ah ho pensato di togliere l'applicazione allo start con HijackThis ma non me la visualizza nel log...che già che ci sono vi scrivo qui' sotto.. :


Logfile of HijackThis v1.97.7
Scan saved at 0.16.07, on 30/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\lexbces.exe
C:\WINDOWS\System32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe
D:\CPUCold\CooLSrv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\usrbridg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
D:\Programmi\Adobe\Acrobat\Distillr\AcroTray.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programmi\Winamp\winamp.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
D:\Frx\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vxqbjphuqs.com/sYYI2Vdcc6Rew ... 7SsLCi.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll (file missing)
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - D:\PROGRAMMI\DAP\DAPIEBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmi\adobe\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {EEA0453A-BE01-4C24-AD0F-51E04BFD9167} - C:\Documents and Settings\user\Dati applicazioni\microsoft\internet explorer\1inav.dat
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [Connector] C:\WINDOWS\System32\CIWIN32.EXE -n
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [refrnnqg] C:\WINDOWS\xmlcfv.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmi\File comuni\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows] run.exe
O4 - HKLM\..\Run: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FILECO~1\System\MOSearch\Bin\mosearch.exe
O4 - HKLM\..\RunServices: [Windows] run.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - HKCU\..\Run: [AutoUpdater] C:\WINDOWS\System32\aupdate.exe
O4 - HKCU\..\Run: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Startup: Reality Fusion GameCam SE.lnk = C:\Programmi\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programmi\Norton AntiVirus\navapw32.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programmi\Adobe\Acrobat\Distillr\AcroTray.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmi\google\GoogleToolbar3.dll/cmtrans.html
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programmi\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programmi\Yahoo!\Common/ycsrch.htm
O9 - Extra button: Short Message (HKLM)
O9 - Extra button: E bazar (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: AllInOne (HKLM)
O9 - Extra 'Tools' menuitem: AllInOne (HKLM)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: ChatSpace Java Client 2.1.0.90L - http://64.85.10.126:8139/Java/cs4msl090.cab
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/c ... /at0_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 ... ge-c18.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by9fd.bay9.hotmail.msn.com/resou ... nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3766211828
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {AEFD32B6-4815-11D2-98E4-00C04FCEFE77} (SnCAX Class) - http://freetel.picus.it/Picus/SnC/AutoSetup/SnC.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - http://bar.baidu.com/update/dguser/IESe ... homedg.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E87A6788-1D0F-4444-8898-1D25829B6755} - http://fdl.msn.com/public/chat/msnchat4.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlexe.CAB



...non so se avete qualche idea o che....io una ce l'avrei....il megaformattone generale, solo che mi vorrei masterizzare un paio di cosine prima, ma con la cpu ridotta cosi', non oso immaginare i cd che brucierei!!


il mio Pc é un P4 1.6 Ghz, 384 MB RIMM, Win Xp Pro (senza neanche il Service Pack 1....il motivo é scontato...!)


grazie a tutti per l'eventuale aiuto!


saluti :)

[ba_61]

Non hai nè antivirus o firewall ed aggiornamenti da Update Aggiorna il tutto, se riesci, poi esegui una scansione in modalità provvisoria e con il punto di ripristino disattivato con Antivirus, Ad-Aware e Spybot. Controlla nelle installazioni se ci sono voci che non conosci e prova a rimuoverle. Il Log attuale è inutile leggerlo, per adesso. Esiste anche una versione più recente di Hijack. Nelle condizioni attuali, opterei per la formattazione, installi un Ativirus, lo aggiorni e vai in Update (forse fai prima).

[crazy.cat]

Direi che hai ben più di un problema, le voci che ti elenco sotto sono i tuoi possibili problemi, oltre al fatto che hai norton antivirus.
disattiva i punti di ripristino e riavvia il pc.
Fai una scansione con questo dalla modalità provvisoria
http://www.MegaLab.it/2333
se non basta ad eliminare le voci indicate qui sotto usa questo
http://www.MegaLab.it/2166
dopo passate di antispyware a scelta nei primi 4 della lista
http://www.MegaLab.it/forum/viewtopic.p ... 369#112369

quanto hai fatto usa il nuovo hijackthis http://www.MegaLab.it/3000
e riposta il log.

Come firewall cosa usi?

da eliminare
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vxqbjphuqs.com/sYYI2Vdcc6Rew ... 7SsLCi.htm
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll (file missing)
O2 - BHO: (no name) - {EEA0453A-BE01-4C24-AD0F-51E04BFD9167} - C:\Documents and Settings\user\Dati applicazioni\microsoft\internet explorer\1inav.dat

Probabili virus
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [Windows] run.exe
O4 - HKLM\..\RunServices: [Windows] run.exe
O4 - HKCU\..\Run: [AutoUpdater] C:\WINDOWS\System32\aupdate.exe
O4 - HKLM\..\Run: [refrnnqg] C:\WINDOWS\xmlcfv.exe
O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe

Puzza di dialer
O4 - HKLM\..\Run: [Connector] C:\WINDOWS\System32\CIWIN32.EXE -n

Spyware
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe
O4 - HKLM\..\Run: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FILECO~1\System\MOSearch\Bin\mosearch.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - HKCU\..\Run: [Windows Update Manager] C:\WINDOWS\wupdate.exe

Sospetti e da eliminare per sicurezza
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: ChatSpace Java Client 2.1.0.90L - http://64.85.10.126:8139/Java/cs4msl090.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 ... ge-c18.cab
O16 - DPF: {AEFD32B6-4815-11D2-98E4-00C04FCEFE77} (SnCAX Class) - http://freetel.picus.it/Picus/SnC/AutoSetup/SnC.cab
O16 - DPF: {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - http://bar.baidu.com/update/dguser/IESe ... homedg.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlexe.CAB

[MooKid]

grazie per le risposte, sempre gentili in questo forum ;)


comunque io un antivirus lo ho....ho Norton che sarà anche un busta...ma c'é.....solo che, e mi ero dimenticato di scriverlo, sto worm mi ha disabilitato l'auto-protect senza possibilità di ripristinarlo....non sono cosi' pazzo!


comunque avevo fatto uno scan col norton aggiornato, trovato le solite cosine...poi mi sono fatto uno sca online dal sito www.antivirus.com che trovo molto buono...mi aveva trovato alcuni file infetti, buttati tutti, tranne due che erano run.exe e wupdate.exe....solo che una volta chiuse queste due applicazioni dal task manager non si sono piu' ripresentate...

ho scaricato il nuovo Hijack provo a levare quello che mi avete suggerito e vi fo' sapere...

grassie ancora ;)

[MooKid]

risolto tutto col formattone royalo...


grazie a tutti comunque!

:)