www.MegaLab.it

[po76]

Prima di tutto, salve a chiunque leggerà questa mia richiesta di aiuto.
Penso di avere beccato uno dei virus più stro..i che l'uomo abbia creato(almeno per le mie minime conoscenze di computer).
E' cominciato tutto quando ho tentato di fare uno scandisk con AVG.Quando tento di lanciare i miei antivirus(AVG, EWIDO, NORTON e SYGATE) non me li apre.
Ho provato a cercare dei programmi di antivirus da scaricare(tanto oramai il danno era fatto....)da internet per poter risolvere il problema, ma con molti ho lo stesso risultato: se lancio l'exe non mi apre il programma.In più se cerco di collegarmi a qualche sito specifico di antivirus non solo non mi apre la pagina internet, ma mi si chiude addirittura explorer.
Sono disperato.Inutile dirvi che il PC mi serve per lavorare e così come son messo, posso andare al parco col mio cane.
Spero che mi vogliate aiutare.
Il mio idirizzo di posta è xxx oppure xxx.
Se mi risponderete alla mia posta sono anche disposto a darmi il mio numero di cellulare così potremo parlarne anche a voce.
Grazie a tutti in anticipo.
Francesco.

thomas: nessuna informazione personale pubblicata, grazie

[Robby78]

come consueto, inizia col postare un log di hijackthis

[po76]

come consueto, inizia col postare un log di hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 15.24.47, on 30/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Symantec_Client_Security\Symantec
AntiVirus\Rtvscan.exe
C:\Programmi\Nfserver\nfsd.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\winservnt32.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\Programmi\Nfserver\lpd.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\ix\ixbtpwr.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Ix\K1sysmon.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page
= http://11.2.32.202/fasws.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.katamail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O1 - Hosts: 113.210.1.90 esercizio
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F}
- c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ixbtpwr] c:\ix\ixbtpwr.exe
O4 - HKLM\..\Run: [Embedded] c:\ix\setup\embedded.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Windows Subsys] "C:\WINNT\system32\winload.exe"
rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\Run: [Microsoftx] pown.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GC75-Manager-Class] "C:\Programmi\Sony Ericsson\Wireless Manager\GC75Manager.exe" -startup
O4 - HKLM\..\Run: [Othlqfn] C:\Program Files\Icfa\Zcjwbux.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\RunServices: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\RunServices: [Microsoftx] pown.exe
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - Global Startup: Monitor di sistema del portatile.lnk = C:\IX\K1SYSMON.EXE
O4 - Global Startup: BTTray.lnk = C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - 08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O15 - Trusted Zone: www.master70.biz
O15 - Trusted Zone: www.master71.biz
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 7943492046
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: Itronix System Service (Itrxsvc) - Itronix Corporation. - c:\ix\install\services\ITRXSVC.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Omni-NFS Server - XLink Technology, Inc. - C:\Programmi\Nfserver\nfsd.exe
O23 - Service: Pml Driver HPZ12 - HP - c:\WINNT\system32\HPZipm12.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: SAVRoam - symantec - C:\PROGRA~1\SYMANT~1\SYMANT~1\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - C:\WINNT\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: XLink LPD - Unknown owner - C:\Programmi\Nfserver\lpd.exe

[thomas]

Un nostro amico ha avuto lo stesso problema... e per mancanza di tempo utile ha preferito (dopo un minuzioso backup dei documenti) formattare e reinstallare (anche perché era qualche anno che non lo faceva).

Da come me l'aveva raccontata, è un virus davvero "intelligente"

[crazy.cat]

Rifai la scansione con hijathis e metti il flag queste righe e premi fix.
Con delete doctor selezioni i vari file exe che sono indicati e li metti in lista per la cancellazione
http://www.MegaLab.it/2427

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O4 - HKLM\..\Run: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\Run: [Microsoftx] pown.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\RunServices: [Windows Subsys] "C:\WINNT\system32\winload.exe" rundll32.dll,loadsubsys,loadwin32,loadsys,win32
O4 - HKLM\..\RunServices: [Microsoftx] pown.exe
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O15 - Trusted Zone: www.master70.biz
O15 - Trusted Zone: www.master71.biz

Conosci queste cose?
Se non sai cosa sono elimina pure queste.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://11.2.32.202/fasws.html
O1 - Hosts: 113.210.1.90 esercizio
O4 - HKLM\..\Run: [ixbtpwr] c:\ix\ixbtpwr.exe
O4 - HKLM\..\Run: [Embedded] c:\ix\setup\embedded.exe
O4 - HKLM\..\Run: [Othlqfn] C:\Program Files\Icfa\Zcjwbux.exe

Riavvia subito il pc ed entra in modalità provvisoria dove lanci una scansione con questo programma.
Ti lascio il link diretto in modo che puoi scaricarlo senza andare sulla pagina.
Estrai il contenuto del zip in una cartella e poi lanci il sysclean.com

http://www.trendmicro.com/ftp/products/tsc/sysclean.com
http://www.trendmicro.com/ftp/products/ ... lpt701.zip

Dopo le scansioni e pulizie, controlli che siano spariti i file indicati, altrimenti li cancelli tu e provi a ripartire in modalità normale per vedere come va.

Ho cancellato l'altro messaggio uguale a questo e messo ordine nel log.

[Amantide]

Per rimuovere WINSERVNT32.EXE ( Dropper.Payload ) puoi usare anche questo tool, Prevx1.