www.MegaLab.it

[gasduran]

Nel task manager vedo che mi si aprono continuamente Iexplore, il mio computer è un w98 con avast come antivirus, ho fatto controlli con ad aware e spyboot, cwsherdder, bazooka. Avvolte ho anche modifica nella pagina iniziale, il mio collegamento con ADSL non mi provoca grandi problemi ma con il passare del tempo vedo che nel task manager le Ie aumentano anche se nel computer e nella barra in basso di questa attività nulla risulta visibile.
grazie

Logfile of HijackThis v1.98.2
Scan saved at 9.17.50, on 13/05/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\NC.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\UMSD1.3\UMSD.EXE
C:\WINDOWS\SYSTEM\NVATRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\SBPCI\CTMIX32.EXE
C:\PROGRAMMI\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TEMP\WZC757\MAGIC.EXE
C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\DESKTOP\UTILITY\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PLoader] c:\program files\umsd1.3\umsd.exe sys_auto_run C:\Program Files\UMSD1.3
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

[crazy.cat]

Intanto aggiorna Hijackthis
http://www.trendsecure.com/portal/en-US ... ckthis.php

Sai cosa sono questi due programmi?
C:\WINDOWS\NC.EXE
C:\WINDOWS\TEMP\WZC757\MAGIC.EXE

Installa e aggiorna questo programma
http://download5.emsisoft.com/a2FreeSetup.exe
scansione completa ed elimina quello che trova.

ad-aware e bazooka li puoi anche eliminare, non servono a niente.

[gasduran]

sto facendo come hai detto.
Magic è un programma che permette di vedere la posta, chi la manda e l'oggetto, dal server senza scaricarla, l'altro non ho idea.

[gasduran]

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16.17.46, on 13/05/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\NC.EXE
C:\PROGRAM FILES\UMSD1.3\UMSD.EXE
C:\WINDOWS\SYSTEM\NVATRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\SBPCI\CTMIX32.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMP\WZC757\MAGIC.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS_V2.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PLoader] c:\program files\umsd1.3\umsd.exe sys_auto_run C:\Program Files\UMSD1.3
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE (User 'Default user')
O4 - .DEFAULT Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\SYSTEM\BROWSEUI.DLL
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\SYSTEM\BROWSEUI.DLL

--
End of file - 2682 bytes
Questo è il nuovo log con hj nella versione aggiornata ciao a presto grazie

[crazy.cat]

Fai analizzare il file C:\WINDOWS\NC.EXE sul sito www.virustotal.com e vedi cosa dicono che sia.
Se è un virus eliminalo.

La scansione con A2 squared ha dato qualche risultato?

[gasduran]

allora la scansione con a squared free ha permesso l'eliminazione di 23 cookies definiti non particolarmente dannosi, mentre per quella scansione su quel file la rispostaè stata:

STATUS: QUEUED
Your file "nc.exe" is queued in position: 44. Estimated start time is between 7 and 10 minutes.

Antivirus Version Update Result


Aditional Information

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.

[gasduran]

inoltre ora c'è un'altro problema all'avvio mi fa sempre due scandisk con il secondo di dettaglio cercando i cluster danneggiati etc.

[crazy.cat]

STATUS: QUEUED
Your file "nc.exe" is queued in position: 44. Estimated start time is between 7 and 10 minutes.

Dovevi lasciarla finire, non ha completato la scansione.

[gasduran]

hai ragione, ho inviato il file come allegato e incredibile il mio antivirus stavolta me lo indica come file sospetto, invece con controllo normale non mi dava alcun allarme, per poterlo inviare ho dovuto disattivare l'antivirus.
Appena avrò i risultati vi farò sapere, permane sempre il problema di prima all'avvio.

[gasduran]

VirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


Select file : DistributeSSL

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector.
Estadisticas Statistics of VirusTotal procesing.
Virustotal More info about Virustotal.


STATUS: SCANNINGFile "nc.exe" received on 05.14.2007 at 14:15:40 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AhnLab-V3 2007.5.15.0 05.14.2007 no virus found
AntiVir 7.4.0.15 05.14.2007 TR/Agent.16384.27
Authentium 4.93.8 05.12.2007 Possibly a new variant of W32/Threat-SysAdderSml-based!Maximus
Avast 4.7.997.0 05.13.2007 no virus found
AVG 7.5.0.467 05.13.2007 no virus found
BitDefender 7.2 05.14.2007 DeepScan:Generic.Malware.Yd!spg.9CEA8CB1
CAT-QuickHeal 9.00 05.14.2007 no virus found
ClamAV devel-20070416 05.14.2007 no virus found
DrWeb 4.33 05.14.2007 no virus found
eSafe 7.0.15.0 05.13.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3632 05.14.2007 Win32/Onfloa!generic
Ewido 4.0 05.14.2007 no virus found
FileAdvisor 1 05.14.2007 no virus found
Fortinet 2.85.0.0 05.14.2007 suspicious
F-Prot 4.3.2.48 05.12.2007 W32/Threat-SysAdderSml-based!Maximus


Aditional Information
File size: 16384 bytes
MD5: 1d8e435c96f7c92fb5a17e6cfcd1c84d
SHA1: 026ee5ce84003f0d2ef4cb6bea59e313be9b5cce
packers: UPX
packers: UPX
packers: UPX

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004-07:: e-mail info@virustotal.com

[crazy.cat]

Elimina il file nc.exe

[gasduran]

CIò PROVATO MA MI HA DETTO CHE UN FILE DI WINDOWS EQUINDI NON SI PUò

[Amantide]

CIò PROVATO MA MI HA DETTO CHE UN FILE DI WINDOWS EQUINDI NON SI PUò

Prova ad eliminarlo con l'aiuto di KillBox.

[gasduran]

ho fatto come detto il file è stato eliminato con il tuo programma, e sembra che l'incoveniente dell'apertura di Ie non si verifica solo che al momento dell'avvio mi si apre una finestra di window che la libreria dei file di nc.exe non è più disponibile.

[Amantide]

Ci sarà rimasto qualche riferimento al file nel registro di sistema. prova a fare la scansione con A-squared.

[gasduran]

ho fatto come dici ma il problema è rimasto.

[Amantide]

E' da un secolo che non uso Win98, vediamo se riusciamo a ripulire il registro manualmente.

Vai su Start--> Esegui, scrivi REGEDIT e premi Ok.
Clicca su Registro di sistema, quindi su Esporta file del Registro di sistema. Viene visualizzata la finestra Esporta file del Registro di sistema, scegli la destinazione per il file da salvare e salvalo con il nome Backup.
Vai su Modifica--> Trova (il percorso di Trova potrebbe anche essere diverso) ed inserisci nc.exe come la parola chiave da ricercare. Se verrà trovato qualcosa, dovrà essere eliminato (click con il tasto destro sulla voce--> Elimina).

[gasduran]

ho fatto come tu hai detto e ho trovato un nc.exe da qualche parte, ma il problema rimane forse nc.exe andrebbe rinserito ripulito ?

[Amantide]

ho fatto come tu hai detto e ho trovato un nc.exe da qualche parte, ma il problema rimane forse nc.exe andrebbe rinserito ripulito ?

Stò iniziando a credere che l'esito di virustotal su file nc.exe sia stato un falso positivo. Forse si tratta dell'applicazione NetCat ed allora si capisce come mai certi antivirus lo vedono come il file sospetto.

Se ne hai bisogno di questa applicazione, allora sicuramente ne avrai una copia del file e potrai rimetterlo dov'era.

[gasduran]

si ho una copia ma non riesco a ripristinarlo.