www.MegaLab.it

[ste_95]

Che problema da VLC?
Cortesemente, potresti zippare la cartella C:\Qoobox, caricarla su www.mediafire.com e spedirmi il link in privato? Grazie.

[SUMMERBOY]

Allora io clicco sull'icona di VLC aspetto un po' e poi mi esce un messaggio che dice:
Si è verificato un errore in VLC media player.L'applicazione verrà chiusa.
Poi i dettagli sono:
AppName: vlc.exe AppVer: 0.8.6.0 ModName: msvcrt.dll
ModVer: 7.0.2600.2180 Offset:00037740
Che problema c'è nella cartella che mi hai segnalato????

[ste_95]

Hai provato a reinstallare VLC disinstallandolo prima?

Che problema c'è nella cartella che mi hai segnalato????

Sono i backup che ComboFix ha fatto prima di cancellare i file infetti. Vorrei averli per vedere un po' che cosa sono.

[SUMMERBOY]

ok appena posso lo faccio.comunque AVG mi ha segnalato un altro Troyan:
C:\Sistem Volume Information\_restore(438A5565-4A3E-4007-8D8A-0C44435153A1)\RP293\A0087037.dll
lo elimino?????

[ste_95]

Disabilita il ripristino configurazione di sistema.

[SUMMERBOY]

Allora io disattivo il ripristono ,cancello il file, riavvio il pc e poi riattivo il ripristino??

[ste_95]

Disattivando il ripristino configurazione di sistema il file rilevato verrà automaticamente cancellato. Poi se riabilitarlo, decidilo tu basandoti sulla sua utilità.

[SUMMERBOY]

Se dovessi ripristianarlo pure il virus ricomparirebbe???

[ste_95]

Se dovessi ripristianarlo pure il virus ricomparirebbe???

No

[SUMMERBOY]

Allora VLC ho risolto istallando l'ultima versione.Il rispristino l'ho di nuovo attiavato.Adesso ho risolto???

[ste_95]

Io direi proprio di sì!

[kaputio]

Ciao, dopo un controllo di routine, il mio simpatico Symantec Antivirus ha prodotto il seguente risultato:

Tipo scansione: Protezione in tempo reale Scansione
Evento: Trovato virus!
Nome virus: Trojan Horse
File: C:\WINDOWS\system32\NetWeb.dll
Posizione: C:\WINDOWS\system32
Computer: USER-09749EA07F
Utente: SYSTEM
Azione intrapresa: Ripulisci non riuscito : Quarantena non riuscito : Accesso negato
Data rilevazione: lunedì 28 dicembre 2009 17.07.18

Cosa posso fare per eliminare il problema?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.32.28, on 28/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programmi\HP\HP Software Update\HPWuSchd.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\RayV\RayV\RayV.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programmi\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Recfree1.com Toolbar - {e10106e5-bd2e-445c-8e28-e7a12fdf05b5} - C:\Programmi\Recfree1.com\tbRecf.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Net Web - {2611BA72-CA20-B5C8-637B-81247C22A589} - C:\WINDOWS\system32\NetWeb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Recfree1.com Toolbar - {e10106e5-bd2e-445c-8e28-e7a12fdf05b5} - C:\Programmi\Recfree1.com\tbRecf.dll
O3 - Toolbar: Recfree1.com Toolbar - {e10106e5-bd2e-445c-8e28-e7a12fdf05b5} - C:\Programmi\Recfree1.com\tbRecf.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RayV] C:\Programmi\RayV\RayV\RayV.exe /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Documents and Settings\capu\Documenti\dati emule\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programmi\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7552 bytes

[lorenaino]

ciao,che versione hai di norton?
in ogni caso,disattiva momentaneamente l'antivirus e fai una scansione con combofix

[crazy.cat]

Hai per caso scaricato il plugin.exe che ti proponevano per vedere un video?

File: C:\WINDOWS\system32\NetWeb.dll

Fai una scansione con malwarebytes o superantispyware.

[kaputio]

... plugin.exe? Purtroppo non so risponderti, perché non sono io ad adoperare il computer in questione.
Ho effettuate la scansione con malwarebytes. Allego il log.

Malwarebytes' Anti-Malware 1.42
Versione del database: 3449
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

29/12/2009 14.01.31
mbam-log-2009-12-29 (14-01-26).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 188374
Tempo trascorso: 29 minute(s), 18 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 7
Valori di registro infetti: 0
Elementi dato del registro infetti: 3
Cartelle infette: 0
File infetti: 2

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\NetWeb.dll (Adware.Netweb) -> No action taken.

Chiavi di registro infette:
HKEY_CLASSES_ROOT\netweb.webq (Adware.Netweb) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{6e28da0a-5a2b-2cf8-abb4-ad4b1dc4b3a1} (Adware.Netweb) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4f5bd20b-a553-2674-4a41-742f5a516bb1} (Adware.Netweb) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2611ba72-ca20-b5c8-637b-81247c22a589} (Adware.Netweb) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2611ba72-ca20-b5c8-637b-81247c22a589} (Adware.Netweb) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2611ba72-ca20-b5c8-637b-81247c22a589} (Adware.Netweb) -> No action taken.
HKEY_CLASSES_ROOT\netweb.webq.1 (Adware.Netweb) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\NetWeb.dll (Adware.Netweb) -> No action taken.
C:\Documents and Settings\capu\Impostazioni locali\Temporary Internet Files\Content.IE5\6GVASLDE\plugin[1].exe (Adware.Netweb) -> No action taken.

[crazy.cat]

E' lui.

C:\Documents and Settings\capu\Impostazioni locali\Temporary Internet Files\Content.IE5\6GVASLDE\plugin[1].exe (Adware.Netweb) -> No action taken.[/log]

Digli a malwarebytes di rimuovere tutto alla fine della scansione.

[kaputio]

Fatto e riavviato. Per ora il messaggio di virus non è ricomparso.
Posso considerarmi fuori pericolo o è meglio se scansiono di nuovo?

[crazy.cat]

Posso considerarmi fuori pericolo o è meglio se scansiono di nuovo?

Direi che sei guarito.

[ila]

Salve a tutti,
sono nuova da queste parti... Sono arrivata a questo forum cercando una soluzione per un virus sul pc.. Il virus sembra essere lo stesso risolto nel mess. qui sopra. (nel file system32\net web.dll)
Ringrazio già da ora crazy.cat per le indicazioni date a kaputio . Ho eseguito malwarebytes e mi da questo log:

Malwarebytes' Anti-Malware 1.44
Versione del database: 3618
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

23/01/2010 13.04.15
mbam-log-2010-01-23 (13-04-03).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 111048
Tempo trascorso: 18 minute(s), 51 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 21
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 4

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\NetWeb.dll (Adware.Netweb) -> No action taken.

Chiavi di registro infette:
HKEY_CLASSES_ROOT\TypeLib\{6e28da0a-5a2b-2cf8-abb4-ad4b1dc4b3a1} (Adware.Netweb) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4f5bd20b-a553-2674-4a41-742f5a516bb1} (Adware.Netweb) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2611ba72-ca20-b5c8-637b-81247c22a589} (Adware.Netweb) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2611ba72-ca20-b5c8-637b-81247c22a589} (Adware.Netweb) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2611ba72-ca20-b5c8-637b-81247c22a589} (Adware.Netweb) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\netweb.webq (Adware.Netweb) -> No action taken.
HKEY_CLASSES_ROOT\netweb.webq.1 (Adware.Netweb) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{84da4fdf-a1cf-4195-8688-3e961f505983} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{db893839-10f0-4af9-92fa-b23528f530af} (Trojan.Dialer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectNet (Adware.AdSpy) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> No action taken.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\NetWeb.dll (Adware.Netweb) -> No action taken.
C:\RECYCLER\S-1-5-21-1229272821-1547161642-1801674531-1004\Dc17.exe (Adware.Netweb) -> No action taken.
C:\RECYCLER\S-1-5-21-1229272821-1547161642-1801674531-1004\Dc18.exe (Adware.Netweb) -> No action taken.
C:\Uninstall.exe (Trojan.Agent) -> No action taken.

Volevo sapere cosa fare ora... devo selezionare "rimuovi gli elementi selezionati?"

[crazy.cat]

devo selezionare "rimuovi gli elementi selezionati?"

Si.
Ma è meglio se fai la scansione completa, vedo che ti ha trovato anche chiavi di mywebsearch e di hotbar, però mi sembrano poche rispetto al solito.
Perdi un ora di tempo a fare la scansione ma almeno dovresti ripulire meglio.
Non serve che riposti il log alla fine della scansione completa.