www.MegaLab.it

[fredericks]

Ciao...ho beccato un virus che mi ha infettato svchost.exe
ho tentato di rimuoverlo con l'antivirus AVG ma al massimo me lo mette in quarantena...allora ho pensato di rimuovere il file svchost a mano e metterci la versione originale dal cd di windows....ma nn potendolo rimuovere mentre era in esecuzione ho terminato tutti i svchost in esecuzione ottenendo come risultato il riavvio del sistema[B)]
Allora ho riavviato in modalità provvisoria...e ho rimosso il file infetto....solo che ora ho un problema: oltre al svchost in windowssystem32 e windowssystem32dllcache ce n'era un altro in c:windows (proprio quello che ho cancellato)
ma la dimensione era diversa dagli altri due (nn ricordo esattamente quale)....quindi come faccio a ripristinarlo? e soprattutto perché apparentemente tutto funziona bene anche senza quel file?

grazie
fede

PS: (non è sasser ma un virus che mi setta la pagina iniziale di explorer con un motore di ricerca alquanto dubbio...solo che se guardo la pagina iniziale in explorer è sempre about:blank)
Meno male che uso quasi sempre Mozilla!

[crazy.cat]

Come si chiama questo virus?

[fredericks]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da crazy.cat</i>
<br />Come si chiama questo virus?
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
beh l'antivirus mi dice
trojan horse StartPage.4.BS

ti dice niente?

[luky]

Ci sono utility apposite per rimuovere i dirottatori di browser, uno di questi è CWShredder.

Ciao

Luky

[fredericks]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da luky</i>
<br />Ci sono utility apposite per rimuovere i dirottatori di browser, uno di questi è CWShredder.

Ciao

Luky
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

veramente grazie ho scaricato CWShredder e mi ha rimosso ogni traccia del Trojan.
Ora mi appresto a rimuovere la Microsoft Java VM.

Grazie Ancora
Federico

[fredericks]

ho parlato troppo presto....oggi l'antivirus mi ha rilevato di nuovo lo stesso virus....pensavo nn ci fosse più traccia invece....ho eseguito di nuovo CWShredder ma non ha trovato nulla infettato

[crazy.cat]

Con questo puoi salvarti il log della scansione e pubblicalo qui così vediamo se c'è dell'altro (non cancellare niente di quello che trova)
http://209.133.47.200/~merijn/files/HijackThis.exe

Se hai xp o Me avevi disabilitato il ripristino delle configurazione del sistema?

[fredericks]

mi sono appena accorto che avevo disattivato il ripristino (XP) a causa di un virus che non c'era più ma lo trovava in un punto di ripristino.

Allora:HijackThis ha trovato questo:
--------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 10.05.10, on 21/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSSYSTEM32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:ProgrammiApache GroupApacheApache.exe
C:PROGRA~1GrisoftAVG6avgserv.exe
C:WINDOWSSystem32cisvc.exe
C:ProgrammiApache GroupApacheApache.exe
C:ProgrammiFile comuniEPSONEBAPISAgent2.exe
C:ProgrammiFile comuniMicrosoft SharedVS7Debugmdm.exe
C:mysql1inmysqld-nt.exe
C:WINDOWSsystem32pctspk.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:ProgrammiApoint2KApoint.exe
C:ProgrammiGrisoftAVG6avgcc32.exe
C:ProgrammiPTBSyncPTBSync.exe
C:ProgrammiJavaj2re1.4.2_03injusched.exe
C:ProgrammiFile comuniRealUpdate_OB ealsched.exe
C:ProgrammiApoint2KApntex.exe
C:PROGRA~1MOZILLA FIREFOXFIREFOX.EXE
C:PROGRA~1ICQICQ.exe
C:WINDOWSSystem32cidaemon.exe
C:Documents and SettingsfreddyDesktopHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://bestsearch.cc/2484/search.php?qq=
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:ProgrammiDAPDAPBHO.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file)
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [Apoint] C:ProgrammiApoint2KApoint.exe
O4 - HKLM..Run: [AVG_CC] C:ProgrammiGrisoftAVG6avgcc32.exe /startup
O4 - HKLM..Run: [PTBSync] C:ProgrammiPTBSyncPTBSync.exe /Start
O4 - HKLM..Run: [Mirabilis ICQ] C:PROGRA~1ICQICQNet.exe
O4 - HKLM..Run: [SunJavaUpdateSched] C:ProgrammiJavaj2re1.4.2_03injusched.exe
O4 - HKLM..Run: [TkBellExe] "C:ProgrammiFile comuniRealUpdate_OB ealsched.exe" -osboot
O8 - Extra context menu item: &Download with &DAP - C:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:PROGRA~1DAPdapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1Microsoft OfficeOffice10EXCEL.EXE/3000
O8 - Extra context menu item: Edit with &XML Spy - C:ProgrammiAltovaxmlspyspy.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Edit with XML Spy (HKCU)
O9 - Extra 'Tools' menuitem: Edit with XML Spy (HKCU)
O12 - Plugin for .spop: C:ProgrammiInternet ExplorerPluginsNPDocBox.dll
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {53D602E4-66ED-4B03-A5B8-19E4F4F6F18F} (Tiphone Control) - http://netphone.tiscali.it/netphone/ocx/tiphone.cab
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://fax.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/contr ... assCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} -
----------------------
i primi mi sembrano sospetti.....voi che dite....c'è niente di strano?

[crazy.cat]

Se ti riferisci a questi sono processi di sistema e sono ok.
C:WINDOWSSystem32smss.exe
C:WINDOWSSYSTEM32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe

Non si vede niente di strano nel resto.
Continui ad avere questa segnalazione di virus?

[fredericks]

no, non mi riferivo ai processi in esecuzione... mi riferivo a questi:

R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://bestsearch.cc/2484/search.php?qq=
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
....

[crazy.cat]

Questo è quello più strano ed liminabile direi.
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://bestsearch.cc/2484/search.php?qq=

Il virus è sparito?

[fredericks]

ora succede una cosa strana....da quando ho eseguito shredder che sembrava avare eliminato il virus, è si ricomparso il virus, cioè, AVG mi trova il virus, ma questa volta riesce a rimuoverlo, non lo mette in quarantena, mentre prima di avere eseguito shredder non ci riuscivo.

Fra l'altro adesso, anche se trova il virus, la pagina di explorer rimane quella che ho messo io.
Inoltre l'ultima volta che ho eliminato il virus, il file infettato era una dll secondo me alquanto dubbia, iogccaa.dll, e la volta precedente enaan.dll.
A me sembrano nomi inventati, ma non ne capisco il motivo, e poi lo avrà rimosso veramente il virus? mah....

[sito]

Non sarà che per qualche strano motivo te lo scarica a tua insaputa (il virus) ogni volta che ti colleghi ad internet?

[fredericks]

beh potrebbe essere, ma vorrebbe dire che il virus non è rimosso...altrimenti non lo farebbe...che stress sto virus!!

[fredericks]

<blockquote id="quote"><font size="1" face="Verdana, Arial, Helvetica" id="quote">citazione:<hr height="1" noshade id="quote"><i>Messaggio inserito da fredericks</i>
<br />beh potrebbe essere, ma vorrebbe dire che il virus non è rimosso...altrimenti non lo farebbe...che stress sto virus!!
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">
niente, dopo al massimo due giorni mi ricompare il virus infettando come sempre una dll decisamente strana....

[crazy.cat]

Prova una scansione on-line con questo,ci sono parecchi riferimenti al tuo virus che rimandano a questo antivirus,vediamo se lui riesce ad ucciderlo una volta per tutte.
http://www.bitdefender.com/scan/license.php

Cancella tutto quello che hai nella cartella cookies e Temporary Internet Files.
Ripassa con CWShredder.

Scaricati questi due programmi con gli aggiornamenti
abilita tutte le protezioni con questo
http://www.javacoolsoftware.com/spywareblaster.html
e qui la funzione immunizza
http://www.safer-networking.org/index.p ... e=download

[fredericks]

niente...ho deciso che formatto....ci sono troppe stranezze...ho visto che alcuni hanno rimosso il virus semplicemente rinominando la dll infetta e poi cancellandola e togliendo eventualmente tutti i riferimenti nel registro....
ma mi sa che domani ripulisco tutto....troppi problemi....a cominciare da quando mi è scomparso il notepad.exe, poi quel virus, poi ancora alcuni programmi che non riesco più nè a disinstallare nè a reinstallare....per non parlare di icq che dopo che pochi gg fa l'ho disinstallato non riesco + a installare nessuna versione, nemmeno icqLite, e un'altra cosa...che mi succede da mesi:
ogni tanto...succede che i programmi di office, word o excel ad esempio appena li apro arte l'installazione di office che cerca non so cosa sul cd....inserisco il cd...fa quello che deve fare e riprende a funzionare....
c'è qualcosa che non va....solo la formattazione può risolvere tutto....

comunque grazie...ho anche fatto la scansione con quell'antivirus ma non ha trovato niente....