www.MegaLab.it

[Kaisentlaia]

Salve a tutti!!! Ho un brutto problema e volevo chiedervi una mano...

Da un po' di tempo ho notato grazie al firewall che ci sono dei file che tentano di accedere ad internet quando il pc è connesso (ovviamente li blocco ogni volta). Sono andata a cercarmi i suddetti file e li ho pescati al percorso "c:Documents and SettingsmionomeuserImpostazioni localiTemp". Questi file sono degli *.exe, ed il nome è ogni volta diverso, composto da una serie di lettere che termina con un numero (ad esempio Yrf1.exe). I file in questione hanno anche un'icona (http://www.zanezane.net/public/upload/icona.gif) particolare. Ho su win2000 pro e NAV 2003 sempre aggiornato, che però non rileva alcun virus. Ogni tanto vado ad eliminare questi file nella cartella Temp, ma è tutto inutile perché continuano a tornare. Il mio portatile con winXP, sempre in rete con il fisso, mi pare totalmente esente da questo problema (per fortuna). Inoltre ultimamente il pc comincia ad avere seri casini. Un paio di volte è partito l'auto shutdown di windows perché qualche applicazione aveva eseguito operazioni non valide, o era terminata in modo scorretto. Spesso quando non sono collegata, parte in automatico la finestra di connessione (sempre la mia), e a volte se ne aprono a iosa e devo ricorrere a task manager per riuscire a killarle. L'avvio è diventato via via più difficoltoso e ora devo riprovarci 3 o 4 volte prima che parta: solitamente mi ritrovo col bluescreen che mi dice che non è stato possibile caricare i driver del modem ADSL, oppure con la schermata iniziale che rimane bloccata lì, o ancora con windows che arriva alla fine del caricamento e poi il pc si resetta o si spegne. Sembra però che ì vari file siano tutti al loro posto, perché non mi pare sia sparito nulla da quando è cominciato tutto questo.

Quel che mi dà più fastidio è che non riesco a capire come diavolo ho fatto a buscarmi questa cosa, dato che ho sempre firewall ed antivirus attivi e aggiornati, e cerco di evitare di scaricare cose rischiose etc etc. Nessuno ha mai sentito parlare di cose del genere?? Sto letteralmente impazzendo... so che la cosa migliore sarebbe un formattone, ma per ora non ne ho il tempo e vorrei risolvere il problema per evitare danni più drastici. Ho provato anche a vedere il sito della Symantec per capire se è un virus e quale, ma non ne sono venuta a capo...

Se qualcuno ha qualche consiglio da darmi gliene sarò eternamente grata. Grazie in anticipo. :-)

[crazy.cat]

Benvenuta nel forum.
Scaricati questo, fai la scansione e ti salvi il log della scansione in un file di testo che apri con notepad e poi posti il contenuto del file qui che vediamo cosa c'è.
http://209.133.47.12/~merijn/files/HijackThis.exe

Poi puoi fare una scansione online dei virus qui
http://www.pandasoftware.com/activescan ... ncipal.htm

Non meravigliarti che con norton ti sei beccata un virus, se fai una ricerca solo qui nel forum sei in più che buona compagnia.

Ti rispondo poi domani mattina,adesso spengo il pc.

[Kaisentlaia]

Grazie mille!!! Infatti ho dato anche un'occhiatina in giro per il forum, per vedere se qualcun'altro aveva già avuto il mio stesso problema, e ho notato quanti si son beccati un po' di tutto pur con NAV attivo e aggiornato.

Ora volo a vedere i linkini e poi posto i log. :-) Grazie ancora!!![:-D]

[Kaisentlaia]

Ok, ho fatto la scansione online e ha trovato ed eliminato un virus:

<i>Incident: Virus:W32/Sober.D.worm
Status: Disinfected
Location: Cartelle localiPosta in arrivoMicrosoft Alert: Please Read!sys-patch.zip[MS-Q4932368791.exe]
</i>
(strano... questa mail ero convinta di averla eliminata...)
I log di HijackThis invece hanno sputato fuori questo:

<i>Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe
C:WINNTSystem32svchost.exe
C:ProgrammiNorton AntiVirus
avapsvc.exe
C:WINNTsystem32
vsvc32.exe
C:WINNTsystem32 egsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTsystem32stisvc.exe
C:WINNTsystem32oneLabsvsmon.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:WINNTsystem32svchost.exe
C:WINNTSystem32svchost.exe
C:WINNTExplorer.EXE
C:ProgrammiTrustAMI MOUSE 250S WIRELESS OPTICAL1.0lwbwheel.exe
C:WINNTsystem32CTHELPER.EXE
C:WINNTsystem32atwtusb.exe
C:WINNTsystem32TBLMOUSE.EXE
C:DOCUME~1NDATIAP~1gloiquea.exe
C:ProgrammiFile comuniSymantec SharedccApp.exe
C:ProgrammiThomsonSpeedTouch USBDragdiag.exe
C:PROGRA~1ONELA~1ONEAL~1zlclient.exe
C:DOCUME~1NIMPOST~1TempOif1.exe
C:ProgrammiWinamp5winampa.exe
C:ProgrammiFile comuniLogitechQCDriver3LVCOMS.EXE
C:ProgrammiInternet ExplorerIEXPLORE.EXE
C:ProgrammiMessenger Plus! 3MsgPlus.exe
C:ProgrammiOutlook Expressmsimn.exe
C:ProgrammiMSN Messengermsnmsgr.exe
C:Documents and SettingsNDesktopHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com/searchbar.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://mysearchnow.com/searchbar.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgrammiAdobeAcrobat 5.0AcrobatActiveXAcroIEHelper.ocx
O2 - BHO: E.HH - {9E992732-295F-4987-8BE3-16FAC1639198} - C:DOCUME~1NDATIAP~1IESERV~1IEService.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINNTSystem32msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINNTsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammiQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:ProgrammiElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [NeroCheck] C:WINNTsystem32NeroCheck.exe
O4 - HKLM..Run: [LWBMOUSE] C:ProgrammiTrustAMI MOUSE 250S WIRELESS OPTICAL1.0lwbwheel.exe
O4 - HKLM..Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM..Run: [UpdReg] C:WINNTUpdReg.EXE
O4 - HKLM..Run: [Jet Detection] C:ProgrammiCreativeSBLivePROGRAMADGJDet.exe
O4 - HKLM..Run: [MSConfig] D:InstallazioniWin 2000msconfig.exe /auto
O4 - HKLM..Run: [atwtusb] atwtusb.exe beta
O4 - HKLM..Run: [PE2CKFNT SE] IreneCProgrammiChkFont.exe
O4 - HKLM..Run: [llkchd] C:DOCUME~1NDATIAP~1gloiquea.exe -QuieT
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammiFile comuniSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "C:ProgrammiThomsonSpeedTouch USBDragdiag.exe" /icon
O4 - HKLM..Run: [Win32 Boot System] winboot32.exe
O4 - HKLM..Run: [Msg Fixage] msgfixed.exe
O4 - HKLM..Run: [Zone Labs Client] C:PROGRA~1ONELA~1ONEAL~1zlclient.exe
O4 - HKLM..Run: [WinampAgent] C:ProgrammiWinamp5winampa.exe
O4 - HKLM..Run: [LVCOMS] C:ProgrammiFile comuniLogitechQCDriver3LVCOMS.EXE
O4 - HKLM..Run: [LogitechGalleryRepair] C:ProgrammiLogitechImageStudioISStart.exe
O4 - HKLM..Run: [LogitechImageStudioTray] C:ProgrammiLogitechImageStudioLogiTray.exe
O4 - HKLM..Run: [MessengerPlus3] "C:ProgrammiMessenger Plus! 3MsgPlus.exe"
O4 - HKLM..RunServices: [Win32 Boot System] winboot32.exe
O4 - HKLM..RunServices: [Msg Fixage] msgfixed.exe
O4 - HKCU..Run: [Win32 Boot System] winboot32.exe
O4 - HKCU..Run: [Msg Fixage] msgfixed.exe
O4 - HKCU..Run: [IEService.exe] C:DOCUME~1NDATIAP~1IESERV~1IEService.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:ProgrammiFile comuniAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: AMI MOUSE 250S WIRELESS OPTICAL 1.0.lnk = C:ProgrammiTrustAMI MOUSE 250S WIRELESS OPTICAL1.0LwbWheel.exe
O8 - Extra context menu item: Download with GetRight - C:ProgrammiGetRightGRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:ProgrammiGetRightGRbrowse.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:ProgrammiICQICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:ProgrammiICQICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:PROGRA~1Yahoo!MESSEN~1YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:PROGRA~1Yahoo!MESSEN~1YPager.exe
O12 - Plugin for .spop: C:ProgrammiInternet ExplorerPluginsNPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D6016EE7-A8FF-11D1-B37E-A4759ECD7909} (AxPulse Class) - http://www.pulse3d.com/players/english/ ... rAxWin.cab
O17 - HKLMSystemCCSServicesTcpip..{A6662D98-76A5-4E49-A2AF-8E37172F6A90}: NameServer = 217.141.107.203 151.99.125.1</i>

Confesserò che ci ho capito ben poco. Attendo con ansia una risposta illuminata...

[crazy.cat]

Hai fatto una bella collezzione di infezioni varie.
------------------
Scaricati questo e lo lanci dalla modalità provvisoria e lasci che pulisca per bene quello che non ti ha tolto panda.
http://securityresponse.symantec.com/av ... xSober.exe
------------------------
Ti scarichi poi questo e gli fai fare la scansione e pulizia
http://209.133.47.12/~merijn/files/CWShredder.exe
e dovrebbero sparirti le voci qui sotto
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com/searchbar.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://mysearchnow.com/searchbar.html
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://mysearchnow.com/searchbar.html
------------------------------
Qui ci sono un po' di info e delle patch da scaricare per eliminare i 2 "vermi" seguenti
http://www.sophos.com/support/disinfection/sdbot.html
scarichi questo e lo lanci dalla modalità provvisoria pure questo
http://www.sophos.com/support/cleaners/sdbotgui.com
------------------
W32/Sdbot-HM
O4 - HKLM..Run: [Win32 Boot System] winboot32.exe
O4 - HKLM..RunServices: [Win32 Boot System] winboot32.exe
O4 - HKCU..Run: [Win32 Boot System] winboot32.exe
http://www.sophos.com/virusinfo/analyse ... bothm.html

W32/SdBot-BQ
O4 - HKLM..Run: [Msg Fixage] msgfixed.exe
O4 - HKLM..RunServices: [Msg Fixage] msgfixed.exe
O4 - HKCU..Run: [Msg Fixage] msgfixed.exe
http://www.sophos.com/virusinfo/analyse ... botbq.html
---------------------------------------------
Questi non sono riuscito a capire cosa sono,controlla in che directory si trovano se riesci a capire a che programmi sono collegati.

O4 - HKLM..Run: [MSConfig] D:InstallazioniWin 2000msconfig.exe /auto
O4 - HKLM..Run: [llkchd] C:DOCUME~1NDATIAP~1gloiquea.exe -QuieT
C:DOCUME~1NIMPOST~1TempOif1.exe
-----------
Questi sono inutili e li puoi eliminare in modo da non occupare memoria per niente,se quando fai la scansione metti il flag nelle loro caselle e poi premi fix li elimini.
O4 - HKLM..Run: [QuickTime Task] "C:ProgrammiQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [CloneCDElbyCDFL] "C:ProgrammiElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [NeroCheck] C:WINNTsystem32NeroCheck.exe
O4 - HKLM..Run: [UpdReg] C:WINNTUpdReg.EXE
---------------------
Fatto tutto questo,rifai la scansione con Hijackthis e la riposti qui così vediamo cosa rimane.
Considera l'idea di abbandonare norton (hai almeno 4 virus), di questi 3 antivirus freeware,quasi nessuno si è mai lamentato.

Avast http://www.avast.com/i_idt_1016.html
Avg http://www.grisoft.com/us/us_dwnl_free.php
Antivir http://www.free-av.com/index.htm

[Kaisentlaia]

Grazie!!! Grazie!!!!!! Ti devo la vita del mio pc!!! Stanotte mi dedicherò alla disinfestazione e poi ti farò sapere com'è andata!!! Grazie ancora!!!

[Kaisentlaia]

Per ora ho scoperto questo:

<i>O4 - HKLM..Run: [MSConfig] D:InstallazioniWin 2000msconfig.exe /auto</i>:
Questo è il caro vecchio msconfig di windows. Dato che nel 2000 non lo trovavo da nessuna parte, un'amico mio mi ha passato l'eseguibile. Ora però non lo uso più, è lì solo x backup.

<i>O4 - HKLM..Run: [llkchd] C:DOCUME~1NDATIAP~1gloiquea.exe -QuieT</i>:
Non so cosa sia. Di solito lo killo da task manager. Nella stessa directory (C:Documents and Settings
omeuserDati applicazioni) ho trovato anche un'altro file con un nome brutto (ohjggida.exe).

<i>C:DOCUME~1NIMPOST~1TempOif1.exe</i>:
Anche questo qui è uno dei soliti file che mi appaiono per magia in C:Documents and SettingsmionomeuserImpostazioni localiTemp, quelli di cui parlavo nel primo post.