Olimpo Informatico

Simo90 · Comune mortale Registrato: 23/01/07 19:42 Messaggi: 2

Sono bersagliato da segnalazioni del genere :

Virus or unwanted program 'HEUR/Malware'
detected in file 'C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\01234567\lo1[1]' [HEUR/Malware].

Virus or unwanted program 'HEUR/Malware'
detected in file 'C:\WINNT\system32\hgghe.dll' [HEUR/Malware].

Virus or unwanted program 'HEUR/Malware'
detected in file 'C:\WINNT\system32\gebyv.dll' [HEUR/Malware].

Virus or unwanted program 'HEUR/Malware'
detected in file 'C:\WINNT\system32\nnnmk.dll' [HEUR/Malware].

Virus or unwanted program 'HEUR/Malware'
detected in file 'C:\WINNT\system32\gebba.dll' [HEUR/Malware].

e così via...Credo ke nn sia un virus anche perchè nn mi da l'opzione di cancellare il file ma solo di metterlo in quarantena...sul sito ufficiale ho letto ke è un controllo euristico bla bla bla , e francamente nn ho capito molto...inoltre ho notato ho notato ke prima individua sempre il solito file nella cartella Temporary Internet Files:
Virus or unwanted program 'HEUR/Malware'
detected in file 'C:\Documents and Settings\Antonio\Impostazioni locali\Temporary Internet Files\Content.IE5\01234567\lo1[1]' [HEUR/Malware].
E poi subito dopo un file ke varia in continuazione nella cartella C:\WINNT\system32.

Allora ho pensato di fare una scansione con hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18.52.19, on 23/01/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\system32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\mobsync.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINNT\system32\LVCOMSX.EXE
C:\WINNT\system32\internat.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\PROGRA~1\Alice\ALICEE~1\app\EnterNet.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Antonio\Documenti\Web\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Security Panagers] svghosts.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PLoader] c:\programmi\umsd tools2.33\umsd.exe sys_auto_run C:\Programmi\UMSD Tools2.33
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINNT\system32\wcfrysrk.dll",setvm
O4 - HKLM\..\RunServices: [Microsoft Security Panagers] svghosts.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Gestore Chiave.lnk = C:\ITALWIN\KeyServer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Events Log (Event) - Unknown owner - C:\WINNT\system32\drivers\csrss.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Conexant Semiconductors systems - (no file)
O23 - Service: Microsoft Apache for Windows (Windows Apache Service) - Unknown owner - C:\WINNT\wpablin.exe (file missing)
O23 - Service: AntiSpyUltra (Zonelaps) - Unknown owner - C:\WINNT\vsmom.exe (file missing)

decido di fixare queste voci:

C:\WINNT\system32\drivers\csrss.exe (file missing)
O23 - Service: Sound Sservice Driver (Sound Service) - Conexant Semiconductors systems - (no file)
O23 - Service: Microsoft Apache for Windows (Windows Apache Service) - Unknown owner - C:\WINNT\wpablin.exe (file missing)
O23 - Service: AntiSpyUltra (Zonelaps) - Unknown owner - C:\WINNT\vsmom.exe (file missing)

hijackthis mi dice ke l'ha fatto...ma alla successiva scansione quelle voci sono sempre allo stesso posto...praticamente nn le fixa...

qualcuno mi può aiutare????

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

Simo90 · Comune mortale Registrato: 23/01/07 19:42 Messaggi: 2

ero in modalità normale...il mio antivirus è avira antivir personal edition classic

SverX

Stai usando IE 5.0 ? Non è molto indicato... e mi sembra che -se questo non bastasse- hai un bel po' di software "bacato" sulla macchina...

... ti consiglio di aggiornare tutto il software che puoi. Usa l'ottimo Software inspector di Secunia, un servizio on-line che trovi qui e poi procedi alla rimozione, in qualche modo ce la faremo Smile

Smjert

A vederlo così sembra il rootkit più amato dagli italiani! Laughing

Il LinkOptimizer!

Quindi:

Avvia HijackThis, premi Do a system scan only, spunta queste voci e poi premi FixChecked: