Ciao tutti.
Ragazzi sto diventando scemo nel cercare questo virus/trojan.
Appeno accendo il computer ed entro in windows mi compare per un attimo una finestrella di caricamento e per essere precisi carica il file C:\windows\odbc.hta
Questa operazione mi cambia la homepage in una a caso ma sempe con pagine con dialer.
Facendo lo scan con nod32 non mi trova niente.
La stessa cosa l'ho fatta con Ad-aware ma non mi ha trovato nulla
Idem con Trojan remover ma niente.
Allora ho provato a fare lo scan online con symantec ed è l'unico che mi trova questo benedetto file....ma se lo cerco nella cartella non lo vedo!!!
Ragazzi come faccio??

E' uno spyware. Ora non mi ricordo di genere xò.

Prova CWShredder e di nuovo adaware6 dopo averlo aggiornato.

Se il prob persiste fai uno scan con hijackthis e copia-incolla qui il log.

Ok allora provo a fare lo scan con questi programmi e poi ti faccio sapere..grazie!:)

Con tutti quelli ch mi hai detto nulla.
Allora ho provato con anti-trojan 5.5 e mi ha trovato la porta 5000
Possibili Trojans. Sockets de Troie, Blazer 5.
Ma niente trojan

fai un log con HijackThis e postalo qui

cmq se hai Windows XP e non hai installato il Service Pack 1 è normale avere aperta la porta 5000

per chiuderla puoi usare questo programma (http://grc.com/files/unpnp.exe)

Ciao

Eraser :)

Il service pack ce l'ho.
Dopo un po' che il computer è acceso la home page viene cambiata da hwupgrade.it in

mk:@MSITStore:C:\WINDOWS\start.chm::/start.html

Adesso faccio uno scan e riporto il log

QUESTO IL LOG:


Logfile of HijackThis v1.97.7
Scan saved at 13.41.29, on 10/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\docume~1\admin\datiap~1\wupdmgr.exe
D:\Programmi\SEC\Natural Color\NaturalColorLoad.exe
D:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programmi\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\PROGRA~1\DAP\DAP.EXE
C:\Documents and Settings\Admin\Desktop\anti-trojan\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [TrojanScanner] d:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [System Update4] c:\docume~1\admin\datiap~1\wupdmgr.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Umail (HKCU)
O10 - Broken Internet access because of LSP provider 'imon.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/alice01.home
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

Ho tolto praticamente tutti i file sospetti ma continua a cambiarmi la pagina iniziale!:mad:
In Windows mi crea un file start html compilato....devo per forza formattare?
Ho usato questi programmi:

Spyware adware
Trojan shield
Tauscan
Nod32
Anti-trojan
Ad-aware 6 prof
Spy bot-search & destroy
Spyware blaster
Trojan remover

A questo punto cosa mi rimane??:cry:

Metti hijachthis in una cartella qualsiasi di C e fissa le seguenti stringe:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKCU\..\Run: [System Update4] c:\docume~1\admin\datiap~1\wupdmgr.exe

Riavvia il pc ed elimina :
il file wupdmgr.exe in C:\docume~1\admin\datiap~1\wupdmgr.exe e
la cartella in C:\PROGRA~1\INCRED~1\BHO\

Ho capito tutto tranne una cosa:

C:\docume~1\admin\datiap~1\

Se elimino tutto quello che c'è dentro butto via tutte le mie impostazioni (posta,salvataggi).....nn credo che sia così vero?:sofico:

Originariamente inviato da stealth81-
Ho capito tutto tranne una cosa:

C:\docume~1\admin\datiap~1\

Se elimino tutto quello che c'è dentro butto via tutte le mie impostazioni (posta,salvataggi).....nn credo che sia così vero?:sofico:

no scusa, hai ragione... ho sbagliato nel copia-incolla, intendevo solo il file wupdmgr.exe

ok allora lo faccio...thx!

questa stringa nn dovresti cancellarla:
O10 - Broken Internet access because of LSP provider 'imon.dll' missing

Se hai prob con il modulo imon del nod32, dovresti provare ad usare questo tool: LSP-fix http://www.majorgeeks.com/download4180.html

Ok grazie mille!
Non ho più quei file in giro e credo di aver risolto....lo tengo sotto controllo oggi con uno scan.Ciao!

ops scusa stealth81 :D mi ero scordato di questo thread :D

cmq vedo che hai risolto con MrOZ ;) Se hai problemi scrivi pure, spero di non riscordarmi :D

Mannaggia!!!
Ancora questo problema!!
I file che mi hai detto di cancellare non compaiono più tranne la voce
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html

Come faccio a toglierla??Dopo un tot di tempo la pagina predefinita di explorer cambia con questo

mk:@MSITStore:C:\WINDOWS\start.chm::/start.html

e io non so più come fare se non formattare!

Ho provato a fare lo scan con il tool della symantec e mi trova sempre un file infetto...il solito C:\windows\odbc.hta

Hekp!:cry:

Usi un firewall???
Hai chiuso la porta 5000 e le altre a rischio???

Prova a rifare tutta la procedura con hijackthis ke hai fatto prima, ma prima disabilita il system restore ed elimina tutti i file temporanei e la cronologia.

Non uso il firewall e ho chiuso la porta.Il sistema di ripristino l'ho già disabilitato.Ora riprovo :rolleyes:

beh se tu usassi un firewall xò sarebbe tutto di guadagnato

Niente da fare.
Dopo un po' faccio lo scan con Hijack e mi ritrova sempre quella maledetta voce.....ammetto che neanche un virus è riuscito a mettermi così in difficoltà.
Non so come debellarlo porca miseria!

Visto che non riesco a risolvere il problema sono costretto a formattare anche perchè a questo punto faccio prima a rimettere tutto che non stare qui dietro a perdere tempo
Però,dopo aver sistemato tutto ,voglio mettere una protezione valida...io avevo pensato a questa:

Spy bot-search & destroy
Ad-aware 6 prof
Trojan remover
Zone Alarm pro v 4.5.538

Credo che possa andare bene anche se per i trojan ne preferirei uno specifico.
Altra domanda:ad-aware 6 pro...il core installato è il 162 professional e il reference-file è il 0r150 05.07.2003
Anche se faccio l'aggiornamento mi dice che non ce ne sono.In più sotto mi scrive:
Novità:Scarica il nuovo ad-aware 1.81...di fianco c'è il tastino che mi porta sulla home page del loro sito ma non trovo nulla da scaricare?
Come faccio?La signature dei file mi sembra vecchia....mi puzza che sia un po' fasullo questo sistema così.

Se mi consigliate altre configurazioni come quella che ho fatto io sopra ben venga.
Ciao e BUONA PASQUA

Originariamente inviato da stealth81-
Il service pack ce l'ho.
Dopo un po' che il computer è acceso la home page viene cambiata da hwupgrade.it in

mk:@MSITStore:C:\WINDOWS\start.chm::/start.html



Stessa maledetta pagina ho usato aggiornati spybot, adaware, cwsheredder, HijackThis, ho cancellato (seguendo la discussione)
niente :muro: ogni tanto riappare. Il file wupdmgr.exe lo ho scovato in c:\WINDOWS (windows98se) che faccio lo cancello?

saluti e buona Pasqua

:)

Originariamente inviato da stealth81-
Credo che possa andare bene anche se per i trojan ne preferirei uno specifico.
Altra domanda:ad-aware 6 pro...il core installato è il 162 professional e il reference-file è il 0r150 05.07.2003
Anche se faccio l'aggiornamento mi dice che non ce ne sono.In più sotto mi scrive:
Novità:Scarica il nuovo ad-aware 1.81...di fianco c'è il tastino che mi porta sulla home page del loro sito ma non trovo nulla da scaricare?
Come faccio?La signature dei file mi sembra vecchia....mi puzza che sia un po' fasullo questo sistema così.


x adaware6 deve usare assolutamente la build 1.81, altrimenti non riuscirai + ad aggiornare il prog con le nuove definizioni.

come antitrojan specifici, mettendo in conto ke anche Trojan Remover è un prog antitrojan, gratuiti ci sono a2 ed ewido, mentre a pagamento i migliori sono TrojanHunter, TDS-3, BoClean e The Cleaner Pro.

Sono riuscito!!!
Praticamente era un trojan ma nessun programma riusciva a trovarlo tranne il sistema di scan della symantec.
Allora ho rimesso l'antivirus (norton 2003) e dopo averlo aggiornato mi ha trovato questo maledetto virus/trojan e sono riuscito a metterlo in quarantena e poi l'ho buttato.
Adesso,come prima,ho Nod32...ora non so se tenerlo...ca@@o non me l'aveva trovato!!
Questo il messaggio che mi ha scritto norton 2003

Origine: C:\WINDOWS\odbc.hta
Descrizione: Il file C:\WINDOWS\odbc.hta è infettato dal virus Trojan Horse.

@giacomo_uncino

Metti norton così risolvi tutto.

Ciao

mi mandi i files sospetti a fileanalysis@email.it?

grazie :)

Ciao

Eraser :)

Non capisco.:confused:
Che file sospetti ti dovrei mandare?Il virus?
Io ho cancellato tutto

ah, se hai cancellato tutto allora fa niente....ero interessato ai files che norton segnalava come infetti :)

Solo uno e oltretutto non era visibile!Per questo sono impazzito! :muro:

odbc.hta è infettato dal virus Trojan Horse

Solo questo.Poi dopo faceva disastri cambiando la pagina predefinita di explorer,mi apriva a volte dei banner da solo....oltretutto anke sconci :eek:

siccome mi sa un pò strano il msg di norton, visto che è un messaggio generico, volevo vederci meglio :)

Non ci posso credere!!!:mad:
Il virus non c'è più,nessun trojan trovato,nessun spy trovato.....ma poco fa mi è ricomparsa quella maledetta pagina!!
Adesso mi sono seccato e formatto :muro: