SAlve ragazzi non riesco a levare un file che cambia nome continuamente in c:\programmi ho provato con i seguenti sw:

NOD32 aggiornato a ieri
CCleaner last version
spybot aggiornato
ad-aware aggiornato
ewido aggiornato a ieri
Kill box
ho provato sia normalmente che in modalità provvisoria, ho provato anke con hijakthis ma niente cmq vi posto il log grazie in anticipo per l'aiuto...

Logfile of HijackThis v1.99.1
Scan saved at 12.14.12, on 19/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Aston\aston.exe
D:\Aston\XP\internat.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\usbtapnp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmi\Babylon\Babylon.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\sstray.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Altdesk\AltDesk.exe
C:\Documents and Settings\MaNoLo\Menu Avvio\Programmi\Esecuzione automatica\html2pop3.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
D:\temp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=D:\Aston\aston.exe ,svchost.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\System32\usbtapnp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [WheelMouse] C:\WHEELM~1\wh_exec.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Programmi\Rational\Rational Test\nutcroot\bin\ncoeenv.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [AltDesk] C:\Programmi\Altdesk\AltDesk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: html2pop3.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147995141453
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC7C86E-4D5D-4849-82C3-8A1485C0DD28}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sarebbe stato meglio continuare nell'altro 3D

Cmq il file incriminato in questo log non lo vedo :confused: :confused:

Sarebbe stato meglio continuare nell'altro 3D

Cmq il file incriminato in questo log non lo vedo :confused: :confused:

:mc: :muro: :muro: :muro: :muro: :muro: :cry: :cry:

ma scusa non sei contento?...forse hai risolto,,,

ma scusa non sei contento?...forse hai risolto,,,


noooooooooooooo perkè il file continua e persiste cambiando sempre nome in c:\programmi quindi gli sw di prima non lo vedono proprio o meglio nod32 lo vede ma dice kè è bloccato e l'accesso è negato.

Monta l'hd come disco dati su un altro pc e scansionalo, oppure fai una scansione da linux.

noooooooooooooo perkè il file continua e persiste cambiando sempre nome in c:\programmi quindi gli sw di prima non lo vedono proprio o meglio nod32 lo vede ma dice kè è bloccato e l'accesso è negato.
Riesci almeno a vedere il nome del virus segnalato?
Perchè, anche se il nome cambia, la bestiolina dovrebbe essere sempre quella.

Monta l'hd come disco dati su un altro pc e scansionalo,
quoto...

Riesci almeno a vedere il nome del virus segnalato?
Perchè, anche se il nome cambia, la bestiolina dovrebbe essere sempre quella.

l'antivirus non lo vede come virus ma mi dice solo ke il file è bloccato quindi il nome cambia sempre in questo momento il file si kiama bqz.exe CGEM.exe stamattina si kiamava Sw.exe cambia nome ad ogni riavvio bha...

Se riesci a mettere l'HD come slave su un altro comp (come è già stato segnalato) è la cosa migliore!

Un passaggio importante che molti tralasciano è la pulizia completa di tutti i temp. con ccleaner dopo ogni tentativo di disinfezione prima di riavviare.

Ti segnalo solo altre 2 possibilità
1-facile: altro programma specializzato in "virus bastardi"
http://www.emsisoft.it/it/software/free/ (alcuni dicono miglire di ewido.. :rolleyes: )

2-difficile: esaminare con process explorer il sistema e tentare di individuare "il padre" di quel processo che cambia nome di continuo.
http://www.sysinternals.com/Utilities/ProcessExplorer.html
Ma l'interpretazione dei risultati non è per nulla facile.

Se riesci a mettere l'HD come slave su un altro comp (come è già stato segnalato) è la cosa migliore!

Un passaggio importante che molti tralasciano è la pulizia completa di tutti i temp. con ccleaner dopo ogni tentativo di disinfezione prima di riavviare.

Ti segnalo solo altre 2 possibilità
1-facile: altro programma specializzato in "virus bastardi"
http://www.emsisoft.it/it/software/free/ (alcuni dicono miglire di ewido.. :rolleyes: )

2-difficile: esaminare con process explorer il sistema e tentare di individuare "il padre" di quel processo che cambia nome di continuo.
http://www.sysinternals.com/Utilities/ProcessExplorer.html
Ma l'interpretazione dei risultati non è per nulla facile.


grazie ora li provo ;)

grazie ora li provo ;)


Con explorernt vedo il file poru1.exe che compariva nel log di hijakthis e che avevo fixato molto strano perkè l'avevo eliminato anche dalla directory temp di windows ma adesso è ricomparso anke lì... sto pensando che evidentemente il file che sta in c:\programmi è la fonte che genera questi file perkè quello è l'unico ke non sono mai riuscito ad eliminare... adesso provo a trovare il processo padre

Visto che lo hai installato, usa killbox.

Cmq sarebbe molto utile sapere il nome del virus, se riesci a individuare il "bastardo" invialo a http://www.virustotal.com/ per vedere se dà qualche indicazione ulteriore.

Un ultima cosa HijackThis sarebbe meglio metterlo in una cartella non temporanea con radice C: (C:\hijackthis\HijackThis.exe)

beh...se devi eliminarlo e nn te lo fa eliminare apri il dos e scrivi del seguito dal percorso del file....prima di fare INVIO fai taskmanager e termine explorer.exe e iexplorer.exe
dopo aver finito apri da cmd explorer.exe digitandolo.
ciao!

beh...se devi eliminarlo e nn te lo fa eliminare apri il dos e scrivi del seguito dal percorso del file....prima di fare INVIO fai taskmanager e termine explorer.exe e iexplorer.exe
dopo aver finito apri da cmd explorer.exe digitandolo.
ciao!


Ho provato a fare come hai detto tu ma a quanto pare il file è furbo inqaunto da dos mi dice impossibile trovare il file ... questo succede perkè il file è nascosto ho provato a renderlo visibile sia con attrib +a da dos che da windows ma in entrambi i casi mi dice accesso negato quindi impossibile da cancellare anke da dos...

Per manganese : killbox l'ho provato già sia in modalità provvisoria che normale ma non riesce a cancellarlo.

Ho provato a fare come hai detto tu ma a quanto pare il file è furbo inqaunto da dos mi dice impossibile trovare il file ... questo succede perkè il file è nascosto ho provato a renderlo visibile sia con attrib +a da dos che da windows ma in entrambi i casi mi dice accesso negato quindi impossibile da cancellare anke da dos...

Per manganese : killbox l'ho provato già sia in modalità provvisoria che normale ma non riesce a cancellarlo.
azzz...e quello intanto ogni volta cambia nome??

azzz...e quello intanto ogni volta cambia nome??


yess strano vero? o meglio infame!!!!

Per manganese ho provato anke con il sito ke mi hai dato tutti gli antivirus dicono ke il file non è un virus... evidentemente perchè cambia nome di continuo... dovrei prendere il padre ma non riesco proprio a scovarlo nemmeno tra i processi... inoltre il file che avevo eliminato poru1.exe ogni tanto ricompare nella coartella temp di windows e devo eliminaro uno dei due deve essere il padre...

Purtroppo iin questi casi se non si toglie l'istanza (penso si chiami così :confused: ) che tiene bloccato il file non cè nulla da fare.
process explorer qualche aiuto può darlo, ma bisogna saperlo usare...

L'alternativa è la scansione con HD passivo, oltre a quella già indicata da naso si può usare una live cd con antivirus aggiornato.

Cmq se si riuscisse almeno a sapere il nome del virus...qualche indicazione in più ci sarebbe!

Prova a spedire il poru1.exe a erase come ti aveva chiesto

Prova a spedire il poru1.exe a erase come ti aveva chiesto


Scusa a-sqaured mi ha dato come maleware molti file sotto la directory di msnplus li devo cancellare?

Qualche falso positivo lo dà, ma io fossi in te, a questo punto, preferirei dover reinstallare msn plus (che è tutt'altro che indispensabile)
Non fare prigionieri :boxe:
e ricorda ad ogni passaggio di vuotare le directory temp con ccleaner...a proposito di ccleaner una curiosità!
Prova ad andare nelle opzioni avanzate per vedere se è spuntata la casella di NON cancellare i temporanei con meno di 48 ore.

Qualche falso positivo lo dà, ma io fossi in te, a questo punto, preferirei dover reinstallare msn plus (che è tutt'altro che indispensabile)
Non fare prigionieri :boxe:
e ricorda ad ogni passaggio di vuotare le directory temp con ccleaner...a proposito di ccleaner una curiosità!
Prova ad andare nelle opzioni avanzate per vedere se è spuntata la casella di NON cancellare i temporanei con meno di 48 ore.

forse nod 32 l'ha scovato mi dice


Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
21/05/2006 18.01.48 AMON file C:\WINDOWS\Temp\poru1.exe NewHeur_PE virus probabilmente sconosciuto posto in quarantena. - cancellato NT AUTHORITY\SYSTEM

Evento occorso su
un nuovo file creato da un'applicazione: C:\WINDOWS\system32\svchost.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
20/05/2006 23.04.26 Kernel file C:\WINDOWS\system32\mmrtkrnl.exe NewHeur_PE virus probabilmente sconosciuto

Evento occorso su un nuovo file creato da un'applicazione: C:\WINDOWS\system32\svchost.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.Per favore, invia il file a Eset per l'analisi.

se hai installato questo
http://www.alcatech.com/html/rebuild.php?src=products_pro.html
questo è legittimo.
C:\WINDOWS\system32\mmrtkrnl.exe

Speriamo che il NOD abbia risolto tutto in automatico
perchè se il papà è questo
C:\WINDOWS\system32\svchost.exe
sono KA--voli. :(

se hai installato questo
http://www.alcatech.com/html/rebuild.php?src=products_pro.html
questo è legittimo.
C:\WINDOWS\system32\mmrtkrnl.exe

Speriamo che il NOD abbia risolto tutto in automatico
perchè se il papà è questo
C:\WINDOWS\system32\svchost.exe
sono KA--voli. :(


sì alcatech l'ho installato ... perkè sono cavoli?

Se ti riferisci al processo svchost.exe una cosa strana l'avevo notata in process nt che ne venivano caricate 3 istanze
adesso vado a vedere a cosa serve sto processo ma credo sia per la comunicazione in internet

WinTasks Process Library

svchost - svchost.exe - Process Information
Process File: svchost or svchost.exe
Process Name: Microsoft Service Host Process

Run a Free System Scan for svchost.exe Related Errors

Description:
svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated.

Note: svchost.exe

Note: svchost.exe could also be a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. It could also be a registered security risk and should be removed immediately.

Note: svchost.exe could also be a process registered as a backdoor vulnerability which maybe installed for malicious purposes by an attacker allowing access to your computer from remote locations, stealing passwords, Internet banking and personal data. If unaccounted for, this process should be removed immediately.

Ecco il perkè delle 3 istanze anche se dovrei andare a vedere nel regedit quanti gruppi di processi svchost ci sono

--------------------------------------------------------------------------------

Sommario
In questo articolo vengono descritti Svchost.exe e le relative funzioni. Svchost.exe è il nome di un processo host generico per servizi eseguiti da librerie di collegamento dinamico (DLL).


Informazioni
Il file Svchost.exe, che si trova nella cartella %SystemRoot%\System32, all'avvio del computer verifica la porzione del Registro di sistema relativa ai servizi al fine di redigere un elenco di servizi da caricare. È possibile che più istanze di Svchost.exe vengano eseguite contemporaneamente. Ogni sessione Svchost.exe può infatti contenere un gruppo di servizi, il che significa che possono essere eseguiti servizi diversi a seconda di come e dove è stato avviato il file Svchost.exe. Questo consente un controllo e un debugging migliore.

I gruppi Svchost.exe sono identificati nella seguente chiave di registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\ WindowsNT\CurrentVersion\Svchost
Ogni valore contenuto in questa chiave rappresenta un gruppo Svchost distinto, che viene visualizzato come istanza a sé stante quando si visualizzano i processi attivi. Ogni valore è un valore REG_MULTI_SZ e contiene i servizi che vengono eseguiti in tale gruppo Svchost. Ogni gruppo Svchost può contenere uno o più nomi di servizio estratti dalla seguente chiave di registro, la cui chiave Parameters contiene un valore ServiceDLL:
HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Servizio
Per visualizzare l'elenco dei servizi in esecuzione in Svchost:
1. Fare clic sul pulsante Start sulla barra delle applicazioni di Windows, quindi scegliere Esegui.
2. Nella finestra di dialogo Apri digitare CMD, quindi premere INVIO.
3. Digitare Tasklist /SVC, quindi premere INVIO.

Tasklist consente di visualizzare l'elenco dei processi attivi. L'opzione /SVC mostra l'elenco dei servizi attivi in ciascun processo. Per ulteriori informazioni su un determinato processo, digitare il comando seguente, quindi premere INVIO:
Tasklist /FI "PID eq IDprocesso" (con le virgolette)
Il seguente esempio di output di Tasklist indica che sono in esecuzione due istanze di Svchost.exe.

Fatto


Nome immagine PID Servizi
========================= ====== =============================================
System Idle Process 0 N/D
System 4 N/D
smss.exe 428 N/D
csrss.exe 476 N/D
winlogon.exe 504 N/D
services.exe 548 Eventlog, PlugPlay
lsass.exe 560 PolicyAgent, ProtectedStorage, SamSs
ati2evxx.exe 708 Ati HotKey Poller
svchost.exe 720 DcomLaunch, TermService
svchost.exe 788 RpcSs
svchost.exe 832 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, RasAuto, RasMan, Schedule, seclogon,
SENS, SharedAccess, ShellHWDetection,
srservice, TapiSrv, Themes, TrkWks, W32Time,
winmgmt, wscsvc, wuauserv, WZCSVC
svchost.exe 876 Dnscache
svchost.exe 968 LmHosts, RemoteRegistry, SSDPSRV, upnphost,
WebClient
spoolsv.exe 1068 Spooler
ewidoctrl.exe 1208 ewido security suite control
ewidoguard.exe 1240 ewido security suite guard
nod32krn.exe 1328 NOD32krn
snmp.exe 1468 SNMP
vsmon.exe 1516 vsmon
Aston.exe 1828 N/D
svchost.exe 348 N/D
alg.exe 996 ALG
wscntfy.exe 1476 N/D
internat.exe 1936 N/D
atiptaxx.exe 2096 N/D
jusched.exe 2112 N/D
usbtapnp.exe 2148 N/D
AsusProb.exe 2168 N/D
zlclient.exe 2232 N/D
Babylon.exe 2244 N/D
MsgPlus.exe 2280 N/D
sstray.exe 2288 N/D
nod32kui.exe 2300 N/D
AltDesk.exe 2320 N/D
a2guard.exe 2340 N/D
svchost.exe 2348 HTTPFilter
msnmsgr.exe 2464 N/D
html2pop3.exe 2508 N/D
msimn.exe 3324 N/D
IEXPLORE.EXE 3760 N/D
IEXPLORE.EXE 3400 N/D
cmd.exe 820 N/D
wmiprvse.exe 4052 N/D
tasklist.exe 452 N/D

svchost in questa posizione è legittimo (anzi indispensabile) ed è pure normalissimo averne più di 1 in esecuzuione automatica
C:\WINDOWS\system32\svchost.exe
è una specie di contenicore di servizi, il problema è che se il virus si è "intrufolato" li
...........................
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
21/05/2006 18.01.48 AMON file C:\WINDOWS\Temp\poru1.exe NewHeur_PE virus probabilmente sconosciuto posto in quarantena. - cancellato NT AUTHORITY\SYSTEM

Evento occorso su
un nuovo file creato da un'applicazione: C:\WINDOWS\system32\svchost.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.
...........................
E poru1 viene generato da un servizio di svchost prima di scoprire chi è.... :(