Ho un Portatile che ho collegato ad Internet tramite la rete aziendale,
in uel momento privo di protezioni e con SP1 per giunta.

Successivamente ha come "sintomi" l'occupazione al 99% del
lavoro della CPU data dal processo "ciclo del Sistema"
Il Pc diventa impraticabile semi-bloccato.

Con l'istallazione dell'Antivir appena aggiornato ho la conferma
della presenza di Virus (tanti)

malgrado la pulizia il Sintomo continua.

con Hijackthis leggo :
------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 11:52:50, on 04/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Hijackthis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/search?q=jazzba...con+Google&lr=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min -nosplash
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe


e questo, tra l'altro :
O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)
e' un programma in Avvio che NON vedo se entro nella
Configurazione di sistema di Windows (mconfig) Esecuzione automatica.
e non riesco a togliere (nemmeno in Modalita' Provvisoria)
----------------------------------------------------------------------

Questo per dare un quadro generale della situazione.
Tra l'altro questo computer non sara' destinato in futuro ad
accessi in Rete e non voglio istallare il SP2
che consigli mi date ?

fai una scan con questo
http://research.pandasoftware.com/blogs/images/AntiRootkit.zip

e fai una scansione postando i risultai poi con the avenger (http://swandog46.geekstogo.com/avenger.zip) seleziona imput script manually; clikka sulla lente di ingrndimento incola questo script


Files to delete:
C:\WINDOWS\msstl.exe

poi clikka done ( o ok ora non mi ricordo) e poi due volte sul semaforo verde e rispondi sempre si; il pc si riavvierà, in caso contrario fallo tu.
al riavvio di si presenterà un log: postalo

Grazie,
non conoscevo questi strumenti : le istruzioni
sono abbastanza chiare, spero di aver capito.

Su Avanger trovo in rete questa presentazione
"Introduzione al funzionamento
Come detto, The Avenger è utilissimo in quanto in grado di eseguire praticamente tutte le modifiche che desideriamo. Ma come impartirgliele? Proprio questo lo rende uno strumento difficilmente utilizzabile, da adoperare solo sotto la supervisione di una mano esperta. "

Vorrei capirne meglio il funzionamento..

http://research.pandasoftware.com/bl...ntiRootkit.zip
Questo invece e' il Software Antivirus che funziona
senza istallazione, vero ??

hai letto l'articolo su megalab? comunque puoi fidarti, quello è un virus e lo script va bene; per il panda non lo so perchè non l'ho mai provato

fai una scan con questo
http://research.pandasoftware.com/blogs/images/AntiRootkit.zip


Si ho lett l'articolo su Megalab

ma AntiRootkit.zip non e' collegato a Pandasoftware ??

è della panda software

ma il AntiRootkit.zip e' Pavark.exe
e' molto diverso da HiJackthis ??

Questi AntiRootkit sono tutti uguali ?

Ho trovato anche questo : SOPHOS sarsfx.exe

dove trovare le istruzioni d'uso ??

ma non posso lavorare direttamente con Avenger ??

Hijackthis non è un antirootkit,è solo un programma che riporta i processi e le chiavi di registro sulle quali agiscono i malwares.

Non possiamo agire con The Avenger se hai un rootkit nel pc,perchè può nascondere i processi dei virus anche a hijackthis e quindi non possiamo accorgerci della presenza di files infetti.

Non possiamo agire con The Avenger se hai un rootkit nel pc,perchè può nascondere i processi dei virus anche a hijackthis e quindi non possiamo accorgerci della presenza di files infetti.

interessante....ho capito

tra : Pavark.exe e
SOPHOS sarsfx.exe

Quale usare ??
Vorrei documentarmi in Rete ma trovo
difficilmente istruzioni in italiano di questi AntiRootKit

provali tutti e 2