ciao a tutti.
allora oggi stavo guardando il log dell'antivirus di rete e ho trovato che sulla parte degli URL bloccati c'è una lista lunghissima e vedo cha tutti gli URL (naturalmente cose del tipo sex......ecc...) bloccati provengono tutti dallo stesso PC. ho guardato il cliente dell'antivirus su quel pc e mi ha trovato un virus che però non è riuscito a pulire e l'ha messo in quarantena; il virus si chiama: BKDR_WEBDOOR.B. Qualcuno sa dirmi qualcosa a riguardo?

grazie

su google nn ho trovato nulla a riguardo, strano...

infatti avevo già guardato e non avevo trovato niente anch'io.
prova anche a inserirvi il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15.49.13, on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Documents and Settings\All Users\Dati applicazioni\Windows Media Directory\sys32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINDOWS\system32\mobsync.exe
C:\Programmi\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Documents and Settings\davide.s\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.1.200:8081
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [JobHisInit] C:\Programmi\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programmi\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [Windows] C:\Documents and Settings\All Users\Dati applicazioni\Windows Media Directory\sys32.exe /ni /t
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pulsarsrl.locale
O17 - HKLM\Software\..\Telephony: DomainName = pulsarsrl.locale
O17 - HKLM\System\CCS\Services\Tcpip\..\{40D2F39E-52EB-4C0E-97E7-F6FC536C9F54}: NameServer = 10.0.0.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{476E02F9-D469-4B62-887A-9BF74C53AA4A}: NameServer = 10.0.1.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{64ABC75B-3258-4521-8B03-4EFF75E76DD1}: NameServer = 10.0.0.200
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pulsarsrl.locale
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pulsarsrl.locale
O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - C:\Programmi\File comuni\Stibo\RS_ProtocolHandler.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe

ciao a tutti.
allora oggi stavo guardando il log dell'antivirus di rete e ho trovato che sulla parte degli URL bloccati c'è una lista lunghissima e vedo cha tutti gli URL (naturalmente cose del tipo sex......ecc...) bloccati provengono tutti dallo stesso PC. ho guardato il cliente dell'antivirus su quel pc e mi ha trovato un virus che però non è riuscito a pulire e l'ha messo in quarantena; il virus si chiama: BKDR_WEBDOOR.B. Qualcuno sa dirmi qualcosa a riguardo?

grazie

*

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

queste mi sembrano le più sospette inoltre penserei a sostituire officescan con qualcosa di più progredito, adotterei foxreader per leggere i pdf e penserei ad usare firefox/opera per navigare e player multimediali differenti dal "windows media player", esempio VLC o zoomplayer per i video e quintessential per l'audio o addirittura visto che Nero è già installato userei NeroVision per i filmati e musica :)

O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

queste mi sembrano le più sospette

In effetti, Spyware Vanisher è uno Spyware remover di reputazione "incerta":

http://spywarewarrior.com/rogue_anti-spyware.htm

ciao!!!

ok perfetto, adess oquando ho un attimo faccio un controllo sulle due righe che mi avete segnalato.
intanto grazie.

O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

il file FreeScanner.exe nel pc non lo trovo..

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe

e questo sembra un collegamento ad un dialer ma non so come risolvere il problema.

qualcuno sa dirmi come posso risolvere i due problemi?

O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

il file FreeScanner.exe nel pc non lo trovo..

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe

e questo sembra un collegamento ad un dialer ma non so come risolvere il problema.

qualcuno sa dirmi come posso risolvere i due problemi?

Per il file freescanner hai abilitato la visualizzazione di files nascosti?

La seconda voce levala da hijackthis.

si ho abilitato la visualizzazione dei file nascosti però non la trovo lo stesso...cmq provo a riguardare meglio poi ti faccio sapere.

ma se fai start/ esegui/ C:\spywarevanisher-free\FreeScanner.exe

ti compare un messaggio di errore o no?

se no

con the avanger http://www.megalab.it/articoli.php?id=946

insersci questo script

Files to delete:
C:\spywarevanisher-free\FreeScanner.exe

ho provato a lanciare il programma da esegui e mi da questo errore

" c:\spywarevanisher-free fa riferimento a una posizione non disponibile. potrebbe essere in un'unità disco rigido di questo computer o in una rete...........ecc.

sul log dell'antivirus mi ha detto che ha spostato il file in quarantena perchè è impossibile disinfettare, forse è per quello che non mi trova il file.

sempre però non facesse riferimento all'altro problema....boh!!

ho provato anche a fare una ricerca sul pc del file però non l'ha trovato, dove sarà finito?

allora è nella quarantena dell'antivirus

ci sono anche altre cose in quel log:

O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1141655.exe


Posta nella sezione Aiuto sono infetto! e fai una passata con qualche altro antivirus tipo Kaspersky o BitDefender

ci sono anche altre cose in quel log:

O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - hxxp://deposito.hostance.net/dialer/1141655.exe


Posta nella sezione Aiuto sono infetto! e fai una passata con qualche altro antivirus tipo Kaspersky o BitDefender

Edita il link contiene un collegamento ad un dialer;)
Qualke utonto potrebbe infettarsi!
Cmq posta nella sezione aiuto sono infetto cosa faccio! e li otterrai maggiore aiuto...
Ciao:D