ieri ero su msn e un mio contatto mi ha mandato un link
cliccato sul link mi diceva di scaricare una cartella di circa 1,5mb
pensavo fossero immagini invece ho avuto la sorpresa di un brutto virus .
ora ogni volta che avvio msn invia a ogni mio contatto il link da dove io stesso ho preso il virus
il mio kaspersky non lo individua ora nelle risorse del pc mi appare questa icona che se cancello poi riappare
cosa faccio ? perchè vorrei evitare di formattare

Posta un log di HijackThis e fai una scansione online con Panda o BitDefender...

ieri ero su msn e un mio contatto mi ha mandato un link
cliccato sul link mi diceva di scaricare una cartella di circa 1,5mb
pensavo fossero immagini invece ho avuto la sorpresa di un brutto virus .
ora ogni volta che avvio msn invia a ogni mio contatto il link da dove io stesso ho preso il virus
il mio kaspersky non lo individua ora nelle risorse del pc mi appare questa icona che se cancello poi riappare
cosa faccio ? perchè vorrei evitare di formattare

Quale virus?

Posta un log di HijackThis e fai una scansione online con Panda o BitDefender...

siccome non so cosa devo cancellare ditemi voi se trovate qualcosa di sospetto

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16.01.47, on 12/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\dllcache\winrcn.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Eset\nod32.exe
C:\Programmi\eMule\emule.exe
c:\winfgt.exe
C:\Programmi\eMule\Incoming\HiJackThis_v2\HiJackTh is_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fornito da Yahoo! Italia
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://petruc1991.spaces.live.com//P...d/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1158306255890
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/pro...nner371180.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab53083.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AEC31E-0215-4608-889F-124ADD83C297}: NameServer = 85.37.17.6 85.38.28.89
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Maxtor Performance Analysis Tool - Unknown owner - C:\WINDOWS\system32\dllcache\winrcn.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Programmi\WinClamAVShield\sp_clamsrv.exe (file missing)

--
End of file - 7654 bytes

ho fatto delle scansioni con:
PANDA
KASPERSKY
SUPER ANTISPYWARE
AVG-ANTISPYWARE
AD-AWARE
SPYBOT
ma non ho risolto il problema:muro: .......aiutooooooooooooo!!

Molto sospetti questi 2 processi:

C:\WINDOWS\system32\dllcache\winrcn.exe
c:\winfgt.exe

E questa chiave relativa al primo:

O23 - Service: Maxtor Performance Analysis Tool - Unknown owner - C:\WINDOWS\system32\dllcache\winrcn.exe

Su google non si trova niente sia x winrcn.exe sia x winfgt.exe... quindi è sicuramente un virus... io disabiliterei il system restore, con hijackthis fixerei quella voce O23, e poi con The Avenger inserirei questo script:

Files to delete:

C:\WINDOWS\system32\dllcache\winrcn.exe
c:\winfgt.exe

Aspetto conferma di qualcuno più esperto di me...

ho cancellato il programma winfgt.exe,problema risolto:D !!!
grazie mille Tidus Strife!!!

il mio kaspersky non lo individua

a me sembra che sia NOD a non individuarlo, dal log di hijackthis sembra che utilizzi quello, non kaspersky :)

in precedenza avevo kaspasky poi ho installato nod...

un'ultima cosa: come hai fatto "Tidus Strife" a rintracciare il virus nel log che ho postato???

Ho semplicemente letto il log e ho visto due processi sospetti... poi ho cercato su google e risultati: 0 il che vuol dire: virus 100%. Poi ti ho detto la procedura da fare. Comunque sono contento di essere stato d'aiuto e che hai risolto il tuo problema.

Ciao,
Tidus Strife.

Si tratta di una backdoor: http://www.malwarelist.org/startup/scheda.asp?num=3621
Sarebbe curioso farlo analizzare su virustotal :D

Files to delete:

C:\WINDOWS\system32\dllcache\winrcn.exe
c:\winfgt.exe

se vuoi che lo script funzioni, devi eliminare la riga tra il comando e i files

Files to delete:
C:\WINDOWS\system32\dllcache\winrcn.exe
c:\winfgt.exe

ps non ho controllato nulla dei file, era solo per correggere l'errore di sintassi ;)

Ma se non ricordo male funziona anche con la riga tra il comando e i files... altrimenti non mi spiegherei come Coolness abbia fatto a rimuovere quei files...

:stordita: non mi pare. inoltre, non è detto che abbia usato avenger. non gli hai dato link al programma :D e inoltre non vedo alcun log di avenger ;)

riguardo agli spazi da sito ufficiale dice


Blank lines and whitespace in general including leading and trailing whitespace on command lines is ignored by The Avenger
sembra che non gliene possa fregar de meno

Ecco... infatti tutti gli script visti fino ad ora sono stati tutti sempre con una riga vuota tra comando e files...

Ecco... infatti tutti gli script visti fino ad ora sono stati tutti sempre con una riga vuota tra comando e files...

io non ce l'ho mai messa comuqneu vedo tante gente che fa come te

vero. scusatemi, mi sono confuso, ma in passato mi corressero per questo, e ora sono abituato senza spazi :mc:

pardon :stordita: