[win XP] Che devo fare?? [Archivio] - Hardware Upgrade Forum

elena83

02-01-2008, 20:36

Ciao a tutti!!!
Quoto il mio precedente messaggio che avevo posto nella discussione di HiJackThis:

Ogni tanto mi da qualche problema la connessione internet di alice Wifi... nel senso che alcuni giorni la navigazione internet (con qualsiasi browser, tipo explorer, fifox, avant) mi da problemi... o il caricamento delle pagine è lentissimo, oppure non mi apre prop nulla... come se fosse scollegato il pc!! E anche la connessione a Msn i risulta difficile (con problemi alle porte, dice). Adesso invece funziona benissimo!!!
Però ho il pc che è un po' lentino...
Ho fatto una scansione con bitdifender online l'altro giorno e l'unica cosa che mi aveva trovato era questo:

C:\Documents and Settings\Marko\Impostazioni locali\Temporary Internet Files\Content.IE5\71KHSMPH\website[1].cab=>website.dll
Infected with: Trojan.Downloader.Agent.BLS
C:\Documents and Settings\Marko\Impostazioni locali\Temporary Internet Files\Content.IE5\71KHSMPH\website[1].cab=>website.dll
Disinfection failed
Deleted
C:\Documents and Settings\Marko\Impostazioni locali\Temporary Internet Files\Content.IE5\71KHSMPH\website[1].cab
Update failed

Comunque vi posto il log di hijackthis!! Posso sistemare qualcosa?? ... prima che faccio casini....
Grazie a tutti e buon anno!

E la risposta che mi ha dato il gentilissimo xcdegasp:

per sistemare si può sistemare tutto ma è inutile partire da questo log manualmente perchè hai il pc che è bello pieno purtroppo
dai subito una pulita con CCleaner:
Quote:
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui
poi segui la semplice procedura illustrata in Guida alla Disinfezione per Infetti e aprendoti una nuova discussione in quest'area metti i link al download di tutti i log delle scansioni eseguite cosicchè possiamo aiutarti

Allora ho cercato di seguire questa guida:

1) pulizia con cclener
2) ho disattivato il ripristino del sistema,
3) ho fatto la scansione con ESET ADS Revealer mi ha trovato molti file "infetti", li ho sistemati... ma per alcuni mi da questo errore: impossibile trovare il file specifico oppure impossibile trovare il il percorso specificato. Non allego il file log di quali file sono rimasti, perchè tanto sono immagini .jpg, mp3, documenti .doc, e file thumbs.db. (eventualmente lo allego in seguito, se serve...) e ho ripulito con Ccleaner, che non si sa mai.
4) scansione con A-Squared: ho messo tutto quello che mi ha trovato in quarantena: a-squared.txt - 0.02MB (http://www.zshare.net/download/6159617f3fd2e0/)
5) Prevx CSI: mi trova il malware Worm.Ircbot.Gen per il seguente file
C:\WINDOWS\system32\service.exe, comunque allego il log di questa scansione prevxcsifree.txt - 0.46MB (http://www.zshare.net/download/61238093c08962/) Posso pulire questo file con il programma, o devo toglierlo in un altro modo?
6) scansione con bitdefender online, non ha rilevato nulla. Scansione con f-secure online, mi aveva rilevato un virus e me l'ha pulito (purtroppo ho sbagliato, e non sono riuscita a salvare il log). La scansione con Dr. WEb mi ha trovato questi:
MCCWrapper.dll C:\Programmi\Common Files\Motive Probabile DLOADER.Trojan
PATCH.EXE C:\Programmi\GameHouse\Aloha Solitaire Tool.DVTPatch
7) log HiJackThis: hijackthis.log - 0.02MB (http://www.zshare.net/download/612383979284d4/)
8) scansione log Gmer (non c'era nulla segnato in rosso): gmer.txt - 0.40MB (http://www.zshare.net/download/616056283cbf43/)

xcdegasp

04-01-2008, 02:07

prevx CSI ha trovato:

C:\WINDOWS\system32\service.exe

Loaded into: C:\WINDOWS\system32\service.exe

Loaded into: C:\WINDOWS\system32\service.exe

Loaded into: C:\WINDOWS\system32\service.exe

Loaded into: C:\WINDOWS\system32\service.exe

Loaded into: C:\WINDOWS\system32\service.exe

Loaded into: C:\WINDOWS\system32\service.exe

Loaded into: C:\WINDOWS\system32\service.exe

Loaded into: C:\WINDOWS\system32\service.exe

Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update service.exe

Loaded from: \REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update service.exe

Loaded from: \REGISTRY\Machine\Software\Microsoft\Active Setup\Installed Components\{411EDCF7-755D-414E-A74B-3DCD6583F589}\(default) Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)

Loaded from: \REGISTRY\Machine\Software\Microsoft\Active Setup\Installed Components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}\(default) Active Directory Service Interface

Loaded from: \REGISTRY\Machine\Software\Microsoft\Active Setup\Installed Components\{411EDCF7-755D-414E-A74B-3DCD6583F589}\(default) Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)

Loaded from: \REGISTRY\Machine\Software\Microsoft\Active Setup\Installed Components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}\(default) Active Directory Service Interface

Loaded from: \REGISTRY\Machine\Software\Microsoft\Active Setup\Installed Components\{411EDCF7-755D-414E-A74B-3DCD6583F589}\(default) Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)

Loaded from: \REGISTRY\Machine\Software\Microsoft\Active Setup\Installed Components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}\(default) Active Directory Service Interface

Loaded from: FILE

PX5: 5458B2E900A7BE3CD0370BE3A65DAD00A2E16007

MD5: 9c133e02a8f14f57fe83375186a55958

Determination: BAD

Malware Group: Worm.Ircbot.Gen

che conferma l'analisi di a-squared, presumo a questo punto che a-squared abbia scansionato dopo prevx.. confermi?
eppure ho il sentore che fossero entrambe in macchina se è questo il caso passo ad un altro thread con l'augurio che il negoziante più vicino a casa possa esserte d'aiuto :)

ogni scansione va fatta una alla volta e mai insieme perchè essendo tencnologie antivirali possono pestarsi i piedi a vicenda, come appunto è scansigliato avere due antivirus in esecuzione..

poi fixa le seguenti voci:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O1 - Hosts: 205.238.40.53 www.winmx.com err.winmx.com

O1 - Hosts: 205.238.40.1 cache0.winmx.com test3201.winmx.com test3205.winmx.com

O1 - Hosts: 205.238.40.2 cache1.winmx.com test3202.winmx.com test3206.winmx.com

O1 - Hosts: 82.43.224.20 cache2.winmx.com test3203.winmx.com test3207.winmx.com

O1 - Hosts: 82.204.21.111 cache3.winmx.com test3204.winmx.com test3208.winmx.com

O1 - Hosts: 205.238.40.1 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com

O1 - Hosts: 205.238.40.1 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com

O1 - Hosts: 205.238.40.1 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com

O1 - Hosts: 205.238.40.2 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com

O1 - Hosts: 205.238.40.2 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com

O1 - Hosts: 205.238.40.2 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com

O1 - Hosts: 82.43.224.20 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com

O1 - Hosts: 82.43.224.20 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com

O1 - Hosts: 82.204.21.111 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com

O1 - Hosts: 82.204.21.111 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com

O1 - Hosts: 205.238.40.1 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com

O1 - Hosts: 205.238.40.1 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com

O1 - Hosts: 205.238.40.1 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com

O1 - Hosts: 205.238.40.2 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com

O1 - Hosts: 205.238.40.2 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com

O1 - Hosts: 205.238.40.2 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com

O1 - Hosts: 82.43.224.20 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com

O1 - Hosts: 82.43.224.20 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com

O1 - Hosts: 82.204.21.111 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com

O1 - Hosts: 82.204.21.111 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com

O1 - Hosts: 205.238.40.53 winmx-com.winmxgroup.com winmx-com-v30.winmxgroup.com

O1 - Hosts: 205.238.40.1 test0.winmxgroup.net test4.winmxgroup.net

O1 - Hosts: 205.238.40.2 test1.winmxgroup.net test5.winmxgroup.net

O1 - Hosts: 82.43.224.20 test2.winmxgroup.net test6.winmxgroup.net

O1 - Hosts: 82.204.21.111 test3.winmxgroup.net

O1 - Hosts: 205.238.40.1 cache0.winmxgroup.com cache4.winmxgroup.com cache8.winmxgroup.com cache2.winmxgroup.net cache6.winmxgroup.net cache10.winmxgroup.net cache14.winmxgroup.net cache18.winmxgroup.com

O1 - Hosts: 205.238.40.2 cache1.winmxgroup.com cache5.winmxgroup.com cache9.winmxgroup.com cache3.winmxgroup.net cache7.winmxgroup.net cache11.winmxgroup.net cache15.winmxgroup.net cache19.winmxgroup.com

O1 - Hosts: 82.43.224.20 cache2.winmxgroup.com cache6.winmxgroup.com cache0.winmxgroup.net cache4.winmxgroup.net cache8.winmxgroup.net cache12.winmxgroup.net cache16.winmxgroup.net

O1 - Hosts: 82.204.21.111 cache3.winmxgroup.com cache7.winmxgroup.com cache1.winmxgroup.net cache5.winmxgroup.net cache9.winmxgroup.net cache13.winmxgroup.net cache17.winmxgroup.net

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll

O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-21-1078081533-1085031214-725345543-1005\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background (User 'Marko')

O4 - HKUS\S-1-5-21-1078081533-1085031214-725345543-1005\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background (User 'Marko')

O4 - HKUS\S-1-5-21-1078081533-1085031214-725345543-1005\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe (User 'Marko')

O4 - HKUS\S-1-5-21-1078081533-1085031214-725345543-1005\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033 (User 'Marko')

O4 - HKUS\S-1-5-21-1078081533-1085031214-725345543-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Marko')

O4 - HKUS\S-1-5-21-1078081533-1085031214-725345543-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Mara')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm

O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ely983.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150229517217

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1150236339812

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {A4069847-C342-48E2-9257-01A24E5C78EA} (F-Secure Online Scanner 3.2) - http://support.f-secure.com/ols3beta/fscax.cab

O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\BitDefender\BitDefender Communicator\xcommsvr.exe (file missing)

poi dai una passata con ViriIT che ho appena aggiunto in guida così vediamo se trova nuovamente alcune cose :)