Salve a tutti,

da oggi stanno succedendo parecchie cose strane nel mio pc.

Premetto che frequentemente in email continuano ad arrivarmi email virus che Norton (aggiornato sempre alle ultime definizioni) elimina (ma questo da mesi quindi direi tutto normale).

Ma l'altro giorno compare un virus (che non riesco ad eliminare, creando sempre un file "testfile.(senza estensione)"di 0 byte su uno dei 2 hard che possiedo), provo ad usare il removal tool della Symantec specificato per quel virus e sembra sparire per un po' di giorni.

Invece oggi compare questo messaggio:

http://spinalblood.altervista.org/error.jpg

e noto che dopo un po' il sistema comincia a rallentarsi, con un po' di prove scopro che la causa è un applicazione in memoria chiamata "sysconf.exe" :confused: che si avvia automaticamente ad ogni riavvio, e nonostante io elimini manualmente i valori nel registro e riavvii, dopo un po' il sistema ricomincia ad andare lento, e mi accorgo che il programma è nuovamente in memoria. Ho provato a disabilitare la connessione è il pc non sembrava più rallentato (potrei sbagliarmi), mentre dopo riattaccandola pare ancora incepparsi.

Internet sembra funzionare, sennonchè non riesco più ad aggiornare le definizioni e siti come symantec o Mcafee non funzionano più (mentre contemporaneamente ad alcuni miei amici funzionano). Inoltre ricompare quel "testfile. "

Che c@zzo è successo? :eek:

Mi stanno hackerando? O colpa del virus? :(

Dimenticavo, come connessione possiedo Fastweb (e non ho mai usato firewall perchè mi dissero che con fastweb non servivano), non installo nuovi programmi da molto e non navigo su siti sconsigliabili, faccio spesso scansioni con Spybot e Adaware oltre ad aggiornare le definizioni di Norton, ma stavolta sembrano non bastare :confused:

Aiutatemi :(

Il post precedente era un post postato ieri in un'altra sezione del forum, nel frattempo ho fatto delle prove ed è certo che sti tratti di un virus.

Premettendo che Norton non mi ha rilevato nulla, la memoria continuava ad essere occupata da sysconf.exe e netsvcs.exe, ho provato questi scan:


http://housecall.trendmicro.com/housecall/start_corp.asp

http://www3.ca.com/virusinfo/virusscan.aspx

http://www.bitdefender.com/scan/licence.php

http://www.pandasoftware.com/activescan/com/activescan_principal.htm

Scan 1: Virus Dos_Agobot.Hm che infettava il file WinNT\System32\Drivers\Etc\hosts. che mi bloccava gli accessi ad alcuni siti antivirus

Scan 2: Nulla -.-

Scan 3: i 2 files exe specificati sopra infettati da Backdoor.Agobot.3.Gen

Scan 4: i 2 files exe specificati sopra infettati da W32/Gaobot.MD.worm

Tra i primi 3 scan ho sempre riavviato ma ogni volta dopo un po' il pc riprendeva a rallentarsi e a re-infettare il file hosts e a lanciare i 2 exe. Il 4 scan ho deciso di farlo in modalita provvisoria con supporto di rete ed è finito poco fa, per ora sembra sia tutto normale (speriamo :( ).

Nel caso i rallentamenti si facciano ancora vivi, come posso fare?

Qualcuno ha già avuto a che fare con questi virus?

Niente da fare, un file/virus nascosto reinfetta sempre il file hosts e ricrea sempre il file netsvcs.exe

Come posso fare? Aiutatemi :(

Ti sei ricordato di disattivare il ripristino di configurazione(restore)prima di cancellare i virus?


Dai un'occhita qui:

http://www.softdownload.us/fichas/masbuscados/virusreport/guias_de_seguridad/W32_Gaobot_EZ__1051.asp

Diversi scan online cleanano il file ma dopo ritorna come se niente fosse :(

In quanto all'utilità di ripristino ho win2000, non sono convinto di averla

Prova alcuni antitrojan specifici tipo a2, trojanhunter o TDS-3 (anke in mod provvisoria).

Infine, se il resto nn serve a nulla, prova a fare una scan con hijackthis ed a controllare quali sono i file e le chiavi ke ricreano il worm.

Prova anke l'ultima ver di stinger in mod provvisoria http://vil.nai.com/vil/stinger/

Logfile of HijackThis v1.97.7
Scan saved at 22.26.33, on 06/04/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programmi\WinMX\WinMX.exe
C:\Programmi\New\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\Programmi\Copernic 2000\Search Bar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.m4d.sm/forumdisplay.php?s=&forumid=496
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\Programmi\Copernic 2000\Search Bar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {C12B4EC1-1F65-11D3-91CA-00104B9C4765} - C:\Programmi\Copernic 2000\CopernicFind.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Video Process] netsvcs.exe
O4 - HKLM\..\RunServices: [Video Process] netsvcs.exe
O4 - Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe
O8 - Extra context menu item: Download &All by FD - file://C:\Programmi\Fresh Download\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Programmi\Fresh Download\fdiectx.htm
O8 - Extra context menu item: Ricerca utilizzando Copernic - file://C:\Programmi\Copernic 2000\Search Extension.htm
O9 - Extra 'Tools' menuitem: Avviare Copernic (HKLM)
O9 - Extra button: Copernic (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Traduci (HKLM)
O9 - Extra 'Tools' menuitem: &Traduci utilizzando Gist-In-Time (HKLM)
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/threatinfo/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37971.5614930556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


questo è il log provato in modalità provvisoria, i risultati di netsvcs.exe sembrano le stringhe che sono sempre in esecuzione automatica :(

Il virus è questo : http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=58332&VName=WORM_AGOBOT.LH&VSect=O

Prova ad eliminare con hijackthis i valori relativi al file netsvcs.exe e poi prova ad usare in mod provvisoria stinger e questo tool della symantec http://securityresponse.symantec.com/avcenter/FxGaobot.exe

Ciao a tutti,

Pure io come sono stato infettato da questo virus, ho usato Hijack e ho eliminato i valori relativi a netsvcs.exe, ho utilizzato pure lo stringer in mod provv, ora mi manca da utilizzare il tool ma il link non mi funziona :(

Cmq ringrazio MrOZ per aver consigliato l'utilizzo di Hijack, speriamo sia servito a qualcosa....

Cya ^^

Niente da fare......... il virus si è ricreato, l'unica sarebbe utilizzare il tool della symantec ma il link per ora non funziona.......vedremo domani :(

Originariamente inviato da LucRaTeS
Ciao a tutti,

ora mi manca da utilizzare il tool ma il link non mi funziona :(


Il link a me funziona... se a te nn riesce di scaricare il tool è a causa del virus.

Puoi scaricare lo stesso tool da qui http://forum.gladiator-antivirus.com/index.php?act=ST&f=110&t=12732

Dunque ora sono in modalità normale e dopo 2 ore è ritornato il virus, quindi ho fatto un nuovo scan con Jackthis (anche se sembrerebbe molto simile):






Logfile of HijackThis v1.97.7
Scan saved at 3.30.34, on 07/04/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\netsvcs.exe
C:\Programmi\New\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\Programmi\Copernic 2000\Search Bar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.m4d.sm/forumdisplay.php?s=&forumid=496
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\Programmi\Copernic 2000\Search Bar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {C12B4EC1-1F65-11D3-91CA-00104B9C4765} - C:\Programmi\Copernic 2000\CopernicFind.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot\SDHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Video Process] netsvcs.exe
O4 - HKLM\..\RunServices: [Video Process] netsvcs.exe
O4 - Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe
O8 - Extra context menu item: Download &All by FD - file://C:\Programmi\Fresh Download\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Programmi\Fresh Download\fdiectx.htm
O8 - Extra context menu item: Ricerca utilizzando Copernic - file://C:\Programmi\Copernic 2000\Search Extension.htm
O9 - Extra 'Tools' menuitem: Avviare Copernic (HKLM)
O9 - Extra button: Copernic (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Traduci (HKLM)
O9 - Extra 'Tools' menuitem: &Traduci utilizzando Gist-In-Time (HKLM)
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/threatinfo/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37971.5614930556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ora con questo programma ho fatto fix, provo ad andare ora in modalità provvisoria a fare i 2 scan.

Ho finito gli Scan ma nè Stinger, nè il remove tool di Norton hanno trovato qualcosa.

Stinger la prima volta aveva trovato l'infenzione di netsvcs.exe come altri Scan Online, ma si limitavano a quello o al file host. che bloccava gli accessi, Norton e il removal tool non hanno segnalato nessun virus neanche in modalità provvisoria :(

Probabilmente i rallentamenti domani compariranno ancora, non ci sono proprio altre soluzioni? Può forse qualche antivirus (da installare) diverso da Norton riconoscere questo virus?

O le varie definizioni degli antivirus per quel virus dovranno essere ancora create? :(

Nel frattempo ho provato a2 e Antivir, Antivir sembra aver trovato delle infezioni;

C:\WINNT\system32\ActiveScan
imscan.dll
[DETECTION] Contains signature of the VBS script virus VBS/Newlove.A
WAS DELETED!
C:\WINNT\Temp
OLD3E.tmp
[DETECTION] Contains signature of the VBS script virus VBS/Newlove.A
WAS DELETED!
C:\Documents and Settings\Administrator\Impostazioni locali\Temp
Rem33.exe
[DETECTION] The Trojan horse TR/Swicer.2
WAS DELETED!
Rem39.exe
[DETECTION] The Trojan horse TR/Swizzo.C.1
WAS DELETED!
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\_AS15.tmp
motor.cab
ArchiveType: CAB (Microsoft)
--> imscan.dll
[DETECTION] Contains code of the Windows virus W95/Bumble


Speriamo siano pertinenti col virus principale :(

anche a me è comparso ieri sera questo virus il geabote.SY...

avete trovato la soluzione, perchè leggendo il thread si specifica l'uso di alcuni antivirus ma non si dice se è stato eliminato oppure no..

grazie

Dunque alla fine neanche Antivir mi ha tolto quel file, quando ieri le definizioni di norton (aggiornandolo) sembra che rilevano il file netsvcs.exe e a bloccarlo (ma senza cancellare definitivamente il virus), mentre quando ha ricreato sysconf.exe non è riuscito a fermarlo.

Sennonchè ho parlato con uno che aveva lo stesso virus e mi ha detto che da disconnessi il virus non ha effetto (ho provato ed effetivamente è vero) e che installando il firewall Zone Alarm è riuscito a risolvere il problema.

Ho provato da poco ad installarlo ed effettivamente vedo che per ora il sistema funziona bene (preferisco aspettare un paio di giorni per essere sicuro).

In ogni caso il firewall magari lo terrò installato, o lo toglierò tra 2 mesi quando gli antivirus riescano a rintracciare da soli il virus, vedremo.

grazie farò come dici

PS: io nn l'ho mai precisato e mi sembrava ke fosse naturale... in questi casi (così come in quello del blaster/welchia) in cui si ha a ke fare con trojan o worm ke sfruttano certe vulnerabilità del sistema e ke prendono di mira alcune porte o il canale di IRC, è assolutamente necessario ricorrere alle patch microsoft sulla sicurezza x tamponare queste falle ed installare un firewall in modo da filtrare i tentativi di accesso dall'esterno.

http://forum.gladiator-antivirus.com/index.php?showtopic=12778

Originariamente inviato da Iceblink666
Dunque alla fine neanche Antivir mi ha tolto quel file, quando ieri le definizioni di norton (aggiornandolo) sembra che rilevano il file netsvcs.exe e a bloccarlo (ma senza cancellare definitivamente il virus), mentre quando ha ricreato sysconf.exe non è riuscito a fermarlo.

Sennonchè ho parlato con uno che aveva lo stesso virus e mi ha detto che da disconnessi il virus non ha effetto (ho provato ed effetivamente è vero) e che installando il firewall Zone Alarm è riuscito a risolvere il problema.

Ho provato da poco ad installarlo ed effettivamente vedo che per ora il sistema funziona bene (preferisco aspettare un paio di giorni per essere sicuro).

In ogni caso il firewall magari lo terrò installato, o lo toglierò tra 2 mesi quando gli antivirus riescano a rintracciare da soli il virus, vedremo.

ho installato anche io zone alarm e ho scoperto una cosa.
la finestrella di norton non si apre piu ,( per intenderci quella che ti indica che ha trovato un virus e l'ha deletato) ma il virus continua ad esserci perche zone alarm mi avverte di continui accessi non autorizzati ogni minuto....quindi il problema non e risolto perche il virus c'è ancora.

possibile che non ci sia un antivirus che lo deleti del tutto!

Secondo Windows Update ho già tutti gli aggiornamenti disponibili, meglio così.

Anche a me non è più comparsa la finestrella di Norton, magari perchè il firewall blocca appunto il tentativo prima di Norton.

Comunque il numero di attacchi subiti non credo abbia importanza, tempo fa usavo un firewall e c'erano sempre vari presunti attacchi. Se il virus non rallenta più il sistema penso che momentaneamente vada bene così.

Originariamente inviato da Iceblink666
Secondo Windows Update ho già tutti gli aggiornamenti disponibili, meglio così.

Anche a me non è più comparsa la finestrella di Norton, magari perchè il firewall blocca appunto il tentativo prima di Norton.

Comunque il numero di attacchi subiti non credo abbia importanza, tempo fa usavo un firewall e c'erano sempre vari presunti attacchi. Se il virus non rallenta più il sistema penso che momentaneamente vada bene così.

ho provato ancora 2 scansioni in mod provvisoria con l'opzione modulo di registro e:
- stinger non mi trova nessun virus gabote
- il fix della symantec nemmeno..

......oraprovo a riavviare in mod normale e speriamo

[edit] boh non so che dire...zonealarm mi continua a segnalare accessi quindi presumo che il virus ci si ancora...
non so piu che fare...:cry: :cry: :cry: :cry:

Prima o poi aggiorneranno Norton in modo da cancellare il virus.

Oppure finche ci saranno norton e il firewall online, il virus non potrà comunque agire ;)