DI NUOVO SU sys33.exe ( W32.HLLW.Gaobot)

[emilio.m]

Buongiorno. Da circa un mese combatto con il Virus sys33.exe ( W32.HLLW.Gaobot) senza risucire a debellarlo. Ho seguito tutte le possibili strategie (vedi un precedente thread del 18-11-2005). Il PC non è in rete, quindi non si riinfetta. L'ho passato con Ewido, NOD32 e bit defender (ovviamente in modalità provvisoria, disattivando il ripristino di sistema, dopo aver cancellato i file infetti e svuotato il cestino). Gli antivirus non lo vedono. Ho chiuso tutte le porte possibili con WWDC. Sui file di registro non ci sta traccia del virus (ho seguito tutte le procedure per la disinfezione manuale indicate da Norton e da altri siti). Ho passato il PC i vari tools specifici anti virus W32 e anti Gaobot: niente. Invariabilmente dopo il re-boot mi riappare il file sys33 sotto C:/ e sotto C:/documents Settings/user/documenti/testi; il pc si rallenta visibilmente e l'utilizzo della CPU mi arriva al 80-90%.

Cosa diavolo posso fare????

Questo è il log di Hijackthis (che ho già anche sottoposto all'analisi online con www.hijackthis.de). Qualcuno ha suggerimenti, oltre riformattare (che proprio non vorrei anche per non dargliela vinta)?


Logfile of HijackThis v1.99.1
Scan saved at 11.55.41, on 06/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Google\ggviewer81-64.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\utente\IMPOST~1\Temp\Directory temporanea 6 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://europa.esn.be/comm/research/s...ty/home_en.cfm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Tizoa] C:\Program Files\Evlou\Tzdg.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GoToMyPC] C:\Programmi\Expertcity\GoToMyPC\g2svc.exe -logon
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [GDIPatch] C:\PROGRA~1\WMFPatch\inject.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Second Copy 2000] "C:\Programmi\SecCopy\SecCopy.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Solert] C:\Documents and Settings\utente\Dati applicazioni\version\NvsvSys.exe
O4 - Startup: Indicatore FastMail.lnk = C:\Programmi\FastMail\TrayIndicator_it.exe
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Abilita Labtec Wireless Desktop.lnk = C:\Programmi\Labtec Wireless Desktop\MagicKey.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Panasonic StatusMonitor Multifunzione.lnk = C:\Programmi\Panasonic\Multi-Function Station\STATUSMON.EXE
O4 - Global Startup: PrintAndFax.lnk = C:\Programmi\Fastweb\PrintAndFax\FaxMonitor.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: http://www.190.it
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/tech...a/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27de74a9...dxIE601_it.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093346148389
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1136894644130
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...l/SymAData.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/...chsettings.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: GoToMyPC - C:\Programmi\Expertcity\GoToMyPC\G2WinLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: Multi-Function Station Device Monitor (KMDevmonSrv) - Unknown owner - C:\WINDOWS\system32\KMDEVMONSRV.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

[andorra24]

Prova a fixare queste:
O4 - HKLM\..\Run: [Tizoa] C:\Program Files\Evlou\Tzdg.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [Solert] C:\Documents and Settings\utente\Dati applicazioni\version\NvsvSys.exe
O15 - Trusted Zone: http://www.190.it (se non l'hai messa tu in trusted zone eliminala)
O23 - Service: Multi-Function Station Device Monitor (KMDevmonSrv) - Unknown owner - C:\WINDOWS\system32\KMDEVMONSRV.exe (controlla se conosci questa voce )

[emilio.m]

grazie. ho fatto e ora sto ripassando tutto con bitdefedender. poi riavvio e ti dico se ha funzionato. Ciao
E.

[emilio.m]

Boia Faust!!!! E' di nuovo lì

COSA POSSO FARE??????

[andorra24]

Quote:

Originariamente inviato da emilio.m

Boia Faust!!!! E' di nuovo lì

COSA POSSO FARE??????

Hai disattivato il ripristino di sistema e hai fatto il fix in modalita' provvisoria come ti avevo consigliato?

[emilio.m]

Sì, certo, rispettato rigorosamente le procedure di asepsi. Ho anche disinstallato Norton (presa la palla al balzo) e installato Avast, niente. Riappare come la macchia di sangue di Lady McBeth!

[andorra24]

Quote:

Originariamente inviato da emilio.m

Sì, certo, rispettato rigorosamente le procedure di asepsi. Ho anche disinstallato Norton (presa la palla al balzo) e installato Avast, niente. Riappare come la macchia di sangue di Lady McBeth!

Fai una scansione online col kaspersky:http://www.kaspersky.com/virusscanner
NB: la scansione non rimuove gli eventuali virus trovati pero' indica il percorso del file infetto e quindi e' ugualmente utile.

[emilio.m]

Fatta, grazie. E' impestato sia nei file di restore, sia nei driver della stampante (ma guarda dove diavolo!), solo che non si riesce a distruggere tutto manualmente, sia nelle cartelle rycicler.

Ma questo bastardo di backdoor come fanno a controllarlo se ho tutte le porte chiuse? mah...

Finisce che compro KAs, che ho visto tu stimi molto. Solo che non vorrei caricarmi un altro ippopotamo come Norton, che mi rallenta tutto il sistema e la posta mentre lavoro. Tra l' altro, tu hai esperienza con la suite di kas, antispam compreso? Cmq grazie per l'aiuto

[andorra24]

Quote:

Originariamente inviato da emilio.m

Fatta, grazie. E' impestato sia nei file di restore, sia nei driver della stampante (ma guarda dove diavolo!), solo che non si riesce a distruggere tutto manualmente, sia nelle cartelle rycicler.

Ma questo bastardo di backdoor come fanno a controllarlo se ho tutte le porte chiuse? mah...

Finisce che compro KAs, che ho visto tu stimi molto. Solo che non vorrei caricarmi un altro ippopotamo come Norton, che mi rallenta tutto il sistema e la posta mentre lavoro. Tra l' altro, tu hai esperienza con la suite di kas, antispam compreso? Cmq grazie per l'aiuto

Se vuoi ripulirti il pc scaricati provvisoriamente una versione trial del kaspersky ed installatela (dopo aver disinstallato il tuo attuale antivirus). Dopo te ne vai in modalita' provvisoria con il ripristino disattivato e ti fai una scansione completa con il kaspersky cosi ti elimina questo malware che ti affligge. Poi stara' a te decidere se continuare ad usare il kaspersky oppure no.