Worm autogenerante

[GiulioCesare]

Salve ragazzi, penso di aver preso un virus, o meglio un Worm, infatti quando il pc viene
avviato, il mio antivirus AntiVir, segnala la presenza di un WORM/IRCB.47104.2.A, e nella
cartella documenti c'è un file exe, che si chiama 55exmodulao.exe. Ho provato a cancellare
questo file, ma ogni volta che avvio il pc, tale file si ripresenta, con sempre lo stesso nome,
ma un numero iniziale diverso. Come posso togliere questo Worm, senza formattare la macchina?

[matteo1]

disattiva il rispristino configurazione di sistema,riavvia in modalità provvisoria,rifai la scansione.

[andorra24]

Se antivir non te lo toglie puoi provare anche con ewido:
http://download.ewido.net/ewido-setup.exe

[Stev-O]

Quote:

Originariamente inviato da GiulioCesare

Salve ragazzi, penso di aver preso un virus, o meglio un Worm, infatti quando il pc viene
avviato, il mio antivirus AntiVir, segnala la presenza di un WORM/IRCB.47104.2.A, e nella
cartella documenti c'è un file exe, che si chiama 55exmodulao.exe. Ho provato a cancellare
questo file, ma ogni volta che avvio il pc, tale file si ripresenta, con sempre lo stesso nome,
ma un numero iniziale diverso. Come posso togliere questo Worm, senza formattare la macchina?

quel file scansionalo anche su www.virustotal.com e fai una ulteriore scansione con bitdefenderfree http://www.bitdefender.com/site/Down...adFile/340/EN/
ed ewido www.ewido.net
può darsi che salti fuori qualcos'altro

[Cobain]

è un file .exe? se si autogenerà sicuramente contiene un codice che carica in fase di avvio prova a vedere se esiste un file che richiama ad ogni avvio start ----->esegui----->msconfig

[GiulioCesare]

Ho fatto la scansione con hijackthis, ma non mi sembra che vengano segnalati informazioni importanti alla rimozione del virus, comunque questo è il file di log:
Logfile of HijackThis v1.99.1
Scan saved at 17.00.20, on 06/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Microsoft Visual Studio 8\Common7\IDE\devenv.exe
C:\j2sdk1.4.2_09\bin\java.exe
C:\Programmi\Notepad++\notepad++.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\eMule\emule.exe
C:\j2sdk1.4.2_09\bin\javaw.exe
C:\Programmi\Aqua Data Studio 4.5\jre\bin\javaw.exe
C:\Documents and Settings\Administrator\Desktop\putty.exe
C:\Documents and Settings\Administrator\Desktop\putty.exe
C:\Programmi\WinSCP3\WinSCP3.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 80.17.20.190 test.guidamonaci.it
O1 - Hosts: 80.17.20.190 test.cms.guidamonaci.info
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_09\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_09\bin\npjpi142_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_09\bin\npjpi142_09.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microso...b?1136978439281
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/D...api/activex.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/M...pDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{005D6D48-FCA6-475A-84A0-F660A7290192}: NameServer = 212.131.30.42,212.131.30.43
O17 - HKLM\System\CS1\Services\Tcpip\..\{005D6D48-FCA6-475A-84A0-F660A7290192}: NameServer = 212.131.30.42,212.131.30.43
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

[Stev-O]

dovevi postare nel thread in alto, adesso te lo chiudono...
hai una versione vecchissima di java runtime cmq
toglierei cmq questi
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

[andorra24]

Questi li conosci?

O1 - Hosts: 80.17.20.190 test.guidamonaci.it
O1 - Hosts: 80.17.20.190 test.cms.guidamonaci.info

Se non li conosci fixali.

[Stev-O]

smss in system va bene?