*** Virus identified Win32/Virut.A ***

[Francis25]

Ciao a tutti,

come da normale procedura ho effettuato varie scansioni anche in modalità provvisoria, con i software consigliati in rete, ma il risultato è sempre lo stesso:

lanciando un controllo con AVG Free Edition ottengo più di 1000 file infetti da Win32/Virut.A....

qualcuno ha avuto la sfortuna di "incontrare" questo trojan?

1000 grazie in anticipo, ciao,
Francis

[juninho85]

hai già provato con hijackthis?

[Francis25]

ho già provato...cmq appena arrivo a casa posto il log.

grazie1000, ciao,
Francis25

[blue_tech]

hai provato a fare la sansione dalla modalità provvisoria anche con ewido?

[Francis25]

ho provato, ma purtroppo non ho risolto...

facendo una ricerca ho trovato questa procedura per la rimozione manuale:

http://www.trendmicro.com/vinfo/viru...T%2EA&VSect=Sn

ma è in inglese... qualcuno me la può tradurre?


grazie!

[Francis25]

ecco il log di HijackThis...aiutatemi !!!

ciao


Logfile of HijackThis v1.99.1
Scan saved at 20.06.17, on 13/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmi\Spyware Doctor\swdoctor.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1160421166125
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe

[blue_tech]

Quote:

Originariamente inviato da Francis25

ho provato, ma purtroppo non ho risolto...

facendo una ricerca ho trovato questa procedura per la rimozione manuale:

http://www.trendmicro.com/vinfo/viru...T%2EA&VSect=Sn

ma è in inglese... qualcuno me la può tradurre?


grazie!

allora riguardo al log fixerei questa:
-> C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

per la procedura di rimozione dice di fare questo:

1) identificare i percorsi e nomi dei file (o del file) infetti
2) aprire il task manager (CTRL+ALT+CANC e se hai xp scegli la scheda processi)
3) da qui terminare i processi facenti riferimento ai file identificati prima
4) se hai XP o ME disabilita il ripristino di sistema
5) fatto ciò eseguire una scasnione completa del sistema con l'antivirus eliminando i file infetti

[Francis25]

-> C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe -----> FIXATO

per il resto: come faccio a sapere i processi creati dal virus?

[Francis25]

...pare che le persone infette da questo virus abbiamo risolto solo con una FORMATTAZIONE A BASSO LIVELLO....voi che dite??

[juninho85]

Quote:

Originariamente inviato da Francis25

...pare che le persone infette da questo virus abbiamo risolto solo con una FORMATTAZIONE A BASSO LIVELLO....voi che dite??

addiritura a basso livello?mi pare un pò eccessivo...

[blue_tech]

Quote:

Originariamente inviato da Francis25

per il resto: come faccio a sapere i processi creati dal virus?

per esempio se l'antivirus rileva un virus in c:\file1.exe
nel task manager dovrebbe esserci il processo file1.exe...

(non è sempre così che funziona ma dalla pagina della procedura io ho capito così...)

[Davy Bartoloni]

Basso livello? il virut.a e' un virus alla vecchia maniera... (e' dai tempi del parite che non ne vedevo piu'..)

beh, i file infetti, a che mi risulti non si ripuliscono con i soliti AVG NOD32.. etc.. e quindi di solito devono essere cancellati...

una volta cancellati tutti i file infetti, il sistema e' pulito.. il modo piu' veloce per liberarsi dall'infezione e' quello di installare un'altra copia del sistema operativo sull'harddisk .. su questa installare un antivirus aggiornato , e fare una bella scansione della cartella WINDOWS e PROGRAMMI, cancellare tutti i file infetti.. (e pazienza se si dovra' reinstallare WOrd o NERO...)

dopodiche ' ripartire con il vecchio windows, installare l'antivirus aggiornato, e controllare tutto il resto del pc.,..

se qualcuno hai idea di una cleaning-utility per il Virut sarebbe carino lo scrivesse (un mio cliente ha un software di gestione contabile infettato... e no ha voglia di sborsare 200 euro per la reinstallazione a domicilio...)

[superkoala]

Quote:

Originariamente inviato da Francis25

...pare che le persone infette da questo virus abbiamo risolto solo con una FORMATTAZIONE A BASSO LIVELLO....voi che dite??

In effetti, è un brutto virus, salvati subito tutti i dati importanti perché si può passare in poco tempo da 1000 a 10.000-20.000 file infetti!!!

Cmq, basta anche la formattazione veloce!!!

[wizard1993]

Quote:

Originariamente inviato da superkoala

In effetti, è un brutto virus, salvati subito tutti i dati importanti perché si può passare in poco tempo da 1000 a 10.000-20.000 file infetti!!!

Cmq, basta anche la formattazione veloce!!!

io sono un sostenitore del tenere sempre due windows; possibilmente con antivirus molto potenti; ad esempio io in uno uso f-secure 2007; nell'altro kav6

[raffree]

Quote:

Originariamente inviato da Francis25

lanciando un controllo con AVG Free Edition ottengo più di 1000 file infetti da Win32/Virut.A....

Più di 1000 Virus??? Ti consiglio di formattare il computer secondo me fai prima oppure se vuoi tentare di riparare windows scaricati questi programmi indispensabili:

Ad-aware se personal
Spybot search&destroy
CCleaner
Un firewall (ti consigliato Zone Alarm)
Un antivirus (ti consiglio a pagamento Nod32 o Kaspersky mentre se lo vuoi gratuito ti consiglio Active virus shield)

[superkoala]

Quote:

Originariamente inviato da raffree

Più di 1000 Virus???

E' tipico del Virut, mi è capitato un caso in cui dopo 3-4 giorni dall'infezione era arrivato a 40.000 file infetti!!!
Probabilmente più si usa il pc e più si propaga...

[giannola]

Quote:

Originariamente inviato da Davy Bartoloni

Basso livello? il virut.a e' un virus alla vecchia maniera... (e' dai tempi del parite che non ne vedevo piu'..)

beh, i file infetti, a che mi risulti non si ripuliscono con i soliti AVG NOD32.. etc.. e quindi di solito devono essere cancellati...

una volta cancellati tutti i file infetti, il sistema e' pulito.. il modo piu' veloce per liberarsi dall'infezione e' quello di installare un'altra copia del sistema operativo sull'harddisk .. su questa installare un antivirus aggiornato , e fare una bella scansione della cartella WINDOWS e PROGRAMMI, cancellare tutti i file infetti.. (e pazienza se si dovra' reinstallare WOrd o NERO...)

dopodiche ' ripartire con il vecchio windows, installare l'antivirus aggiornato, e controllare tutto il resto del pc.,..

se qualcuno hai idea di una cleaning-utility per il Virut sarebbe carino lo scrivesse (un mio cliente ha un software di gestione contabile infettato... e no ha voglia di sborsare 200 euro per la reinstallazione a domicilio...)

esatto.
smettiamola di dire fesserie il virus in questione infetta file eseguibili in esecuzione sul pc (qundi niente infezioni a macchia d'olio) e apre una backdoor sulla porta 65520 tentando di connettersi a proxima.ircgalaxy.(dominio nazione)
il grado di pericolo è basso e la rimozione facile.

Questo sendo symantec, mcafee, sophos....basta ?

[superkoala]

Quote:

Originariamente inviato da giannola

esatto.
smettiamola di dire fesserie il virus in questione infetta file eseguibili in esecuzione sul pc (qundi niente infezioni a macchia d'olio)...

Appunto, ciò conferma quello che dicevo, ossia "più si usa il pc e più si propaga...", dato che "usare" il PC vuol dire aprire applicazioni e lanciare file eseguibili!!!
Per esperienza ti posso dire che se non lo rimuovi in tempo, ti ritrovi con un PC in cui non ti funziona più alcuna applicazione (neanche il blocco note)!!!

[giannola]

Quote:

Originariamente inviato da superkoala

Appunto, ciò conferma quello che dicevo, ossia "più si usa il pc e più si propaga...", dato che "usare" il PC vuol dire aprire applicazioni e lanciare file eseguibili!!!
Per esperienza ti posso dire che se non lo rimuovi in tempo, ti ritrovi con un PC in cui non ti funziona più alcuna applicazione (neanche il blocco note)!!!

guarda i processi di solito sono tra 30 e 60 (mi sono tenuto largo) dunque nn ha senso parlare di 1000 file.
Poi vabbè se solo una questione di voler avere ragione, te la do tranquillamente.

[superkoala]

Quote:

Originariamente inviato da giannola

guarda i processi di solito sono tra 30 e 60 (mi sono tenuto largo) dunque nn ha senso parlare di 1000 file.
Poi vabbè se solo una questione di voler avere ragione, te la do tranquillamente.

Veramente sembri tu a voler aver ragione a tutti i costi, la frase: "lanciando un controllo con AVG Free Edition ottengo più di 1000 file infetti da Win32/Virut.A...." è di Francis25 e non vedo perché dovrebbe mentire, tanto più che a me è capito un caso simile e il numero di file infetti si è moltiplicato rapidamente!!!
Come poi, funzioni, il virus non lo so... io so solo che piano piano rovina tutte le applicazioni e su qualsiasi applicazioni si clicchi ti dà errore!!!