Aiuto Virus rompipalle

[OIBAF]

Salve a tutti

E' da questa mattina che sono in balia di uno strano virus(almeno io penso sia un virus), che non mi fa partire tutti i programmi in background.

Mi spiego meglio....

.... questo virus, l'avevo già beccato tempo fa, ma avevo risolto tutto con una scansione di ad-aware.
Adesso, non risolvo+ niente, e gli unici 2 programmi che partono in background sono: kaspersky e l'icona delle imp. di ATI.

facendo però la scansione, a questa voce qui, ricompaiono i programmi(che poi però al riavvio successivo però non ci sono)



Secondo voi cosa può essere????

[OIBAF]

Ho trovato questo



ma la situazione non cambia

[bluepix]

Devi postare il log di Hijackthis.


Per vbsys2.dll ci sono parecchie entries nel registro da fixare

[OIBAF]

ecco qua

[bluepix]

dovresti clikkare SaveLog e postare il contenuto del file di testo generato.

La versione di Hijckthis corrente è la v1.99.1

[OIBAF]

Logfile of HijackThis v1.99.1
Scan saved at 23.24.21, on 10/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\SYSTEM32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
D:\Programmi\Outlook Express\msimn.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Documents and Settings\OIBAF\Desktop\My\Doc.vari\HiJAC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] D:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ATIPTA] D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://d:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://d:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://d:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://d:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://d:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4EEC6E9-62A7-4346-B971-C5710B3C472C}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: alp - {D7F12BDE-1092-11D5-999A-0040332BA2EA} - D:\PROGRA~1\NEWOBJ~1\ALP\iewebsrv.dll
O18 - Protocol: alpdump - {D7F12BDE-1092-11D5-999A-0040332BA2EA} - D:\PROGRA~1\NEWOBJ~1\ALP\iewebsrv.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - D:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Labs - D:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: RadClock - Unknown owner - D:\WINDOWS\SYSTEM32\RadClock.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\Programmi\Sygate\SPF\smc.exe



Mi sa che ho fatto qualche pasticcio cmnq. ho eliminato i file che penso siano infetti, ma il kaspersky, mi aveveva eliminato un DLL. importante, che permette l'avvio dei programmi in b.g.

Ditemi voi che ne sapete + di me

[OIBAF]

Il problema ora è questo:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - D:\WINDOWS\System32\vbsys2.dll (file missing)

Non so come ricostruire i collegamenti ai DLL. inoltre, nella quarantena del KAV, il file infetto non c'è +, come faccio.

P.s.= cmnq. facendo la sansione con ad-aware, i programmi in b.g. ricompaiono, cosa significa???

[bluepix]

Quote:

Originariamente inviato da OIBAF
Il problema ora è questo:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - D:\WINDOWS\System32\vbsys2.dll (file missing)

Non so come ricostruire i collegamenti ai DLL. inoltre, nella quarantena del KAV, il file infetto non c'è +, come faccio.

P.s.= cmnq. facendo la sansione con ad-aware, i programmi in b.g. ricompaiono, cosa significa???

questa linea va rimossa con Hijackthis

[OIBAF]

l'ho fatto, ma il problema ora è ritornato

[bluepix]

Forse ho trovato:

http://www.sophos.com/virusinfo/anal...adclickac.html

l'unica differenza è che il CLSID è diverso dal tuo, però può darsi che sia un problema di morphing.

Prova a cercare nel registro con il tuo CLSID:{54645654-2225-4455-44A1-9F4543D34545} alle posizioni indicate da Sophos.

Se esistono, dovresti rimuoverli

[OIBAF]

Adesso guardo, e vedo di rimettere a posto, grazie del consiglio intanto

[OIBAF]

Quote:

Originariamente inviato da bluepix

Forse ho trovato:

http://www.sophos.com/virusinfo/anal...adclickac.html

l'unica differenza è che il CLSID è diverso dal tuo, però può darsi che sia un problema di morphing.

Prova a cercare nel registro con il tuo CLSID:{54645654-2225-4455-44A1-9F4543D34545} alle posizioni indicate da Sophos.

Se esistono, dovresti rimuoverli

Nel mio reg. di sistema, le stringhe che ci dovrebbero essere con il troyan non ci sono però



Forse, questo troyano l'ho già eliminato. Adesso cerco meglio cmnq.