[VIRUS] Non riesco a levarlo c:\programmi\cambianome continuamente.exe

[maforast]

SAlve ragazzi non riesco a levare un file che cambia nome continuamente in c:\programmi ho provato con i seguenti sw:

NOD32 aggiornato a ieri
CCleaner last version
spybot aggiornato
ad-aware aggiornato
ewido aggiornato a ieri
Kill box
ho provato sia normalmente che in modalità provvisoria, ho provato anke con hijakthis ma niente cmq vi posto il log grazie in anticipo per l'aiuto...

Logfile of HijackThis v1.99.1
Scan saved at 12.14.12, on 19/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Aston\aston.exe
D:\Aston\XP\internat.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\usbtapnp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmi\Babylon\Babylon.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\sstray.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Altdesk\AltDesk.exe
C:\Documents and Settings\MaNoLo\Menu Avvio\Programmi\Esecuzione automatica\html2pop3.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
D:\temp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=D:\Aston\aston.exe ,svchost.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\System32\usbtapnp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [WheelMouse] C:\WHEELM~1\wh_exec.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Programmi\Rational\Rational Test\nutcroot\bin\ncoeenv.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [AltDesk] C:\Programmi\Altdesk\AltDesk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: html2pop3.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/Ms...cab?10,0,910,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1147995141453
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC7C86E-4D5D-4849-82C3-8A1485C0DD28}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[manganese]

Sarebbe stato meglio continuare nell'altro 3D

Cmq il file incriminato in questo log non lo vedo

[maforast]

Quote:

Originariamente inviato da manganese

Sarebbe stato meglio continuare nell'altro 3D

Cmq il file incriminato in questo log non lo vedo

[manganese]

ma scusa non sei contento?...forse hai risolto,,,

[maforast]

Quote:

Originariamente inviato da manganese

ma scusa non sei contento?...forse hai risolto,,,

noooooooooooooo perkè il file continua e persiste cambiando sempre nome in c:\programmi quindi gli sw di prima non lo vedono proprio o meglio nod32 lo vede ma dice kè è bloccato e l'accesso è negato.

[*Nexus*]

Monta l'hd come disco dati su un altro pc e scansionalo, oppure fai una scansione da linux.

[manganese]

Quote:

Originariamente inviato da maforast

noooooooooooooo perkè il file continua e persiste cambiando sempre nome in c:\programmi quindi gli sw di prima non lo vedono proprio o meglio nod32 lo vede ma dice kè è bloccato e l'accesso è negato.

Riesci almeno a vedere il nome del virus segnalato?
Perchè, anche se il nome cambia, la bestiolina dovrebbe essere sempre quella.

[naso]

Quote:

Originariamente inviato da *Nexus*

Monta l'hd come disco dati su un altro pc e scansionalo,

quoto...

[maforast]

Quote:

Originariamente inviato da manganese

Riesci almeno a vedere il nome del virus segnalato?
Perchè, anche se il nome cambia, la bestiolina dovrebbe essere sempre quella.

l'antivirus non lo vede come virus ma mi dice solo ke il file è bloccato quindi il nome cambia sempre in questo momento il file si kiama bqz.exe CGEM.exe stamattina si kiamava Sw.exe cambia nome ad ogni riavvio bha...

[manganese]

Se riesci a mettere l'HD come slave su un altro comp (come è già stato segnalato) è la cosa migliore!

Un passaggio importante che molti tralasciano è la pulizia completa di tutti i temp. con ccleaner dopo ogni tentativo di disinfezione prima di riavviare.

Ti segnalo solo altre 2 possibilità
1-facile: altro programma specializzato in "virus bastardi"
http://www.emsisoft.it/it/software/free/ (alcuni dicono miglire di ewido.. )

2-difficile: esaminare con process explorer il sistema e tentare di individuare "il padre" di quel processo che cambia nome di continuo.
http://www.sysinternals.com/Utilitie...sExplorer.html
Ma l'interpretazione dei risultati non è per nulla facile.

[maforast]

Quote:

Originariamente inviato da manganese

Se riesci a mettere l'HD come slave su un altro comp (come è già stato segnalato) è la cosa migliore!

Un passaggio importante che molti tralasciano è la pulizia completa di tutti i temp. con ccleaner dopo ogni tentativo di disinfezione prima di riavviare.

Ti segnalo solo altre 2 possibilità
1-facile: altro programma specializzato in "virus bastardi"
http://www.emsisoft.it/it/software/free/ (alcuni dicono miglire di ewido.. )

2-difficile: esaminare con process explorer il sistema e tentare di individuare "il padre" di quel processo che cambia nome di continuo.
http://www.sysinternals.com/Utilitie...sExplorer.html
Ma l'interpretazione dei risultati non è per nulla facile.

grazie ora li provo

[maforast]

Quote:

Originariamente inviato da maforast

grazie ora li provo

Con explorernt vedo il file poru1.exe che compariva nel log di hijakthis e che avevo fixato molto strano perkè l'avevo eliminato anche dalla directory temp di windows ma adesso è ricomparso anke lì... sto pensando che evidentemente il file che sta in c:\programmi è la fonte che genera questi file perkè quello è l'unico ke non sono mai riuscito ad eliminare... adesso provo a trovare il processo padre

[manganese]

Visto che lo hai installato, usa killbox.

Cmq sarebbe molto utile sapere il nome del virus, se riesci a individuare il "bastardo" invialo a http://www.virustotal.com/ per vedere se dà qualche indicazione ulteriore.

Un ultima cosa HijackThis sarebbe meglio metterlo in una cartella non temporanea con radice C: (C:\hijackthis\HijackThis.exe)

[Nick0602]

beh...se devi eliminarlo e nn te lo fa eliminare apri il dos e scrivi del seguito dal percorso del file....prima di fare INVIO fai taskmanager e termine explorer.exe e iexplorer.exe
dopo aver finito apri da cmd explorer.exe digitandolo.
ciao!

[maforast]

Quote:

Originariamente inviato da Nick0602

beh...se devi eliminarlo e nn te lo fa eliminare apri il dos e scrivi del seguito dal percorso del file....prima di fare INVIO fai taskmanager e termine explorer.exe e iexplorer.exe
dopo aver finito apri da cmd explorer.exe digitandolo.
ciao!

Ho provato a fare come hai detto tu ma a quanto pare il file è furbo inqaunto da dos mi dice impossibile trovare il file ... questo succede perkè il file è nascosto ho provato a renderlo visibile sia con attrib +a da dos che da windows ma in entrambi i casi mi dice accesso negato quindi impossibile da cancellare anke da dos...

Per manganese : killbox l'ho provato già sia in modalità provvisoria che normale ma non riesce a cancellarlo.

[Nick0602]

Quote:

Originariamente inviato da maforast

Ho provato a fare come hai detto tu ma a quanto pare il file è furbo inqaunto da dos mi dice impossibile trovare il file ... questo succede perkè il file è nascosto ho provato a renderlo visibile sia con attrib +a da dos che da windows ma in entrambi i casi mi dice accesso negato quindi impossibile da cancellare anke da dos...

Per manganese : killbox l'ho provato già sia in modalità provvisoria che normale ma non riesce a cancellarlo.

azzz...e quello intanto ogni volta cambia nome??

[maforast]

Quote:

Originariamente inviato da Nick0602

azzz...e quello intanto ogni volta cambia nome??

yess strano vero? o meglio infame!!!!

Per manganese ho provato anke con il sito ke mi hai dato tutti gli antivirus dicono ke il file non è un virus... evidentemente perchè cambia nome di continuo... dovrei prendere il padre ma non riesco proprio a scovarlo nemmeno tra i processi... inoltre il file che avevo eliminato poru1.exe ogni tanto ricompare nella coartella temp di windows e devo eliminaro uno dei due deve essere il padre...

[manganese]

Purtroppo iin questi casi se non si toglie l'istanza (penso si chiami così ) che tiene bloccato il file non cè nulla da fare.
process explorer qualche aiuto può darlo, ma bisogna saperlo usare...

L'alternativa è la scansione con HD passivo, oltre a quella già indicata da naso si può usare una live cd con antivirus aggiornato.

Cmq se si riuscisse almeno a sapere il nome del virus...qualche indicazione in più ci sarebbe!

[manganese]

Prova a spedire il poru1.exe a erase come ti aveva chiesto

[maforast]

Quote:

Originariamente inviato da manganese

Prova a spedire il poru1.exe a erase come ti aveva chiesto

Scusa a-sqaured mi ha dato come maleware molti file sotto la directory di msnplus li devo cancellare?