[win XP] int2com.exe - hvnrtld.exe - insDr.exe

[Arcano2210]

Salve a tutti.
Da un po' di giorni il mio PC è impazzito.
Vengono aperti in sequenza processi cmd.exe fino ad arrivare a 20 anche 30 processi cmd.exe contemporaneamente.
Inoltre windows da in continuazione avvisi del tipo "file ha smesso di funzionare" (non specificando il file), in altri casi vengono citati i file cmd.exe / slp.exe / hvnrtld.exe / ftp.exe
Nelle mie partizioni secondarie viene creata una cartella "hvnrt_pass" che sparisce dopo pochi secondi dall'apertura del disco da risorse del computer.
Se tolgo un qualsiasi disco (a cd inutilizzato e fermo, anche con un cd vergine inserito) si presenta il messaggio d'errore "impossibile leggere dall'unità".
Stasera è apparso anche un altro messaggio: "C:/Windows/Installer/24ha12/inet/intupdate/inteupdate.exe non è un applicazione win32 valida."

Penso di avere un bel casino, ho fatto una scansione profonda con NOD32 aggiornato ma non risultano virus.
A questo punto ho installato kaspesky e dalla scansione sono venuti fuori 2 file riconosciuti come Trojan Dropper e Trojan Bat Agent. I file infetti sono int2com.exe - hvnrtld.exe - insDr.exe e dopo averli eliminati di conseguenza la cartella "hvnrt_pass" nella directory principale delle mie partizioni è sparita. Al riavvio del PC il problema si ripresenta.

Ho pensato che fosse un Virus Beagle ed ho proceduto alla rimozione come da guida, ma senza risultati.
Vi allego tutti i log che ho eseguito.

Link per scaricare.

[murack83pa]

1- il ripristino configurazione sistema lo devi disattivare

2- riavvia il pc e fai le seguenti operazioni di pulizia:
Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui


3-rifai una nuova scansione completa di tutto il sistema con kaspersky e metti tutto ciò che rileva in quarantena, posta il log della scansione

4-segui la guida alla disinfezione, esegui tutti i programmi indicati, e poi a fine scansione posta tutti i log

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

[Arcano2210]

grazie mille per la risposta, vi farò sapere al più presto!

[faangile]

seguo interessatissimo....perchè anche io ho lo stesso problema....e cmq non riesco a fare tutti i passaggi descritti da "murack83pa"
spero si trovi un metodo piu veloce...ciao a tutti

[xcdegasp]

Quote:

Originariamente inviato da faangile

seguo interessatissimo....perchè anche io ho lo stesso problema....e cmq non riesco a fare tutti i passaggi descritti da "murack83pa"
spero si trovi un metodo piu veloce...ciao a tutti

le procedure di disinfezione per noi non potranno essere mai veloci visto che non abbiamo il tuo pc sotto mano dobbiamo capire prima che quale situazione si trova il tuo sistema e poi procedere con le indicazioni che devi seguire.
ovviamente il grosso del lavoro lo facciamo noi senza nessun tipo di renumerazione o di incentivo ma siamo sempre molto lieti a consigliarti di portarlo al centro d'assistenza specializzato più vicino a casa tua dove tu dovvrai solo portare il tuo pc e ritirarlo

se descrivi che errori riscontri nell'eseguire quei programmi ti possiamo aiutare altrimenti ai centro d'assistenza o un amico bravo o un format come possibili alternative...

[celebra]

ciao! ho anch'io lo stesso problema... ho provato a fare come descritto ma:
-quando svuoto la cartella prefetch, subito dopo mi si ricreano i file che mi danno problemi cmd, slp, fhu, hvnrtud (.exe)
-ho eseguito e riparato tutte le cose con ccleaner
-la scansione l'ho effettuata con avira e non ha rilevato nulla
-aprendo taskmanager, nei processi continuo ad avere una ventina di cmd.exe e uno slp.exe

Che fare?

Grazie, ciao

[Chill-Out]

Segui la guida indicata al post 2 http://www.hwupgrade.it/forum/showpo...50&postcount=2 (tutta) ed allega i log, ciao

[Julie]

Buondì,
credo di avere un problema simile a quello di Arcano.
Anche a me è apparso il messaggio "C:/Windows/Installer/24ha12/inet/intupdate/inteupdate.exe non è un applicazione win32 valida."

ho eseguito le prime 3 istruzioni di murack83pa e ho eliminato manualmente alcuni autorun.inf che mi ricreavano di continuo il problema.
adesso la situazione si è quietata..

Vi posto il log della scansione di kaspersky e intanto procedo alla disinfezione secondo la guida.
http://www.fileup.itadib.com/downloa...C2v4Tds1n3mwDl

[Chill-Out]

Quote:

Originariamente inviato da Julie

Buondì,
credo di avere un problema simile a quello di Arcano.
Anche a me è apparso il messaggio "C:/Windows/Installer/24ha12/inet/intupdate/inteupdate.exe non è un applicazione win32 valida."

ho eseguito le prime 3 istruzioni di murack83pa e ho eliminato manualmente alcuni autorun.inf che mi ricreavano di continuo il problema.
adesso la situazione si è quietata..

Vi posto il log della scansione di kaspersky e intanto procedo alla disinfezione secondo la guida.
http://www.fileup.itadib.com/downloa...C2v4Tds1n3mwDl

Anche per te è opportuno seguire la Guida indicata al post #2 http://www.hwupgrade.it/forum/showpo...50&postcount=2
attendiamo i log, ciao.

[faangile]

alla fine io ho risolto tornando indietro di un apio di giorni da "Ripristino Configurazione di Sistema".....per fortuna non ho dovuto portare il pc ne da un tecnico ne ho dovuto reistallare windows....grazie cmq a tutti....sempre gentilissimi

[Julie]

ecco i miei log:
kaspersky http://www.fileup.itadib.com/downloa...6IHvBgNgUvmuIF
ESET ADS Revealer http://www.fileup.itadib.com/downloa...hzdFbHkOo0CKjR
A-Squared Free v3.x
http://www.fileup.itadib.com/downloa...aUPdH88SKwaMsS
Prevx CSI
http://www.fileup.itadib.com/downloa...Xu3jvIMtQEaeca

poi ho eseguito anche alcuni scan online tra cui questi:
http://www.fileup.itadib.com/downloa...l2RjzlaQNOSj3y
http://www.fileup.itadib.com/downloa...O9PGADAxIGAzGY
http://www.fileup.itadib.com/downloa...c8x1yjS3GyshTt

hijackthis
http://www.fileup.itadib.com/downloa...zcY5yuo3GmFnzd

gmer
http://www.fileup.itadib.com/downloa...FQ2Htt8colVaHo

Non sono riuscita a togliere il virus che mi ha rilevato Prevx CSI e all'avvio si apre sempre la cartella documenti in modalità esplora.

che mi dite? grazie fin d'ora per l'attenzione

[celebra]

eccomi!
ho seguito tutti i passaggi, fatto gli scan con i vari programmi indicati... e questi sono i log

gmer http://www.fileup.itadib.com/downloa...C3rftUVkw6Txtr

prevx http://www.fileup.itadib.com/downloa...zke23uDsAMnUXE

hjthis http://www.fileup.itadib.com/downloa...wkZFHfsRTXNXyL

grazie in anticipo, io ancora non ho ben capito cos'ho (a parte il malware che mi trova prevx ma di cui il percorso non mi porta da nessuna parte e non so come levarlo )

ciao ciao

[xcdegasp]

Quote:

Originariamente inviato da Julie

ecco i miei log:
kaspersky http://www.fileup.itadib.com/downloa...6IHvBgNgUvmuIF
ESET ADS Revealer http://www.fileup.itadib.com/downloa...hzdFbHkOo0CKjR
A-Squared Free v3.x
http://www.fileup.itadib.com/downloa...aUPdH88SKwaMsS
Prevx CSI
http://www.fileup.itadib.com/downloa...Xu3jvIMtQEaeca

poi ho eseguito anche alcuni scan online tra cui questi:
http://www.fileup.itadib.com/downloa...l2RjzlaQNOSj3y
http://www.fileup.itadib.com/downloa...O9PGADAxIGAzGY
http://www.fileup.itadib.com/downloa...c8x1yjS3GyshTt

hijackthis
http://www.fileup.itadib.com/downloa...zcY5yuo3GmFnzd

gmer
http://www.fileup.itadib.com/downloa...FQ2Htt8colVaHo

Non sono riuscita a togliere il virus che mi ha rilevato Prevx CSI e all'avvio si apre sempre la cartella documenti in modalità esplora.

che mi dite? grazie fin d'ora per l'attenzione

Disinstalla Download Accelerator Plus e installati "Down Them All" che è sempre un downloader-manager ma è opensource e svincolato da spyware..

Prevx CSI:

Codice:

C:\Documents and Settings\Bianca\Desktop\msicuu2.exe	InMem: 0	Det [u]	MD5: D5F4AB6063B3B3795B1C0F0CF30C7DFB	PX5: 98026679E847203F7CE805852CC35B00FB28A1E8


C:\Documents and Settings\Bianca\Desktop\setupita.exe	InMem: 0	Det [UP]	PX5: EAA47E6998DA0D8AC0512C7C42E28201EBC804AE


C:\WINDOWS\system32\fsmgmt.dll	InMem: 0	Det [b]	MD5: 8ABF371BFD85E7F571057197D5B19221	PX5: 5E02F275A57BCC57159D0069F070EB0025877BD8	Malware Group: Generic.Malware
	REGWINLOG - \REGISTRY\Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fsmgmt - DllName [fsmgmt.dll]

bit-Defender ha trovato:

Codice:

D:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Infected with: Generic.Botget.0D1B4EFF
D:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Deleted

F:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Infected with: Generic.Botget.0D1B4EFF
F:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Deleted

H:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Infected with: Generic.Botget.0D1B4EFF
H:\restore{C0AB7B96-992E-482C-93CB-F39B1876CAA1}\hvNrt_ins\24ha12\inet\int2com.TXT
Deleted
e altra robetta che è meglio se non riporto :p

Ewido:

Codice:

Name: Trojan.Hack.Vg
Path: C:\Programmi\ESET\nod32fix.reg
Risk: High

esiste un eccellente antivirus che è rilasciato pure in versione Free cosa vi costa installare direttamente quello anzicchè cercarvi i problemi?
Avira Antivir Classic è quanto di meglio si possa avere o al limite anche la versione a pagamento (20€ annui) chesarebbe Avira Antivir PremiumEdition.

Io avrei usato come motore dis cansione quello di kaspersky, se puoi e se hai voglia fammi una scansioen anche con quello


Rifai la scansione con HiJackthis scegliendo la funzione "Scan Only", a fine scansione il tasto in basso a sinistra si chiamerà "Fix This", quindi seleziona le voci desiderate e premi quel tasto
le voci da "fixare" sono:

Quote:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Last.fm Helper.lnk = C:\Programmi\Last.fm\LastFMHelper.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.co.uk/scan_uk/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1187602299840
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll

ci sono anche altre voci strane, hai un mix di programmi acer, toshiba e dell ma che notebook usi?

[xcdegasp]

Quote:

Originariamente inviato da celebra

eccomi!
ho seguito tutti i passaggi, fatto gli scan con i vari programmi indicati... e questi sono i log

gmer http://www.fileup.itadib.com/downloa...C3rftUVkw6Txtr

prevx http://www.fileup.itadib.com/downloa...zke23uDsAMnUXE

hjthis http://www.fileup.itadib.com/downloa...wkZFHfsRTXNXyL

grazie in anticipo, io ancora non ho ben capito cos'ho (a parte il malware che mi trova prevx ma di cui il percorso non mi porta da nessuna parte e non so come levarlo )

ciao ciao

Ti manca il log di a-squared e di uno scanner-online tipo kaspersky o bit-defender

[Julie]

grazie xcdegasp

cmq ho fatto lo scan anche con kaspersky, è il primo log che ho inserito nel messaggio!

a proposito di bit defender, cosa intendi con "e altra robetta che è meglio se non riporto " ?

ho un hp compaq nw8000.

procedo col fixaggio se nn hai altro da dirmi!

[xcdegasp]

@ Julie:
meglio quello online per il kav, non vorrei che tu avessi infettato anche quel antivirus in cerca di come dire un tempo più lungo di valutazione del prodotto

in sostituzione a winzip, che non ti serve visto che è integrato in winXP (avrebbe avuto senso un winrar), potresti installarti Zipgenius che è free o 7zip anch'esso free.
per ulteriori programmi free (free nel senso reale) puoi fare riferimento alla discussione:
http://www.hwupgrade.it/forum/showthread.php?t=668898

dove appunto puoi prendere FoxitReader e cestinare quell'aborto di AcrobatReader

procedi con il fixaggio e sappimi dire se si ricreano quelle voci al riavvio del pc

[Julie]

ok .
del KAV cmq ho la versione di prova ,) quindi non è certamente infettata

non capisco cosa dici a proposito di winzip, dato che ho winrar .

grazie, sei gentilissimo ad aiutarci così

[xcdegasp]

ok è vero era winrar quello di cui avevi scaricato il crack e non winxip ad ogni modo il discorso di usare programmi free (che non fanno rimpiangere nulla) rimane valido

visto che sei in prova con il kav a maggior ragione usa Avira Antivir Classic che tra le altre cose è ai vertici come efficacia e in ogni caso tra 20€ e i 45€ di licenza c'è una bella differenza

[Julie]

sono daccordissimo con te per quanto riguarda i programmi free. il problema è che spesso non ho davvero il tempo per tenermi aggiornata..
Ho tolto il DAP e ho messo quel plugin per firefox, tanto per cominciare. ( grazie per la dritta!)

l'unica voce rimasta è O4 - Startup: Last.fm Helper.lnk = C:\Programmi\Last.fm\LastFMHelper.exe

Ho il kav in prova perché volevo qualcosa di diverso dal nod, che non mi aveva rilevato i problemi stavolta.
però pensavo di ritornare al nod una volta risolto tutto! perché ho bisogno di un antivirus leggero. Cmq ora mi informo su Avira

[xcdegasp]

Quote:

Originariamente inviato da Julie

sono daccordissimo con te per quanto riguarda i programmi free. il problema è che spesso non ho davvero il tempo per tenermi aggiornata..
Ho tolto il DAP e ho messo quel plugin per firefox, tanto per cominciare. ( grazie per la dritta!)

l'unica voce rimasta è O4 - Startup: Last.fm Helper.lnk = C:\Programmi\Last.fm\LastFMHelper.exe

Ho il kav in prova perché volevo qualcosa di diverso dal nod, che non mi aveva rilevato i problemi stavolta.
però pensavo di ritornare al nod una volta risolto tutto! perché ho bisogno di un antivirus leggero. Cmq ora mi informo su Avira

a maggior ragione Avira che è leggero quanto il nod32 ma ha sia l'euristica migliore in assoluto sia aggiornamenti frequenti..


ad ogni modo:
ti ha eliminato anche "O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll" ma non quel exe ?

allora passiamo alle maniere forti:
scarica avenger -> http://swandog46.geekstogo.com/avenger.zip
scompattalo in una cartella che sia per lui esclusiva così ti tiene il backup

poi eseguigolo e ti chiede di dargli uno script, lo script è il seguente:

Codice:

File to delete:
C:\Programmi\Last.fm\LastFMHelper.exe