winampa.exe, svchost.exe, sysconfig.exe e altri amici...

[Momo5]

Come gran parte degli utenti fastweb vengo fuori da un periodo duro che riguarda virus&co. Sono stato oggetto di attachi da diversi virus (uno su tutti il Gaobot) che si diffondono via network..
Piano piano ho risolto i miei problemi (usando scansioni del NortonAV, ADaware, CWShredder, aggiornando win2000 e pulendo anche manualmente chiavi di registro..).
Ora non ho più forti rallentamenti del sistema (causati da misteriosi task come quelli da titolo) e non ho più la connessione che va a manetta anche in momenti di "pausa"... ma ancora non ho risolto tutto.

Ora ad ogni avvio del sistema noto nel task manager ancora dei .exe sospetti che però non compiono alcun lavoro (0% fisso di occupazione CPU). Il sistema si comporta normalmente tranne sporadici e velocissimi caricamenti e la connessione rimane "tranquilla"...
i task incriminati sono:

4 copie contemporanee di: winampa.exe (e io non ho manco winamp installato)

3 copie di: svchost.exe

Di questi eseguibili non riesco assolutamente a liberarmi!
Win2000 è aggiornato con TUTTE le patch di protezione.
Scansioni complete di norton non rilevano niente
Scansioni online (panda) idem
Scansioni con Adaware e CWShredder ->niente
Ho pulito le chiavio di registro (...windows/currentversion/run e runonce e runservice) ma i task incriminati riappaiono ad ogni avvio.
Temo che i virus che producono tali exe (agobot? o simili) siano ancora presenti nel sistema..

AIUUUUTO. Vi prego non ditemi che devo formattare perchè non possoooo..

[UB]

svchost.exe è un processo di windows l' altro non sò... dovrebbe essere winamp non mi viene in mente altro.... prova a lanciare msconfig e vedi cosa ti carica all' avvio

[UB]

....prova a dare un' occhiata qui

[Momo5]

Quote:

Originariamente inviato da UB
....prova a dare un' occhiata qui

avevo già dato un occhiata grazie...

[Momo5]

Quote:

Originariamente inviato da UB
svchost.exe è un processo di windows l' altro non sò... dovrebbe essere winamp non mi viene in mente altro.... prova a lanciare msconfig e vedi cosa ti carica all' avvio

winampa.exe sarebbe l'agent di winamp ma 1)non ho winamp installato e 2)non dovrebbe trovarsi in C:/winnt/system32

svchost.exe è un processo di win ma io caricato (nel taskmanager) ne ho TRE COPIE...


Da un ulteriore mio esperimento di scan online pare si tratti del W32/gaobot.nj.worm ma non si riesce a disinfettare... cosa posso fare???? non so ancora se si tratti SOLO di questo.

Grazie a presto!

[UB]

svchost.exe si carica + volte a seconda dei servizi che gestisce, quello non è un problema.

per il worm prova a fare un giro sul sito della simantec, dovresti trovare un tool per la rimozione

[Momo5]

ero così contento quando oggi con uno scanning online e in modalità provvisoria ero riuscito a individuare e RIMUOVERE il maledetto virus (gaobot.nj) dal sistema. winampa.exe risultava essere proprio il file virulento...

Purtroppo dopo qualche riavvio e qualche ora di utilizzo... TRACK.. ecco ritornare il file winampa.exe e con lui i mini caricamenti del sistema.
Mi viene da pensare che essendo io sempre connesso (via network con fastweb) mi sia di nuovo arrivato il worm e per l'ennesima volta il NortonAV non sia riuscito a bloccarlo.

Ma come è possibile? Perchè solo a me il norton non riesce a fermarlo? anche scansendo il file winampa.exe non viene rilevato nulla (quando è proprio lui il nido del virus).
E' possibile che dalla prima infezione il norton sia stato manomesso in modo da non riuscire più a vederlo??

Altra cosa: perchè nel motore di ricerca virus della symantec non trovo nulla inserendo winampa.exe o gaobot.nj?

chiedo umilmente ancora aiuto.




p.s. ho win2000 sp4 aggiornato con tutto
uso norton anti virus 2003 aggiornato
ho già tentato scansioni con programmi vari (vedi primo post)

[Momo5]

nel caso possa essere utile inserisco il log di hijack


Logfile of HijackThis v1.97.7
Scan saved at 21.53.28, on 19/04/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\System32\rmctrl.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Cardile\Impostazioni locali\Temp\HijackThis.exe
C:\WINNT\system32\winampa.exe
C:\WINNT\system32\winampa.exe
C:\WINNT\System32\winampa.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ThrustTSR] C:\Programmi\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [Winampa] winampa.exe
O4 - HKLM\..\RunServices: [Winampa] winampa.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://it.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://it.msn.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...889.0920486111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553566000} - http://active.macromedia.com/flash/cabs/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab

[UB]

non ho idea... cambia antivirus!! tanto norton fà cmq schifo, prova antivirPE o nod32

[Iceblink666]

Ti linko un mio topic di 1/2 settimane fa, tratta di un virus molto simile al tuo (probabilmente è lo stesso); in breve ho risolto installando il firewall Zone Alarm (per cancellare i files incriminati momentaneamente bisogna andare in modalità provvisoria, mentre per evitare che si ricreino (con anche relative stringhe nel registro) e il pc si rallenti di nuovo ho installato appunto il firewall).

Sembra comunque che l'intera rete Fastweb sia stata contagiata dal virus e crei anche problemi di lentezza/navigazione, probabilmente siamo stati contagiati da loro.

PS: Ho provato a disattivare il firewall 2 secondi e dopo un po' è comparso sto winampa.exe, ho dovuto riattivare il firewall e rifare la procedura precedente ':)

[Momo5]

effettivamente i nostri problemi sono simili (se non uguali)...
Oggi ho fatto l'ennesima scansione in modalità provvisoria rilevando e eliminando i file infetti (winampa.exe). Come ogni volta sono certo che ritorneranno.... è come se norton non riuscisse a bloccarlo (non sempre perlomeno).

Proverò a reinstallare il firewall (l'avevo tolto perchè con fastweb mi dava qualche problema...).

Certo che fastweb dovrebbe fornire un sistema di protezione antivirus a livello server a TUTTI gli utenti... invece si limita a mettere un avviso sulla homepage tipo "siamo invasi dai virus" e propone A PAGAMENTO un servizio di rilevamento Mcafee. BAH!