Grosso problema !

[akito2002]

C'è un virus nel computer... di questo sono quasi sicuro.
All'avvio di Win Xp si apre il windows media player e il pc tenta di connettersi cambiano però la mia user name aggiungendo aggiungendo un indirizzo ip del tipo: 26.105.422. Il Norton ha rilevato il korgo.s ma l'ho rimosso e anche il registro è stato ripulito. Tento di aggiornare il norton e non riesco con il liveUpdate, provo ad aprire il sito della Symantec e mi dice che è impossibile aprire la pagina. Provo anche con le pagine della trendmicro o dell'AVG ma niente, anche qui è impossibile aprire la pagina. HO provato col FixKorgo della symantec ma non rileva più il virus, che sembra quindi essere eliminato. AH peggio, ogni tanto tento di riconnettere ma mi da un erore, quindi devo rimuovere la connessione e reinstallare il modem Adsl e questo sembra l'unico modo per potermi riconnetere. CHe cavolo succede?

[MrOZ]

Apri il BloccoNote, seleziona il percorso c:\windows\system32\drivers\etc ed apri il file hosts (che non ha alcuna estensione).

Cancella tutte le voci che iniziano con O1 - Hosts: 127.0.0. ed hanno poi il nome di qualche sito e mantieni solo questa: O1 - Hosts: 127.0.0.0 localhost.

In questo modo riuscirai ad aprire le pag dei siti di antivirus.
Fai poi qualche scansione online.

[akito2002]

Questo è il file hosts, vedi qualcosa di strano?



# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

[MrOZ]

no, il file di host è normale.

il prob è un altro.

Scaricati hijackthis, fai uno scan, salva il log e copia-incollalo qui, qualcuno di noi ti aiuterà ad interpretarlo.

ciao.

[akito2002]

Ho provato col norton aggiornato e ha rilevato un paio di virus ma non importanti. Ho fatto la scansione on-line sul sito della trendmicro e ha rilevato undici file infetti di cui bdkr_berbew.I (che ho eliminato seguendo le istruzioni), e il korgo.W che sembra sia riuscito ad eliminare. Il problema è sempre lo stesso: avvio il pc, si avvia automaticamente il Windows media player e poi parte pure la finestra di cojnnessione ad internet ma al posto della mia ID ce ne è una composta per la prima parte col mio nome e poi con un indirizzo Ip tipo: mion26.105.442 e in più la password è molto più lunga.


Logfile of HijackThis v1.98.0
Scan saved at 0.52.04, on 06/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\SahAgent.exe
C:\Programmi\File comuni\CMEII\CMESys.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\csmss.exe
C:\WINDOWS\system32\explorer.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\File comuni\GMT\GMT.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Documents and Settings\Giuseppe\Desktop\Nuova cartella\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programmi\File comuni\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\svchost.exe 26
O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\System32\csmss.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c26 -w
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programmi\File comuni\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{810F1883-D050-4194-8139-F513E234BE4E}: NameServer = 62.211.69.150 212.48.4.15




PS ho risolto il problema delle pagine web degli antivirus, quello che mi dicevi di cancellare si trovava in fondo al documento e non l'avevo visto.

[MrOZ]

hai anche alcuni spyware.

scarica ed utilizza adaware6 e spybot 1.3 aggiornati.

[akito2002]

idee su questo virus... non riesco a toglierlo. Ho levato pure tutti le spie con adaware...

[akito2002]

qualche idea su questo virus?

[MrOZ]

disabilita il system restore, elimina tutti i file temporanei, posta un nuovo log di hijackthis dopo aver fatto una pulizia con adaware6 e spybot.

hai installato tutte le patch microsoft sulla sicurezza aggiornando il sist. operativo???

[akito2002]

Aggiorna Xp, ripulito con Adware e spybot aggiornati (ps trovati molti file cattivi...) il norton mi rileva spesso il Qhost, che elimina ogni volta (tra l'altro era il virus che impediva di aprire le pagine degli antivirus) ma il pc continua a scaricare anche senza che io faccia niente... E' un trojan ma non so come fare!

Logfile of HijackThis v1.98.0
Scan saved at 22.08.50, on 06/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\csmss.exe
C:\WINDOWS\system32\explorer.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Documents and Settings\Giuseppe\Desktop\Nuova cartella\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\System32\csmss.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c26 -w
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{810F1883-D050-4194-8139-F513E234BE4E}: NameServer = 62.211.69.150 212.48.4.15

[wgator]

Ciao,

dovresti trovare il modo (da modalità provvisoria) di eliminare questo eseguibile:
C:\WINDOWS\System32\csmss.exe
Fa parte del worm "dedler" vedi info: http://it.trendmicro-europe.com/ente...DLER.R&VSect=T

Dopodichè spunta questa voce e premi fix:
O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\System32\csmss.exe

Questa non sarà niente di importante, tuttavia la fisserei
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

Naturalmente prima cancella i temp, i temp di internet e disattiva il system restore

In bocca al lupo

Edit:

P.S. non hai l'ultima versione di hijackthis

[netquik]

e queste ?

O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c26 -w
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

[wgator]

Quote:

Originariamente inviato da netquik
e queste ?

O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c26 -w
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

hehehe.... perse per strada... sonno

La prossima volta mi aiuto conquesto così non mi sfuggono più particolari così importanti

[wgator]

azz...

è grave... mcc.exe sfugge anche a http://hijackthis.de/index.php


Name: Mojuo.w32
Type: Trojan
File Name: mcc.exe
Found: 06.23.2004
Packer: UPX based
Installation: Copies itself to "Windows\System32" and registers itself in autostartup key [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ CurrentVersion\ Run] "Multimedia Codecs" = “%system%\mcc.exe”
Size (bytes): 36864
Components: mcc.exe
Additional Information: Connects to ****://ww*.3uz.net/links/index.php/1089121197 to download and save a file to %temppath%/links.tmp, which contains parameters that are stored in [HKEY_CURRENT_USER\Software\Multimedia Codecs\06072004]: Delay, GoTypeN, LastIndex, Run, StartTime, Total, along with a few subkeys LinkN with the following parameters
****://ww*.deep-anal.us/?wm=443
****://ww*.teenygirlshome.com/?ref=414
****://ww*.pussypool.net/?siteid=334
****://ww*.18access.com/main.php?w=100103&m=1****://ww*.allpornclub.com/main.php?w=100103&m=1****://ww*.hentaidatabase.com/main.php?w=100103&m=1