ERRORE script host

[champions]

Windows Script Host
script: c:\windows\wnhelp2.vbs
riga: 14
carattere: 1
errore: Errore non specificato


codice: 80004005
origine: (null)


questo è l'errore che è comparso circa 20 minuti fa...da allora internet va lentissimo

[dino_sauro00]

Ciao champions

Avrei bisogno di qualche informazione prima ossia Sistema operativo, sp se ci sono, se usi qualche firewall e qual'e', se usi un antivirus, qual'e' e se hai fatto qualche scansione? Usi programmi antispyware? Hai fatto qualche scansione?

La cosa piu' importante pero' e' questo vbs script. L'hai creato te? Se e' cosi' di cosa si tratta? L'hai passato da' un antivirus? Se vuoi zippalo e mandamelo a dino_sauro00ATyahoo.com (sostituisci AT con la @)

Ti saluto e aspetto novita
Ciao

[champions]

uso windows xp pro
uso avast antivirus ke nn ha individuato nessun file infetto
ho fatto la scansione antispyware
nn uso firewall
questo wnhelp2.vbs nn l'ho creato io...

[dino_sauro00]

Ti prego di mandarmi il file nell'indirizzo che ti ho indicato di sopra.

[champions]

ecco ti ho inviato il file..

[dino_sauro00]

Ciao champions

Chiedo scusa del ritardo ma voleva essere sicuro prima di postarti.

Prima di tutto mentre mi avevi detto che si trattava di un vbs si tratta invece di un exe. E' quello lo stesso file?

Da una prima analisi non risultava particolarmente sospetto (non c'era uso di nessun packer e le sezioni erano tutte normali).

Ne' il mio antivirus (NOD32) ne' nessuno dei 3 antispyware che uso l'ha rivelato come sospetto.

Per assicurarmici pero' ho deciso di vedere come stavano le cose in un debugger.
Ho esaminato per prima cosa le stringhe del programma e li' sono saltate fuori un bel po' di cose. Poi seguendo anche un po' il codice (purtroppo non ho avuto il tempo materiale per vedere tutto come si deve) sembra che questo trojan cerca di creare una connessione con dei siti che chiaramente non indico qui allo scopo di mostrare della pubblicitta'. Poi c'e' il suo sito primario (sito di origine tedesca a quanto pare, come tra l'altro lo stesso trojan) al quale cerca aggiornamenti e sembra che provi anche a mandare dei dati criptati. Infatti cerca in C: se trovi qualche file nominato data senza nessuna estensione

Il file in ogni caso l'ho mandato gia' ad un laboratorio e spero mi contatterano
per i risultati definitivi.
Intanto te scaricati un firewall. Ti consiglio come soluzione gratuita Sygate Personal firewall che trovi qui

Fatto questo installalo e riavvia. Poi vai qui
e scaricati hijackthis. Lancialo e scegli l'opzione che ti permette di scansionare e salvare un log.
Poi copia il log qui cosi' ti dico se ci sono ulteriori problemi.

Questo per adesso.
Ci sentiamo per le novita'
Ti saluto
Ciao

[champions]

azz allora era un trojan...cmq ieri sera l'ho tolto per sicurezza dall'avvio dei programmi all'accensione del pc.
cmq questo è il log creato con il programma hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 9.59.25, on 30/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programmi\Creative\PC-CAM Center\CAMTRAY.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Internet Explorer\iexplore.exe

fammi sapere e grazie dell'aiuto.

ps.
ma quel file(wnhelp2.exe) lo devo cancellare?

[dino_sauro00]

Ma il log di hijackthis sei sicuro che e' completo?
Dovresti avere anche altre cose (tipo cosi' R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.)

Devi postare proprio tutto quello che c'e' nel log.

Il file wnhelp2.exe direi che e' proprio il caso di cancellarlo.
Ma dove dici che l'hai tolto dall'avvio dei programmi, come ha fatto ad entrare nell'avvio? Ce l'hai messo te o l'hai trovato li?
E poi quale file e' entrato nell'avvio, wnhelp2.exe o wnhelp2.vbs?

Scusami le domande ma la situazione e un po' strana e vorrei capirci qualcosa in piu'

[champions]

quello è tutto il log.cmq ora ho provato di nuovo con HijackThis e la stringa di cui parlavi c'è,e la pagina iniziale è virgilio.
il messaggio di errore era quello nell'allegato.
ma in c:\windows\ c'è solo wnhelp2.exe e nn .vbs e me lo sono trovato anche nel task manager e in msnconfig e l'ho tolto.

[dino_sauro00]

Quote:

Originariamente inviato da champions

quello è tutto il log.cmq ora ho provato di nuovo con HijackThis e la stringa di cui parlavi c'è,e la pagina iniziale è virgilio.
il messaggio di errore era quello nell'allegato.
ma in c:\windows\ c'è solo wnhelp2.exe e nn .vbs e me lo sono trovato anche nel task manager e in msnconfig e l'ho tolto.

OK per hijackthis anche se mi sembra un log veramente strano nel senso che e' troppo piccolo. Comunque non c'e' niente che non va quindi direi che siamo apposto.
Hai fatto bene a toglierlo sia dal task mamager sia da msconfig. Comunque prova anche Startup Control Panel che trovi qui

Usando questo programma potrai controllare tutti i programmi e processi che partono all'avvio e potrai disabilitare quello che ti sembra inutile o dannoso. Se ti dovri in difficolta chiedi pure.

Riguardo al problema prinicipale suppongo sia sparito adesso vero?
La connessione Internet come va? Si e' ripristinata la velocita'?

[champions]

si ora va abb bene,grazie dell'aiuto!

[dino_sauro00]

Meno male.

Allora per adesso si rimane cosi' e' ma se ci dovesse essere qualche altro problema fammi sapere. Se poi mi contattano dal lab dove ho mandato il trojan, ti faro' sapere.

Ti saluto e a presto

Ciao champions!