informazione virus

[edson_arantes]

Salve sn nuovo qui vorrei un informazione.
Ho un problema,credo di avere un virus ma nn so quale sia!In breve vi dico solo che nn riesco ad aprire il task manager e il command ms-dos!
Qualcuno sa dirmi quale tipo di virus provoca una cosa simile?Ho usato Antivir ma nn mi ha risolto il problema..
Sapete aiutarmi?
grazie

daniele

[Teliqalipukt]

Quote:

Originariamente inviato da edson_arantes

Salve sn nuovo qui vorrei un informazione.
Ho un problema,credo di avere un virus ma nn so quale sia!In breve vi dico solo che nn riesco ad aprire il task manager e il command ms-dos!
Qualcuno sa dirmi quale tipo di virus provoca una cosa simile?Ho usato Antivir ma nn mi ha risolto il problema..
Sapete aiutarmi?
grazie

daniele

Potrebbe essere un virus, così come windows che ha tirato le cuoia Nel dubbio fai una scansione con ewido e con bitdefender.

[edson_arantes]

forse mi sono spiegato male..come vado ad aprire il task manager o il prompt dei comandi ms-dos si chiudono automaticamente.Cioè si aprono ma si chiudono autonomamente dopo un nanosecondo!!
Non credo sia un errore di windows.

[Stev-O]

riavvia in modalità provvisoria e fai una scansione con ewido www.ewido.net e bitdefenderfree www.bitdefender.com

[edson_arantes]

ho effettuato la scansione con bitdefender e mi ha trovato questi tre virus:

-Trojan.Downloader.Adload.K
-Trojan.Downloader.ConHook.O
-Adware.Winad.I

Li ha identificati ma nn li ha cancellati.Qualche consiglio?

[Stev-O]

ma sei sicuro di aver scaricato bitdefender free??
perchè il free dovrebbe consentire anche la rimozione

[m0rph3us]

ma hai fatto la scansione in provvisoria disabilitando prima il ripristino?
cmq a volte gli av installati non sono di aiuto in caso si infezione perche il virus li puo disattivare.
prova con bit defender in modalita provv e se non ci riesci scaricati sysclean piu il pattern con le definizioni aggiornate(non necessitano di installazione).
mettili nella stessa cartella estrai il pattern e lancia sysclean.com
qui ce una guida.
cmq io inizierei con un logo di ht.

[Calde]

salve, nn so se sono nel posto giusto...
da qualche giorno quando avvio il PC mi compare un file strano..il nome e' di poche lettere e cambia sempre ma sempre co estensione .exe (attualmente e' IL.exe) e la scritta di colore verde...ho usato antivir, adaware e spybot ma riskontrano altri problemi che elimino ma questo proprio no e se cerco di cancellare il file una finestra mi dice che l'accesso e' negato perche' il file puo' essere protetto da scrittura o in uso...che faccio? cosa puo' essere?
La stessa finestra mi compare quando cerco di cancellare una cartella vuota: nn riesco neanche se uso un altro HD con wind xp e vedo questo HD con la cartella strana per cancellarla....suggerimenti?
Thanks!!!!!

[m0rph3us]

il file credo un virus non riesci a cancellarlo perche e attivo.
disattiva ripristino vai in provvisoria e riprova una scansione.
magari posta pure un logo di ht.


credo che la cartella strana sia un altra storia.
magari e di sistema e anche se riesci a eliminarla sganciandola dai processi che la tengono quando poi riavvii ti si ricrea.(testato con la cartella di wmp che era vuota perche lo avevo disinstallato).
cmq per ora preoccupati della prima parte.

[Calde]

Grazie ma ho provato senza successo...ho tolto il ripistino ma in provvisoria n funziona antivir, adesso in normale provo a togliere il file ma niente, se sposto il file ne crea un altro (sempre in C.\programmi) ora i files in effetti sono 2 (sempre con scritta verde) provo con antivir ma mi dice solo warnings 4 ma virus 0 (dice che non riesce ad aprirli...)..Ho allegato una foto..spero si riesca a vedere....
la cartella e' strana perche' la posso rinominare ma continua a nn cancellarla (nn ke nn riesca a cancellarla e poi si ricrea...mi dice che non la posso propiro cancellare), dice che non ho il permesso dell'amministraatore..forse questa e' come la tua che dicevi ma come fare x toglierla?

Please..fammi sapere...

[0sc0rpi0n0]

Quote:

Originariamente inviato da Calde

Grazie ma ho provato senza successo...ho tolto il ripistino ma in provvisoria n funziona antivir, adesso in normale provo a togliere il file ma niente, se sposto il file ne crea un altro (sempre in C.\programmi) ora i files in effetti sono 2 (sempre con scritta verde) provo con antivir ma mi dice solo warnings 4 ma virus 0 (dice che non riesce ad aprirli...)..Ho allegato una foto..spero si riesca a vedere....
la cartella e' strana perche' la posso rinominare ma continua a nn cancellarla (nn ke nn riesca a cancellarla e poi si ricrea...mi dice che non la posso propiro cancellare), dice che non ho il permesso dell'amministraatore..forse questa e' come la tua che dicevi ma come fare x toglierla?

Please..fammi sapere...

Io se fossi in te per eliminare questa cartella proverei con "Unloker" .
Si tratta di un programmino free che ha la funzione di deletare cartelle o file con cui le normali procedure falliscono .
A me certe volte ha risolto problemi simili al tuo , ti posto il link da cui lo puoi scaricare e buona fortuna .

Link : http://ccollomb.free.fr/unlocker/

[m0rph3us]

si be anche io alla fine cero riuscito con un programma tipo unlocker.
cmq se posti un logo di hijacthis capiamo qual'e il problema.

[Calde]

Ecco cosa mi dice il log
Logfile of HijackThis v1.99.1
Scan saved at 14.26.56, on 23/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Documents and Settings\Caldegorn\Desktop\HijackThis.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tin.virgilio.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.downloadaccelerator.com/F...D=A&EDB=&ASU=B
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Programmi\Unlocker\UnlockerAssistant.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3D9E84B-AFE6-49D0-B28A-8A9BF59F7B2C}: NameServer = 151.99.125.2,151.99.250.2
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



che faccio???? e per i privilegi di debug visto che unlocker mi dice che non posso cancellare tali files??????

[Stev-O]

elimina questi:
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz

quali files vuoi eliminare?
prova con killbox

[m0rph3us]

allora e un po complessa la cosa e prima di fare quello che ti dico sentiamo anche qualcun altro.

scarica kill sgrunt

poi ti serve uno script per riparare la trusted zone (tasto destro > salva oggetto come)

regsekeer

ccleaner e installalo

ewido e installalo


fatto questo disattiva ripristino e vai in provv.

lancia kill sgrunt

esegui lo script per riparare la Trusted Zone--->click con il tasto destro sul file .inf e seleziona Installa


poi lancia ht e fixa queste:

O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3D9E84B-AFE6-49D0-B28A-8A9BF59F7B2C}: NameServer = 151.99.125.2,151.99.250.2

lancia ewido
regseeker
ccleaner
dal pannello di controllo, seleziona JAVA e svuota la cache (seleziona...elimina file).
a questo punto rientra e fai un nuovo logo di ht.

per me potrebbe bastare cosi ma sentiamo prima qualche altro parere.

edit:
emm abbiamo scritto insieme.

[Stev-O]

ho appena fatto un riassunto degli worms più "affezionati" al forum sul thread di hijackthis

http://www.hwupgrade.it/forum/showpo...postcount=2122

i dns non sono di alice?

[m0rph3us]

be non lo so forse si.
io nel dubbio li elimino sempre tanto se sono regolari il provider li riassegna automaticamente.

[Calde]

Ciao Morph...ho fatto come dicevi ma killsgrunt si blocca e mi dice: runtime error 9 subscript out of range, mentre regseeker trova sempre delle chiavi per i 2 files...anche se elimino le chiavi e rifaccio la scansione le trova ancora...
morale la cartella (DAP/history/administrator) c'e' ancora e se la canc mi dice accesso negato xche' e' in uso..e i 2 files lo stesso...ma x avere i privilegi di debug? forseunlocker cancella tutto ma se nn ho i privilegi...

qllego il log
Logfile of HijackThis v1.99.1
Scan saved at 21.45.43, on 23/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Pulizia\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tin.virgilio.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.downloadaccelerator.com/F...D=A&EDB=&ASU=B
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] C:\Programmi\Unlocker\UnlockerAssistant.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3D9E84B-AFE6-49D0-B28A-8A9BF59F7B2C}: NameServer = 151.99.125.2,151.99.250.2
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

HELP!!!!!!!!!

[m0rph3us]

al momento il logo e pulito.
se non ne hai uno dovresti mettere un firewall.
poi fai una scansione online con kaspersky e posta il risultato.
riguardo all'errore di kill sgrunt non so che dire magari aspettiamo puo essere che qualcuno lo sappia.
per quanto riguarda la cartella scarica WhoLockMe cosi vediamo quale processo sta usando quella cartella.

[Calde]

ho scaricato il prog, l'ho installato e nel menu' contestuale mi compare la voce..clicco su qualunque file ma nn mi parte niente....forse perche' e' la beta?