AIUTO! UN NUOVO WORM ?

[Bronzin]

Ciao a tutti,ho un grosso grosso problema. Come un idiota x un periodo di tempo ho fatto a meno del firewall, per questo mi son preso questo simpatico worm che
ogni tot (possono essere 5 minuti, mezz'ora o un'ora), mi riavvia in automatico il computer. Ora, da quello che ho letto questo è quello che tipicamente fa il worm "sasser", il problema però è che innanzitutto la finestrella che mi appare con il countdown prima del riavvio è leggermente diversa. Vi è scritto: "Il sistema sta x essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche non salvate andranno perse. L'arresto è stato iniziato da NT AUTHORITY\SYSTEM

Tempo prima dell'arresto: xx:xx:xx

Il processo di sistema C:\WINDOWS\system32\services.exe è terminato in modo non previsto con codice di stato 203. Il sistema sarà chiuso e riavviato"

Ora la particolarità è proprio questo codice: 203! Ho guardato su internet e non ho trovato davvero NULLA. Se si mette su goggle l'ultima frase con questo codice non appare davvero nulla. Ho provato con AVG, Bitdefender, ma niente, sono come antivirus inutili. Ho provato con HiJackthis ma non vi è nulla di particolarmente sospetto secondo l'analisi del sito ufficiale. Ho provato anche con strumenti di rimozione del sasser worm ma nulla. Non so davvero cosa fare, vi chiedo di darmi una mano,
grazie mille.

[Zimmemme]

Entra in modalità provvisoria e vedi se ti ri resetta anche da li.

[Bronzin]

...e se non mi resetta? Non posso rimanere in eterno nella modalità provvisoria!

[Zimmemme]

Ovviamente no, ma se in modalità provvisoria non ti si resetta allora è un problema legato a qualche processo che parte in automatico, altrimenti... mi sa che ti si è sput***nato il Winzoz.

[groot]

Quote:

Originariamente inviato da Bronzin

Ciao a tutti,ho un grosso grosso problema. Come un idiota x un periodo di tempo ho fatto a meno del firewall, per questo mi son preso questo simpatico worm che
ogni tot (possono essere 5 minuti, mezz'ora o un'ora), mi riavvia in automatico il computer. Ora, da quello che ho letto questo è quello che tipicamente fa il worm "sasser", il problema però è che innanzitutto la finestrella che mi appare con il countdown prima del riavvio è leggermente diversa. Vi è scritto: "Il sistema sta x essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche non salvate andranno perse. L'arresto è stato iniziato da NT AUTHORITY\SYSTEM

Tempo prima dell'arresto: xx:xx:xx

Il processo di sistema C:\WINDOWS\system32\services.exe è terminato in modo non previsto con codice di stato 203. Il sistema sarà chiuso e riavviato"

Ora la particolarità è proprio questo codice: 203! Ho guardato su internet e non ho trovato davvero NULLA. Se si mette su goggle l'ultima frase con questo codice non appare davvero nulla. Ho provato con AVG, Bitdefender, ma niente, sono come antivirus inutili. Ho provato con HiJackthis ma non vi è nulla di particolarmente sospetto secondo l'analisi del sito ufficiale. Ho provato anche con strumenti di rimozione del sasser worm ma nulla. Non so davvero cosa fare, vi chiedo di darmi una mano,
grazie mille.

nuovo

Quando compare il restart
vai su -> start -> esegui e scrivi shutdown -a
dimmi cosa ottieni.

[groot]

Poi posta quello che è secondo te non è sospetto.

[Bronzin]

ok stasera vi faccio sapere...grazie mille davvero, avrei preferito risolvere da solo ma sinceramente mi sembra di non esserne in grado.
Grazie mille

[Bronzin]

Per adesso posto questo, poi ti faccio sapere cosa succede scrivendo "shutdown -a" in esegui. Grazie ancora x il tempo...

Logfile of HijackThis v1.99.1
Scan saved at 20.02.08, on 30/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Softwin\BitDefender8\bdmcon.exe
C:\Programmi\Softwin\BitDefender8\bdnagent.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Billionton\Bluetooth Software\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Utente\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programmi\KeyScrambler\keyscramblerIE.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programmi\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programmi\Billionton\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programmi\KeyScrambler\keyscramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programmi\KeyScrambler\keyscramblerIE.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Billionton\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Billionton\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Billionton\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[Bronzin]

AAAAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHh!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Funziona! In effetti scrivendo "shutdown -a" in esegui nel mentre era comparsa la malefica finestrella con il conto alla rovescia che mi avvisava dell'arresto, questa è sparita, ed il PC non mi si è spento... Grazie mille davvero questo è un passo avanti concreto! Ora però immagino che il problema reale, la presenza del worm, non sia stata eliminato, immagino che al prossimo riavvio il problema si ripresenterà. E' così? Come posso dunque fare per togliermelo definitivamente dai
...
P.s. ho guardato il tuo problema, mi piacerebbe darti una mano ma la vedo un po' dura, un po' tanto dura... grazie ancora

[Bronzin]

AAAAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHh!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Funziona! In effetti scrivendo "shutdown -a" in esegui nel mentre era comparsa la malefica finestrella con il conto alla rovescia che mi avvisava dell'arresto, questa è sparita, ed il PC non mi si è spento... Grazie mille davvero questo è un passo avanti concreto! Ora però immagino che il problema reale, la presenza del worm, non sia stata eliminato, immagino che al prossimo riavvio il problema si ripresenterà. E' così? Come posso dunque fare per togliermelo definitivamente dai ...
P.s. ho guardato il tuo problema, mi piacerebbe darti una mano ma la vedo un po' dura, un po' tanto dura... grazie ancora

[groot]

Quote:

Originariamente inviato da Bronzin

O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\system32\Suchspur.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

io rimuoverei questa roba, comunque io rimuoverei entrambi gli antivirus, di uno non se ne fa uno. prova KIS 6.

inoltre è necessario avere anche la lista dei servizi attivi.
sc query state= all > c:\services.txt [dimenticavo]

[Bronzin]

Che cosa sono i servizi attivi?

[Bronzin]

Non mi rimane che chiedervi di nuovo di darmi una mano...

[juninho85]

esegui questo tool

[Bronzin]

Quote:

Originariamente inviato da juninho85

esegui questo tool

Ci ho già provato ma non trova niente, sia in con la ricerca veloce che quella completa, sia in modalità normale che in modalità provvisoria di windows... Però nella modalità provvisoria in effetti non capita nulla, il pc non ha alcun problema. Non so, da quello che ho capito questo è in qualche maniera significativo

[groot]

Quote:

Originariamente inviato da Bronzin

Che cosa sono i servizi attivi?

vai su start e esegui inserisci questo:
sc query state= all > c:\services.txt

poi ci posti il fil txt

[Bronzin]

Quote:

Originariamente inviato da groot

vai su start e esegui inserisci questo:
sc query state= all > c:\services.txt

poi ci posti il fil txt

Azzz... mi dice che il comando è sbagliato, guarda qui !

[Bronzin]

Non è che qualcuno potrebbe sul serio darmi una mano? Non so davvero cosa fare...

[Bronzin]

Vi prego... (immaginate che in questo momento io vi stai guardando con occhi dolci elabbro inferiore di fuori...)

[wizard1993]

Quote:

Originariamente inviato da Bronzin

Vi prego... (immaginate che in questo momento io vi stai guardando con occhi dolci elabbro inferiore di fuori...)

sai usare bart pe builder?
se si fatti un cd di boot con l'antivirus di mcafee dentro e fai una passata con quello