Virus nascosto (no regedit no antivirus no adware)

[Orzobimbo]

Buongiorno,
ho questo problema.
Pur avendo Avast antivirus installato, il firewall di Xp sp2 ho fatto una "caxxata" installando un file che si e' rivelato non essere quello che doveva.
L'antivirus ha suonato ma non e' riuscito a deletare tutti i file e ho visto il programma virus installarsi su prompt di dos dei file.
Da quel momento se apro internet explorer ogni tot di tempi mi apre pagine porno o di altri siti.
Ho rifatto 20 volte la scansione con avast ma nulla, con adware , che rileva un po' di cose le elimina tutte tranne una dll su system 32
Ho provato a rimuoverla a mano ma mi dice che e' in uso.
Sui processi pero' non c'e' niente e neanche nel regedit ho trovato niente.
Ho provato a deletare il file in modalita' provvisoria ma e' sparito , il problema pero' e' rimasto.

Avete dei consigli in merito??
Grazie mille

[wizard1993]

ma posterei un log di hijackthis e farei una scan con gmer a vedere se trova neinte

[wearethechampions]

Quote:

Originariamente inviato da HIRO

Per la curiosita che cosa ti ha segnalato avast? comunque prova una scnsione on line con f secure ho meglio togli avast e installa la trial di f secure, non so se il modulo black light funziona on line

comunque basta scaricare il singolo blacklight, credo che si trovi in giro se non ricordo male

[Orzobimbo]

Grazie a tutti per le risposte !!!

Avast mi trovava un worm gli ho detto di cancellare tutto, lo ha rilevato 3 o 4 volte e poi non ha detto piu' nulla e anche facendo scan vari pare tutto a posto.
Io non trovo nulla di strano in esecuzione questo e' il log di hijackthis
non so dove sbattere la testa!


Logfile of HijackThis v1.99.1
Scan saved at 14.37.32, on 22/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Google Talk\googletalk.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MICROS~2\Office10\FRONTPG.EXE
C:\Programmi\SmartFTP Client 2.0\SmartFTP.exe
C:\Programmi\Teamspeak2_RC2\TeamSpeak.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laborsadeipiccoli.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TalkAndWrite] C:\Documents and Settings\All Users\Dati applicazioni\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programmi\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://83.103.103.128:5500/activex/AMC.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

[Orzobimbo]

anche black light non rileva nulla

[wizard1993]

disabilita il system restore

[Orzobimbo]

disabilito e rifaccio scan?

[wizard1993]

si; magari falla in modalità provvisoria

[Orzobimbo]

fatto tutto prima ma non cambia nulla

quando mi apre le pagine di explorer che vuole lui vedo che prima carica come un applicazione che sparisce immediatamente lasciando posto alla pagina web.

boh mai vista una roba cosi' sto impazzendo

[wizard1993]

fai una scan online con bitdefender e panda

[Orzobimbo]

fatto
il problema credo sia qui

" e' la fine del log di bitdefender"

C:\WINDOWS\system32\yayvsrs.dll Infected Trojan.Vundo.DLU
C:\WINDOWS\system32\yayvsrs.dll Disinfection failed
C:\WINDOWS\system32\yayvsrs.dll Move failed


non se ne va!!!!

[Orzobimbo]

GRANDE!!!
pare proprio che l'abbia eliminato! (ha trovato almeno 7-8 file li ha cancellati tutti, non riusciva a deletare solo quello gia' indicato ma mi ha fatto riavviare e lo ha deletato correttamente)
Spero di non cantar vittoria troppo in fretta ma e' da mezzora che non apre piu' niente di strano !!!

Grazie mille a tutti !!!

[Ederil]

Sembra stupido ma prova a rinominare hijackthis.exe in hjt.exe e a fare un'altra scansione. Le pagine ti si aprono ogni tot anche se non stai navigando o appena apri IE ti apre in parallelo una delle pagine di pubblicità?
Per caso i siti che ti si aprono sono winantivirus e amoena?

[Orzobimbo]

il virus non c'e' piu'
pero' faceva come hai descritto te.
Partiva solo quando aprivo IE e oltre ad altri siti porno spesso richiamava a winantivirus !!!

Quote:

Originariamente inviato da Orzobimbo

il virus non c'e' piu'
pero' faceva come hai descritto te.
Partiva solo quando aprivo IE e oltre ad altri siti porno spesso richiamava a winantivirus !!!

Accidenti, è capitato anche a un pc che ho riparato a un amico.
Ho dovuto formattarlo perchè - contemporaneamente - aveva beccato pure il rootkit bagle e altre schifezze.
Che diavolo di virus è quello che riporta a winantivirus?