l'antivirus rileva svchost.exe... come posso fare per eliminarlo?

[Files30]

ciao.. ogni tanto capita che il software antivirus "antivir",rileva un virus chiamato svchost.exe (nn so se l'ho scritto correttamente...).
dopo aver cliccato su elimina file tra le varie azioni offerte dall'antivirus, tutto sembra essere andato a buon fine.
però ogni tanto, questo virus riappare e antivir mi ripropone il messaggio d'errore.
talvolta, all'avvio di windows, ho anke un avviso di sistema che svchost.exe ha commesso un errore ecc ecc... quella finestrella che appare qnd qlc programma va in crash insomma...
cosa posso fare?di cosa si tratta?
ciao e grazie

[Files30]

mi da questo messaggio:
C:\WINDXP\SVCHOST.EXE

Contains a signature of the (dangerous) backdoor program BDS/Webdor.E

[ring]

E' un backdoor alquanto strano, non c'è che dire!
Le mie ricerche mi hanno portato QUI
Si tratta di una pagina in polacco (abbastanza intuibile).
Scarica il software (Ghostbuster) e vedi se ti elimina il backdoor.
A quanto pare, è l'unico attualmente in grado di debellarlo.

Ho quasi l'impressione che sia un virus nuovo... troppo! Visto che persino Symantec si ferma alla variante D!



Fammi sapere se risolvi!

Ciao

EDIT: Prova a dare un'occhiata anche QUI
Sembra che ci sia una qualche specie di correlazione con il tuo virus, secondo un forum polacco...

[Files30]

Quote:

Originariamente inviato da ring
E' un backdoor alquanto strano, non c'è che dire!
Le mie ricerche mi hanno portato QUI
Si tratta di una pagina in polacco (abbastanza intuibile).
Scarica il software (Ghostbuster) e vedi se ti elimina il backdoor.
A quanto pare, è l'unico attualmente in grado di debellarlo.

Ho quasi l'impressione che sia un virus nuovo... troppo! Visto che persino Symantec si ferma alla variante D!



Fammi sapere se risolvi!

Ciao

EDIT: Prova a dare un'occhiata anche QUI
Sembra che ci sia una qualche specie di correlazione con il tuo virus, secondo un forum polacco...

il mio pc esce su internet tramite un secondo pc connesso fisicamente all'adsl... su quest'ultimo pc c'è il firewall... trattandosi di una backdoor, posso star tranquillo con il firewall o no?

[eraser]

manda sto file a [email protected]

[Files30]

Quote:

Originariamente inviato da eraser
manda sto file a [email protected]

sarebbe?

[Files30]

adesso ne ha beccato un altro:
si chiama TR/DIdr.Guardian.A e antivir l'ha rilevato quando ho cliccato sulla barra di avvio veloce per avviare internet explorer...
vorrei specificare che nn scarico mai nulla da siti poco raccomandabili e che in 10 anni ke uso il pc, gli unici virus che ho beccato sono il sasser e il blaster... (xkè ero in vacanza e nn ho pot scaricare le patch in tempo)...
che sta succedendo??

[wgator]

Quote:

Originariamente inviato da Files30
adesso ne ha beccato un altro:
si chiama TR/DIdr.Guardian.A e antivir l'ha rilevato quando ho cliccato sulla barra di avvio veloce per avviare internet explorer...
vorrei specificare che nn scarico mai nulla da siti poco raccomandabili e che in 10 anni ke uso il pc, gli unici virus che ho beccato sono il sasser e il blaster... (xkè ero in vacanza e nn ho pot scaricare le patch in tempo)...
che sta succedendo??

Ciao,

per prima cosa controlla di avere un firewall attivo, se non ce l'hai inserisci ICF dalle proprietà avanzate della connessione che usi per internet, poi posta un log di
Hijackthis

[Files30]

Running processes:
C:\WINDXP\System32\smss.exe
C:\WINDXP\system32\winlogon.exe
C:\WINDXP\system32\services.exe
C:\WINDXP\system32\lsass.exe
C:\WINDXP\system32\svchost.exe
C:\WINDXP\System32\svchost.exe
C:\WINDXP\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDXP\System32\CTsvcCDA.exe
C:\WINDXP\System32\nvsvc32.exe
C:\WINDXP\System32\svchost.exe
C:\WINDXP\System32\MsPMSPSv.exe
C:\WINDXP\Explorer.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDXP\System32\CTHELPER.EXE
C:\Programmi\Microsoft Hardware\Mouse\point32.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\File comuni\Nokia\Services\ServiceLayer.exe
C:\WINDXP\lsass.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDXP\System32\mstsc.exe
C:\WINDXP\System32\mstsc.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Outlook Express\MSIMN.EXE
C:\DOCUME~2\SARA~1\IMPOST~1\Temp\Rar$EX00.246\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.porntwist.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sharempeg.com/find/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.porntwist.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sharempeg.com/find/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 198.65.164.171 ehttp.com
O1 - Hosts: 198.65.164.168 00hq.com
O1 - Hosts: 198.65.164.168 8ad.com
O1 - Hosts: 198.65.164.168 searchv.com
O1 - Hosts: 198.65.164.168 www.searchv.com
O1 - Hosts: 198.65.164.168 008k.com
O1 - Hosts: 198.65.164.168 www.008k.com
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programmi\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Internet Explorer Web Content Guard - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WINDXP\System32\IEGuard01.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDXP\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programmi\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Online Service] C:\WINDXP\svchost.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDXP\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDXP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Runner] C:\WINDXP\lsass.exe /i svchost
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Programmi\File comuni\GMT\GMT.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programmi\PrecisionTime\PrecisionTime.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .mp3: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe
O16 - DPF: {1B77D30A-81C9-497A-8647-142F75111111} - file://C:\install.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

[wgator]

Ciao,

ehm... quel log è un cimitero

- Controlla di aver attivato la visualizzazione di tutti i file e le cartelle nascoste comprese quelle di sistema
- Cancella tutti i file temporanei
- Cancella i temporanei di internet
- Disattiva il ripristino della configurazione di sistema

- con task manager termina questo processo: C:\WINDXP\lsass.exe
quindi cancella lsass.exe, se non si cancella prova da provvisoria

Fixxa tutte queste voci (qualcuna non è pericolosa ma rompe):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.porntwist.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sharempeg.com/find/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.porntwist.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sharempeg.com/find/
O1 - Hosts: 198.65.164.171 ehttp.com
O1 - Hosts: 198.65.164.168 00hq.com
O1 - Hosts: 198.65.164.168 8ad.com
O1 - Hosts: 198.65.164.168 searchv.com
O1 - Hosts: 198.65.164.168 www.searchv.com
O1 - Hosts: 198.65.164.168 008k.com
O1 - Hosts: 198.65.164.168 www.008k.com
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programmi\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: Internet Explorer Web Content Guard - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WINDXP\System32\IEGuard01.dll (file missing)
O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programmi\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [Online Service] C:\WINDXP\svchost.exe
O4 - HKLM\..\Run: [Runner] C:\WINDXP\lsass.exe /i svchost
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe
O16 - DPF: {1B77D30A-81C9-497A-8647-142F75111111} - file://C:\install.cab

Forse mi è sfuggito qualcosa, quando hai fatto riposta un nuovo log (dopo un paio di riavvii) così vediamo cos'è rimasto.

P:S. dato che il log è incasinato, sono gradite verifiche e consigli da parte di altri utenti

[wgator]

Ho dimenticato una cosa:

sarebbe utile controllare anche il file HOSTS (senza estensione), cercalo e aprilo col notepad e guarda se dentro c'è qualcosa del genere

127.0.0.1 www.symantec.com
127.0.0.1 www.mcafee.com
o qualsiasi riferimento a siti per la sicurezza...
nel caso va cancellato e ripristinato

Se metti un nuovo log di hijackthis, mettilo completo di intestazione, ci sono delle informazioni utili anche li
Intendo dire, anche con queste righe:

Logfile of HijackThis v1.98.2
Scan saved at 21.39.44, on 24/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Ciao

[wgator]

ancora io

guardate cosa c'è di bello in uno dei link che ci sono nel log di Files30:

Rapporto di Norton AntiVirus Quarantine
Creato il: martedì 24 agosto 2004 21.48.51
------------------------------------------------------------------------------

Nome file
Posizione
Stato Dimensioni Nome virus
Nome utente Nome computer Dominio
Data quarantena
Data invio

------------------------------------------------------------------------------

Installer.class

Backup di un file infetto 2.12 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.03
Non inviato

------------------------------------------------------------------------------

GetAccess.class

Backup di un file infetto 24.2 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

GetAccess.class

Backup di un file infetto 24.2 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

Dummy.class

Backup di un file infetto 236 bytes Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

classload.jar-76ba5970-2d3c653d.zip
C:\Documents and Settings\Wally\.jpi_cache\jar\1.0
Backup di un file infetto 28.3 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.00
Non inviato

------------------------------------------------------------------------------

Dummy.class

Backup di un file infetto 236 bytes Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

InsecureClassLoader.class

Backup di un file infetto 913 bytes Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

classload.jar-76ba5970-7134692e.zip
C:\Documents and Settings\Wally\.jpi_cache\jar\1.0
Backup di un file infetto 28.3 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.00
Non inviato

------------------------------------------------------------------------------

InsecureClassLoader.class

Backup di un file infetto 913 bytes Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

Installer.class

Backup di un file infetto 2.12 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.03
Non inviato

------------------------------------------------------------------------------

hehehehe!!!!

[Files30]

scusate se risp solo ora ma avevo l'adsl che nn andava (tanto x cambiare)

[Files30]

Quote:

Originariamente inviato da wgator
ancora io

guardate cosa c'è di bello in uno dei link che ci sono nel log di Files30:

Rapporto di Norton AntiVirus Quarantine
Creato il: martedì 24 agosto 2004 21.48.51
------------------------------------------------------------------------------

Nome file
Posizione
Stato Dimensioni Nome virus
Nome utente Nome computer Dominio
Data quarantena
Data invio

------------------------------------------------------------------------------

Installer.class

Backup di un file infetto 2.12 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.03
Non inviato

------------------------------------------------------------------------------

GetAccess.class

Backup di un file infetto 24.2 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

GetAccess.class

Backup di un file infetto 24.2 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

Dummy.class

Backup di un file infetto 236 bytes Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

classload.jar-76ba5970-2d3c653d.zip
C:\Documents and Settings\Wally\.jpi_cache\jar\1.0
Backup di un file infetto 28.3 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.00
Non inviato

------------------------------------------------------------------------------

Dummy.class

Backup di un file infetto 236 bytes Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

InsecureClassLoader.class

Backup di un file infetto 913 bytes Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

classload.jar-76ba5970-7134692e.zip
C:\Documents and Settings\Wally\.jpi_cache\jar\1.0
Backup di un file infetto 28.3 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.00
Non inviato

------------------------------------------------------------------------------

InsecureClassLoader.class

Backup di un file infetto 913 bytes Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.02
Non inviato

------------------------------------------------------------------------------

Installer.class

Backup di un file infetto 2.12 KB Trojan.ByteVerify
SYSTEM MOBILE2 WALLY
martedì 24 agosto 2004 21.45.03
Non inviato

------------------------------------------------------------------------------

hehehehe!!!!

è grave?!?!?!?

cmq io nn ho mai installato norton antivirus...
ho antivir

[wgator]

Quote:

Originariamente inviato da Files30
scusate se risp solo ora ma avevo l'adsl che nn andava (tanto x cambiare)

Ciao,
Sei riuscito a risolvere?