Virus non individuabile :( Help.

[Yeglash]

Allora, premetto che il PC non è mio ma di un mio amico, quindi non so di preciso che siti frequenta e se ha impostato male il firewall.

In ogni caso il problema è questo:

Quando apre la connessione a Internet (la schermata che indica username, pass, e il tasto Componi) come sapete l'user è: [email protected], invece a lui gli appare esattamente:

username77.107.53897 e inoltre guardando su proprietà il numero di telefono è cambiato da 8,35 a 00881939110138.

Allora io a questo punto ho reimpostato la connessione normale con user e numero di telefono corretti e mi sono connesso. Apro IE e subito Sygate mi dice che IE sta tentando di connettersi a www7.logih.com (sito che ne io ne il mio amico conosciamo). Naturalmente gli dico di non connettersi. A questo punto riapro IE (e la schermata di tentativo di connessione al sito sopracitato non appare più) e mi collego al forum di hwupgrade, però appena mi apre la prima pagina del forum (che è anche la prima pagina in assoluto visualizzata da IE) mi appare un popup al sito: 194.237.110.186 e precisamente: http://540.scmg.net/randomsites/banner.aspx

Una volta chiuso questo tutto funziona normalmente, ma la cosa non è normale. Ho provato scansioni con Avast, Ad-aware 6.0, Spysbutract, Panda Active Scan; ed effattivamente hanno trovato un pò di rumenta nel sistema, ma il problema descritto persiste.

Naturalmente a ogni riavvio del PC il nome utente e il numero di telefono della connessione tornano sbagliati.

Naturalmente come voi consigliate ho fatto un controllo anche con Hijackthis e vi posto qui sotto il log: (log efettuato dopo che avviene tutto quanto descritto sopra)

Logfile of HijackThis v1.99.0
Scan saved at 13.29.19, on 26/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\usbn.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Corrado\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programmi\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c77 -w
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sp] C:\sp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//bvvyavn//ej...::/painter.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2F5D11-15F0-4547-BF40-27DFC2F24EFC}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C2F5D11-15F0-4547-BF40-27DFC2F24EFC}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programmi\HP\hpcoretech\comp\hpuiprot.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

Speriamo che almeno voi riusciate a capirci qualcosa...

[halduemilauno]

usa l'ultima versione di spysweeper aggiornata. e poi leva tutte quella massa di voci all'avvio con jv16 e con lo stesso una bella pulizia al registro. poi disinstalla il ripristino conf. di sistema.
ciao.

[Yeglash]

Ciao, intanto grazie della dritta

Ho fatto come hai detto, ho eseguito uno scan online con spysweeper 3.9 il quale ha trovato:

Trojans
Spooner - A

Adware
CoolwebSearch
Lopdotcom
PurityScan

Adware Cookies
Mediaplex Cookies

A quantio ne so la maggior parte dei problemi dovrebbero essere creati da Spooner-A.

Il problema è che Spysweeper non mi dice come toglierli, qualche dritta su come disinfettare per bene il sistema?

Per quanto riguarda il ripristino conf. di sistema è la prima cosa che ho disabilitato quando il mio amico mi ha portato il PC

Invece riguardo la massa di voci all'avvio che non ti convince potresti essere un poco più preciso su quello che devo fare

Thanks

[Dome87]

installa un antispyware come adaware o spybot search & destroy

[Legolas84]

Edit

[bluepix]

prova ad eliminare queste entries:

O4 - HKCU\..\Run: [sp] C:\sp.exe

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//bvvyavn//e...m::/painter.exe

è sospetta anche questa:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

[halduemilauno]

Quote:

Originariamente inviato da Yeglash
Ciao, intanto grazie della dritta

Ho fatto come hai detto, ho eseguito uno scan online con spysweeper 3.9 il quale ha trovato:

Trojans
Spooner - A

Adware
CoolwebSearch
Lopdotcom
PurityScan

Adware Cookies
Mediaplex Cookies

A quantio ne so la maggior parte dei problemi dovrebbero essere creati da Spooner-A.

Il problema è che Spysweeper non mi dice come toglierli, qualche dritta su come disinfettare per bene il sistema?

Per quanto riguarda il ripristino conf. di sistema è la prima cosa che ho disabilitato quando il mio amico mi ha portato il PC

Invece riguardo la massa di voci all'avvio che non ti convince potresti essere un poco più preciso su quello che devo fare

Thanks

come spysweeper non ti fa togliere quelle voci??? te le mette in quarantena tu vai li e le elimini definitivamente.
scaricati jv16 tra le sue funzioni ti fa vedere quanti programmi hai all'avvio. vedendo quel task manager di programmi da togliere ce ne sono a bizzeffa. in quella voce(su jv16)ci devono essere solo l'antivirus e l'anti spyware.
ciao.