Virus che non mi fa navigare :( Help me!

francescox87 · 25-05-2005, 10:14

Ciao Ragazzi,ieri come un pirla ho aperto sul mio pc fisso un file di dubbia provenienza (all'apertura non è successo niente di visibile) all'accensione stamattina sembrava tutto ok, ma poi dopo un pò internet explorer non mi carica più le pagine (IMPOSSIBILE VISUALIZZARE LA PAGINA)

, non riesco a risolvere, ho riavviato ed è =,poco prima di non permettermi di navigare ho notato che digitando un sito nella barra, sotto al sito digitato si aggiunge un www.www.indirizzodigitato.it.org.

Sapete aiutarmi? sono disperato

Grazie anticipatamente
Francesco

bluepix · 25-05-2005, 10:27

Per un aiuto devi mettere il log di Hijackthis.

ciao

francescox87 · 25-05-2005, 10:49

ecco qui

:
Logfile of HijackThis v1.99.0
Scan saved at 10.46.40, on 25/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmi\Eset\nod32krn.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\atiptaxx.exe
D:\Programmi\Eset\nod32kui.exe
D:\Programmi\MessengerPlus! 3\MsgPlus.exe
D:\Programmi\IMT Labs Messenger Plugin\Cloud.exe
D:\WINDOWS\system32\ntsf.exe
D:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\HijackThis.exe
D:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] D:\WINDOWS\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] "D:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [CloudPlugin] "D:\Programmi\IMT Labs Messenger Plugin\Cloud.exe"
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.co...p/PhtPkMSN.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Macromedia Licensing Service - Unknown - D:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service - Unknown - D:\Programmi\Eset\nod32krn.exe

SkunkWorks 68 · 25-05-2005, 11:18

Ciao...Ho dato un'occhiata...sono da fixare tutte le voci che contengono ntfs.exe...riconducibili ad un trojan... guarda qui:http://www.sophos.com/virusinfo/analyses/w32rbotub.html
...Aspettiamo anche Bluepix per eventuali correzioni od aggiunte...

bluepix · 25-05-2005, 11:27

DEvi fixare le seguenti righe:
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe

e cancellare il file:

D:\WINDOWS\system32\ntsf.exe

il tutto in modalità provvisoria e con il rispristino di sistema disattivato.

potrebbe essere questa infezione:
http://vil.nai.com/vil/content/v_99677.htm

quindi controlla che non ci siano file che inizino per:
EXEADDED
oppure
FILEISENCODED

se ci dovessero essere il virus ha rinominato i file buoni come:
EXEADDED+nome programma.exe.
e il relativo pogramma.exe è infetto.
Quindi cancella il "nomeprgramma.exe" e rinomina il "EXEADDED+nome programma.exe" in "nome programma.exe.

Forse è più complicato a spiegare che a fare.

ciao

francescox87 · 25-05-2005, 11:33

Ho fatto un ripristino del punto di sistema e sembra che il problema sia risolto

, e la ntsf.ex non compare + nel log:

Logfile of HijackThis v1.99.0
Scan saved at 11.32.25, on 25/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmi\Eset\nod32krn.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\atiptaxx.exe
D:\Programmi\Eset\nod32kui.exe
D:\Programmi\MessengerPlus! 3\MsgPlus.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Winamp\Winamp.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Outlook Express\msimn.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] D:\WINDOWS\atiptaxx.exe
O4 - HKLM\..\Run: [nod32kui] "D:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.co...p/PhtPkMSN.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Macromedia Licensing Service - Unknown - D:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service - Unknown - D:\Programmi\Eset\nod32krn.exe

SkunkWorks 68 · 25-05-2005, 11:35

Quote:

Originariamente inviato da bluepix

DEvi fixare le seguenti righe:
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe

e cancellare il file:

D:\WINDOWS\system32\ntsf.exe

il tutto in modalità provvisoria e con il rispristino di sistema disattivato.

potrebbe essere questa infezione:
http://vil.nai.com/vil/content/v_99677.htm

quindi controlla che non ci siano file che inizino per:
EXEADDED
oppure
FILEISENCODED

se ci dovessero essere il virus ha rinominato i file buoni come:
EXEADDED+nome programma.exe.
e il relativo pogramma.exe è infetto.
Quindi cancella il "nomeprgramma.exe" e rinomina il "EXEADDED+nome programma.exe" in "nome programma.exe.

Forse è più complicato a spiegare che a fare.

ciao

..Impeccabile..come al solito...

bluepix · 25-05-2005, 12:25

..aspita i punti di ripristino funzionano

Ok.... meglio così.

Se vogliamo fare i pignoli e risparmiare qualche Kb di memoria si potrebbero fixare anche:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE

francescox87 · 25-05-2005, 13:05

Quote:

Originariamente inviato da bluepix

..aspita i punti di ripristino funzionano

Ok.... meglio così.

Se vogliamo fare i pignoli e risparmiare qualche Kb di memoria si potrebbero fixare anche:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE

Infatti, non me l'aspettavo proprio da windows!! ho provato tanto per fare..ed invece..ha funzionato..INCREDIBILE

Comunque grazie per il supporto istantaneo che mi hai fornito

SOUNDMAN.EXE e l'utility della scheda audio e la rimango
le altre 2 le fixo

Thanks ancora

Omni · 10-08-2005, 18:47

ragazzi ho lo stesso problema su un pc che uso solo per navigare. ho preso questo ntsf.exe. per liberarmene l'ho tolto a mano dalla cartella system32 e ho pulito il registro da tutto quello che conteneva ntsf.exe sembrava tutto ok... tantè che non avevo trovato nessun file rinominato con EXEADDED oppure FILEISENCODED. ora però riavvinado il computer dove circa 2 sett che era acceso si è ripresentato il problema, non riesco + a navigare !! si conette, ma non naviga, e c'è anke molto traffico perchè le lucine sono sempre accese...

vi posto il file di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18.41.07, on 10/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\FreePOPs\freepopsservice.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\WINDOWS\system32\wuamk032.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\GetRight\getright.exe
C:\Programmi\GetRight\getright.exe
C:\WINDOWS\system32\javascript.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OIS.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Ric\IMPOST~1\Temp\Rar$EX00.412\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...b?946845520800
O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINDOWS\system32\javascript.exe

grazie in anticipo!!

FOXYLADY · 10-08-2005, 19:04

fixa
C:\WINDOWS\system32\wuamk032.exe
C:\WINDOWS\system32\javascript.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe
O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINDOWS\system32\javascript.exe

andorra24 · 10-08-2005, 19:06

Fixa:
C:\WINDOWS\system32\wuamk032.exe
C:\WINDOWS\system32\javascript.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe
O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINDOWS\system32\javascript.exe
Fai una scansione con bitdefender:
http://www.bitdefender.com/scan8/ie.html

andorra24 · 10-08-2005, 19:09

Quote:

Originariamente inviato da FOXYLADY

fixa
C:\WINDOWS\system32\wuamk032.exe
C:\WINDOWS\system32\javascript.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe
O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINDOWS\system32\javascript.exe

Non avevo fatto il refresh della pagina e non mi ero accorta del tuo post

Omni · 11-08-2005, 08:07

dunque innanzi tutto grazie delle pronte risposte

secondo:

O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINDOWS\system32\javascript.exe
non si fixa perchè si riproduce immediatamente, anke se tento di terminare il processo javascript.exe, quest'ultimo si riavvia immediatamente...

in c:\windows\system32 non c'è nè javascript.exe nè wuamk032.exe, ma facendo una ricerca sul disco ho trovato 2 file: JAVASCRIPT.EXE-39286CBE e WUAMK032.EXE-171C4421 entrambi dentro /windows/Prefetch e li ho prontamente eliminati...

O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe
questi 2 li ho fixati ed il pc è tornato a navigare...

FOXYLADY · 11-08-2005, 10:23

Quote:

Originariamente inviato da andorra24

Non avevo fatto il refresh della pagina e non mi ero accorta del tuo post

No problem, capita anche a me a volte

xomni
Prova a disabilitare il ripristino configurazione di sistema e a fare una scansione online dove ti ha indicato andorra.

Ciao

Omni · 11-08-2005, 11:14

il ripristino è disattivato...

bitdefender l'ho fatto e mi ha pulito molte cose tre cui :

C:\WINDOWS\system32\dxdmain.exe
Infected with: GenPack:Backdoor.SDBot.AA7485AD
C:\WINDOWS\system32\dxdmain.exe
Disinfection failed
C:\WINDOWS\system32\dxdmain.exe
Deleted
C:\WINDOWS\system32\javascript.exe
Suspected of: BehavesLike:Win32.IRC-Backdoor
C:\WINDOWS\system32\javascript.exe
Disinfection failed
C:\WINDOWS\system32\javascript.exe
Delete failed
C:\WINDOWS\system32\OpenGL.exe
Infected with: Backdoor.Codbot.AI
C:\WINDOWS\system32\OpenGL.exe
Deleted
C:\WINDOWS\system32\rpclocator.exe
Infected with: Backdoor.Codbot.AI
C:\WINDOWS\system32\rpclocator.exe
Deleted
C:\WINDOWS\system32\wins.exe
Infected with: Backdoor.Codbot.AI
C:\WINDOWS\system32\wins.exe
Deleted
C:\WINDOWS\system32\wuamk032.exe
Infected with: Backdoor.RBot.BBFAE7C2
C:\WINDOWS\system32\wuamk032.exe
Deleted

ma come potete vedere javascript.exe non lo ha tolto e se vado in windows\system32 non appare!!

inoltre HijackThis non riesce a fixare la riga cioè la fixa ma poi riappare subito...
però navigo bene..

Omni · 11-08-2005, 11:15

cmq maledetto win lo uso solo x scaricare e neanche quello riesce a far bene!!

FOXYLADY · 11-08-2005, 11:30

Hai visualizzato i file nascosti in windows?
Controlla in msconfig se c'è qualche servizio strano in avvio automatico.

andorra24 · 11-08-2005, 11:34

Quote:

Originariamente inviato da Omni

ma come potete vedere javascript.exe non lo ha tolto e se vado in windows\system32 non appare!!

Prova anche con ewido: http://download.ewido.net/ewido-setup.exe

Omni · 11-08-2005, 11:40

certo che ho vis. i file nascosti, ma non c'è!!!

cmq in msconfig ho trovato qualkosa di strano, cioè
Enables Javascript support, e l'ho disattivato ora quel maledetto javascript.exe non parte + all'avvio, come non appare + in hijackThis, diciamo che ho risolto, anke se non si trova javascript.exe nel pc!!

grazie mille

25-05-2005, 10:14	#1
francescox87 Senior Member Iscritto dal: Nov 2002 Città: Caserta Messaggi: 1454	Virus che non mi fa navigare :( Help me! Ciao Ragazzi,ieri come un pirla ho aperto sul mio pc fisso un file di dubbia provenienza (all'apertura non è successo niente di visibile) all'accensione stamattina sembrava tutto ok, ma poi dopo un pò internet explorer non mi carica più le pagine (IMPOSSIBILE VISUALIZZARE LA PAGINA), non riesco a risolvere, ho riavviato ed è =,poco prima di non permettermi di navigare ho notato che digitando un sito nella barra, sotto al sito digitato si aggiunge un www.www.indirizzodigitato.it.org. Sapete aiutarmi? sono disperato Grazie anticipatamente Francesco

25-05-2005, 11:33	#6
francescox87 Senior Member Iscritto dal: Nov 2002 Città: Caserta Messaggi: 1454	Ho fatto un ripristino del punto di sistema e sembra che il problema sia risolto, e la ntsf.ex non compare + nel log: Logfile of HijackThis v1.99.0 Scan saved at 11.32.25, on 25/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe D:\Programmi\Eset\nod32krn.exe D:\WINDOWS\SOUNDMAN.EXE D:\WINDOWS\atiptaxx.exe D:\Programmi\Eset\nod32kui.exe D:\Programmi\MessengerPlus! 3\MsgPlus.exe D:\WINDOWS\system32\ctfmon.exe D:\Programmi\Winamp\Winamp.exe D:\Programmi\Internet Explorer\iexplore.exe D:\Programmi\Outlook Express\msimn.exe D:\PROGRA~1\WinZip\winzip32.exe D:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmi\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] D:\WINDOWS\atiptaxx.exe O4 - HKLM\..\Run: [nod32kui] "D:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.co...p/PhtPkMSN.cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Macromedia Licensing Service - Unknown - D:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NOD32 Kernel Service - Unknown - D:\Programmi\Eset\nod32krn.exe

10-08-2005, 18:47	#10
Omni Senior Member Iscritto dal: Oct 2001 Città: Latina (LT) Messaggi: 413	ragazzi ho lo stesso problema su un pc che uso solo per navigare. ho preso questo ntsf.exe. per liberarmene l'ho tolto a mano dalla cartella system32 e ho pulito il registro da tutto quello che conteneva ntsf.exe sembrava tutto ok... tantè che non avevo trovato nessun file rinominato con EXEADDED oppure FILEISENCODED. ora però riavvinado il computer dove circa 2 sett che era acceso si è ripresentato il problema, non riesco + a navigare !! si conette, ma non naviga, e c'è anke molto traffico perchè le lucine sono sempre accese... vi posto il file di hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 18.41.07, on 10/08/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\FreePOPs\freepopsservice.exe C:\Programmi\FreePOPs\freepopsd.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe C:\WINDOWS\system32\wuamk032.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\GetRight\getright.exe C:\Programmi\GetRight\getright.exe C:\WINDOWS\system32\javascript.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MICROS~2\OFFICE11\OIS.EXE C:\Programmi\Mozilla Firefox\firefox.exe C:\DOCUME~1\Ric\IMPOST~1\Temp\Rar$EX00.412\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe" O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...b?946845520800 O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINDOWS\system32\javascript.exe grazie in anticipo!! __________________ Ho concluso positivamente affari con alechino,pub111,rsd_oilpoint,Maninabox Solo due cose sono infinite, l'universo e la stupidità umana, e non sono sicuro della prima. (A.Einstein)

10-08-2005, 19:04	#11
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	fixa C:\WINDOWS\system32\wuamk032.exe C:\WINDOWS\system32\javascript.exe O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINDOWS\system32\javascript.exe __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

11-08-2005, 08:07	#14
Omni Senior Member Iscritto dal: Oct 2001 Città: Latina (LT) Messaggi: 413	dunque innanzi tutto grazie delle pronte risposte secondo: O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINDOWS\system32\javascript.exe non si fixa perchè si riproduce immediatamente, anke se tento di terminare il processo javascript.exe, quest'ultimo si riavvia immediatamente... in c:\windows\system32 non c'è nè javascript.exe nè wuamk032.exe, ma facendo una ricerca sul disco ho trovato 2 file: JAVASCRIPT.EXE-39286CBE e WUAMK032.EXE-171C4421 entrambi dentro /windows/Prefetch e li ho prontamente eliminati... O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe questi 2 li ho fixati ed il pc è tornato a navigare... __________________ Ho concluso positivamente affari con alechino,pub111,rsd_oilpoint,Maninabox Solo due cose sono infinite, l'universo e la stupidità umana, e non sono sicuro della prima. (A.Einstein)

25-05-2005, 10:27	#2
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Per un aiuto devi mettere il log di Hijackthis. ciao

25-05-2005, 10:49	#3
francescox87 Senior Member Iscritto dal: Nov 2002 Città: Caserta Messaggi: 1454	ecco qui : Logfile of HijackThis v1.99.0 Scan saved at 10.46.40, on 25/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe D:\Programmi\Eset\nod32krn.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\SOUNDMAN.EXE D:\WINDOWS\atiptaxx.exe D:\Programmi\Eset\nod32kui.exe D:\Programmi\MessengerPlus! 3\MsgPlus.exe D:\Programmi\IMT Labs Messenger Plugin\Cloud.exe D:\WINDOWS\system32\ntsf.exe D:\WINDOWS\system32\ctfmon.exe D:\PROGRA~1\WinZip\winzip32.exe D:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\HijackThis.exe D:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programmi\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] D:\WINDOWS\atiptaxx.exe O4 - HKLM\..\Run: [nod32kui] "D:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [CloudPlugin] "D:\Programmi\IMT Labs Messenger Plugin\Cloud.exe" O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.co...p/PhtPkMSN.cab O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Macromedia Licensing Service - Unknown - D:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NOD32 Kernel Service - Unknown - D:\Programmi\Eset\nod32krn.exe

25-05-2005, 11:18	#4
SkunkWorks 68 Senior Member Iscritto dal: Sep 2004 Città: Prov. Novara/Palmdale Messaggi: 5228	Ciao...Ho dato un'occhiata...sono da fixare tutte le voci che contengono ntfs.exe...riconducibili ad un trojan... guarda qui:http://www.sophos.com/virusinfo/analyses/w32rbotub.html ...Aspettiamo anche Bluepix per eventuali correzioni od aggiunte...

25-05-2005, 11:27	#5
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	DEvi fixare le seguenti righe: O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe e cancellare il file: D:\WINDOWS\system32\ntsf.exe il tutto in modalità provvisoria e con il rispristino di sistema disattivato. potrebbe essere questa infezione: http://vil.nai.com/vil/content/v_99677.htm quindi controlla che non ci siano file che inizino per: EXEADDED oppure FILEISENCODED se ci dovessero essere il virus ha rinominato i file buoni come: EXEADDED+nome programma.exe. e il relativo pogramma.exe è infetto. Quindi cancella il "nomeprgramma.exe" e rinomina il "EXEADDED+nome programma.exe" in "nome programma.exe. Forse è più complicato a spiegare che a fare. ciao

25-05-2005, 12:25	#8
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	..aspita i punti di ripristino funzionano Ok.... meglio così. Se vogliamo fare i pignoli e risparmiare qualche Kb di memoria si potrebbero fixare anche: O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE

10-08-2005, 19:06	#12
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Fixa: C:\WINDOWS\system32\wuamk032.exe C:\WINDOWS\system32\javascript.exe O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINDOWS\system32\javascript.exe Fai una scansione con bitdefender: http://www.bitdefender.com/scan8/ie.html

11-08-2005, 11:14	#16
Omni Senior Member Iscritto dal: Oct 2001 Città: Latina (LT) Messaggi: 413	il ripristino è disattivato... bitdefender l'ho fatto e mi ha pulito molte cose tre cui : C:\WINDOWS\system32\dxdmain.exe Infected with: GenPack:Backdoor.SDBot.AA7485AD C:\WINDOWS\system32\dxdmain.exe Disinfection failed C:\WINDOWS\system32\dxdmain.exe Deleted C:\WINDOWS\system32\javascript.exe Suspected of: BehavesLike:Win32.IRC-Backdoor C:\WINDOWS\system32\javascript.exe Disinfection failed C:\WINDOWS\system32\javascript.exe Delete failed C:\WINDOWS\system32\OpenGL.exe Infected with: Backdoor.Codbot.AI C:\WINDOWS\system32\OpenGL.exe Deleted C:\WINDOWS\system32\rpclocator.exe Infected with: Backdoor.Codbot.AI C:\WINDOWS\system32\rpclocator.exe Deleted C:\WINDOWS\system32\wins.exe Infected with: Backdoor.Codbot.AI C:\WINDOWS\system32\wins.exe Deleted C:\WINDOWS\system32\wuamk032.exe Infected with: Backdoor.RBot.BBFAE7C2 C:\WINDOWS\system32\wuamk032.exe Deleted ma come potete vedere javascript.exe non lo ha tolto e se vado in windows\system32 non appare!! inoltre HijackThis non riesce a fixare la riga cioè la fixa ma poi riappare subito... però navigo bene.. __________________ Ho concluso positivamente affari con alechino,pub111,rsd_oilpoint,Maninabox Solo due cose sono infinite, l'universo e la stupidità umana, e non sono sicuro della prima. (A.Einstein)

11-08-2005, 11:15	#17
Omni Senior Member Iscritto dal: Oct 2001 Città: Latina (LT) Messaggi: 413	cmq maledetto win lo uso solo x scaricare e neanche quello riesce a far bene!! __________________ Ho concluso positivamente affari con alechino,pub111,rsd_oilpoint,Maninabox Solo due cose sono infinite, l'universo e la stupidità umana, e non sono sicuro della prima. (A.Einstein)

11-08-2005, 11:30	#18
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Hai visualizzato i file nascosti in windows? Controlla in msconfig se c'è qualche servizio strano in avvio automatico. __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

11-08-2005, 11:40	#20
Omni Senior Member Iscritto dal: Oct 2001 Città: Latina (LT) Messaggi: 413	certo che ho vis. i file nascosti, ma non c'è!!! cmq in msconfig ho trovato qualkosa di strano, cioè Enables Javascript support, e l'ho disattivato ora quel maledetto javascript.exe non parte + all'avvio, come non appare + in hijackThis, diciamo che ho risolto, anke se non si trova javascript.exe nel pc!! grazie mille __________________ Ho concluso positivamente affari con alechino,pub111,rsd_oilpoint,Maninabox Solo due cose sono infinite, l'universo e la stupidità umana, e non sono sicuro della prima. (A.Einstein)

Strumenti
Mostra una versione stampabile Invia questa pagina per email