PDA

Visualizza versione completa : virus in system32??


ninjaxp
21-02-2005, 01.49.27
salve a tutti!
ultimamente il mio AVG (aggiornato regolarmente) spesso mi presenta una finestra dove di dice di aver trovato un virus. un certo TFTP508 in system32! se gli dico di eliminare il file, mi ricorda che è un file di sistema e la sua riozione può rendere inutilizzabile il pc. allora clicco su "heal" ma nonostante dichiari di averlo riparato, al successivo riavvio si presenta di nuovo.
scansioni complete con lo stesso AVG, adaware, spybot, trojanhunter, una scansione on line con pc cillin e con SCANGUI in modalità provvisoria non rilevano infezioni.
questa situazione si propone da quando (per motivi di errata installazione di Linux) ho tentato un ripristino di MBR (fallito) e ho reinstallato senza formattare il sistema operativo. può esserci un legame?
come mi devo comportare?
grazie a coloro che mi vorranno aiutare!!

Muttley
21-02-2005, 03.28.13
Ho trovato solo questo (http://www.mobile01.com/topicdetail.php?f=163&t=35926), è in jap (o china, boh :mm: ) :eek:... non so se ti può esser utile

MUT :o

ninjaxp
21-02-2005, 03.41.06
francamente non riesco a capirci niente!!!

ninjaxp
21-02-2005, 16.41.46
vi aggiorno:
appena chiudo la connessione a internet appare ripetutamente la finestra con "richiesta di connessione" e pare che un programma chieda informazioni a irc.padanynet.org...
ho notato che nel taskmanager sono presenti 2 servizi entrambi chiamati winsystem32.exe: terminando questi servizi la finestra non appare più!
ho cercato il file winsystem32.exe e risulta essere sistemato nella cartella C.windows\prefetch, ma non è un file .exe è un file .pf! il nome completo del file è WINSYSTEM32.EXE-11F414AC.PF..
Ho cercato nel registro di sistema sia la voce padanynet sia questo WINSYSTEM32 ecc, sono spuntate alcune chiavi che contengono questi nomi: ho cancellato quelle relative a padanynet ma quelle relative a WINSYSTEM32ecc non le ho toccate, temendo di far danno.
ma che debbo fare???
help!!!

Muttley
21-02-2005, 16.56.36
Fai una scansione con hijackthis e vedi che ne esce ;)

MUT :D

ninjaxp
21-02-2005, 17.14.59
ecco il log di HijackThis
Logfile of HijackThis v1.99.0
Scan saved at 16.00.14, on 21/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\GlobespanVirata\Adsl\dslstat.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Melvin\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.ht m
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.ht m
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\utility\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\utility\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DSLSTATEXE] "C:\Program Files\GlobespanVirata\Adsl\dslstat.exe" icon
O4 - HKLM\..\Run: [DSLAGENTEXE] "C:\Program Files\GlobespanVirata\Adsl\dslagent.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Windows_Protect] winsystem32.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem32.exe
O4 - HKCU\..\Run: [Windows_Protect] winsystem32.exe
O8 - Extra context menu item: Scarica con FlashGet - D:\PROGRA~1\utility\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - D:\PROGRA~1\utility\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\utility\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\utility\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\chat\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\chat\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\vecchiu messgger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\vecchiu messgger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BACFEE52-F357-46F2-BF36-E8FC6253A31A}: NameServer = 80.21.193.22 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

se ci fate caso nelleultime 3 righe indicate con O4 è presente questo maledetto processo WINSYSTEM32..

come devo usare HijackThis?
per la scansione in modalità provvisoria va bene AVG o uso SCANGUI?

Muttley
21-02-2005, 18.00.07
La scansione con hijack, che puoi fare anche tu qua (http://www.hijackthis.de/it), li segnala sospetti.

Poi nel web ho trovato questo (http://forum.tomshw.it/archive/index.php/t-5868.html) vediamo se ti può esser d'aiuto ;)

MUT :D

ninjaxp
21-02-2005, 18.15.04
ok, assodato, che il rpoblema è questo processo, come lo devo eliminare?

davlak
21-02-2005, 18.31.56
Originariamente inviato da ninjaxp
ok, assodato, che il rpoblema è questo processo, come lo devo eliminare?
segui queste indicazioni:
http://www.sophos.com/virusinfo/analyses/w32rbotuo.html
se non riesci a cancellare l'eseguibile, vai in mod. provvisoria.

ninjaxp
21-02-2005, 20.09.10
ehm... non capisco molto l'inglese.. lo so che è vergognoso....

Giorgius
22-02-2005, 03.07.11
http://www.tucows.com/images/shots/emcomalwaress.jpg
Malware Bouncer is an unique malware removal utility with a new and fast featured scanning engine! It only takes about ~10 seconds to scan the whole computer for over 5300 real targeting definitions. The current version supports most types of malware's like, adware, trojans, worms, spyware and dialers. In addition it has a special removal engine for Alexa Toolbar, HotBar, Smiley Central and Gator Adware. The program also has built-in Live Update feature for stay up-to date with latest software version and definitions.

Sito Web:
http://www.emcohelp.com/ccp_worldwide_license_v4.0/Installation%20package/redir.php?link=68

Download:
http://www.emcohelp.com/ccp_worldwide_license_v4.0/Installation%20package/redir.php?link=68

Prima di eliminare le tracce "anomale" segnalate dal programma, posta il risultato della scansione. ;)

N.B.: per attivare la scansione, cliccare su "Scan" e abilitare successivamente la funzione "1". Si raccomanda con il tasto "Live Update" di verificare la disponibilità di eventuali aggiornamenti in rete (download lungo con un modem 56K).

ninjaxp
22-02-2005, 03.44.31
Select Action Machine Name Type
Remove MELVIN-GE4OWY7Z NMC.RBOT.UO WORM

ecco il risultato...
come si rimuovono??

Giorgius
22-02-2005, 15.50.24
Con la funzione di rimozione che appare in alto subito dopo la scansione. ;)

Hai aggiornato prima il database del programma?

ninjaxp
22-02-2005, 15.55.53
sì!ora provo

ninjaxp
22-02-2005, 23.27.33
gli ho detto di eliminare, ma nelle scansioni successive lo ripropone...

Giorgius
22-02-2005, 23.49.53
Già successo con altri Virus e affini "ostici". In questi casi, devi provare 2 volte (o più) facendo poi i relativi riavvii di sistema. ;)

Nel caso "l'anomalia" persista, vai in Modalità Provvisoria e ripeti la scansione e la successiva rimozione.