Virus introvabile

[elena.gioia]

Ecco un bel problema
Su un computer con Win2k che a tutte le scansioni (AVG; AVGAS; Spybot; AD Aware; Panda On Line) mi risulta iper pulito sia in modalità normale che in provvisoria riscontro una serie di problemi che mi fanno pensare ad un virus:
1. Non si apre internet in modalità normale (in provvisora funziona)
2. Non si apre HijackThis in modalità normale (in provvisoria funziona)
3. Il Task manager si apre solo ad icona e non c'è modo di visualizzarlo (non ho verificato in provvisoria)
4. La cartella C:\Winnt\Temp contiene almeno 35000 files. Una volta eliminati tornano belli come il sole dopo un po' che il PC è acceso.
5. Ogni volta che chiudo Windows mi si blocca sysfader
Vi posto un log di HijackThis, ovviamente fatto in provvisoria non avendo alternative, vede voi se trovate qualche anomalia...
Aggiungo che talvolta mentre sto facendo le scansioni si chiudono da sole e che mentre lavoro sulla macchina in controllo remoto ogni tanto si chiude la connessione da sola. Ho fatto anche un'altra lunga serie di test, ma non voglio annoiarvi troppo.
Dimenticavo, questo è fondamentale, sul PC c'era il virus Trojan Horse Generic3.gnj. Lo rilevava il resident Shield di AVG, ma adesso non viene più rilevato!

Ecco il log:
Logfile of HijackThis v1.99.1
Scan saved at 12.50.23, on 02/05/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\pc006\Desktop\HijackThis.exe
C:\Documents and Settings\pc006\Desktop\Lav HD.exe
C:\DOCUME~1\pc006\IMPOST~1\Temp\7zS11.tmp\winvnc.e xe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Infostrada LIBERO
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.libero.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = abbonati.libero.it;www.libero.it;*.libero.;*.;;<lo cal>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Cobian Backup 7] "C:\Programmi\Cobian Backup 7\CobBU.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

[crazy.cat]

Prova con questo e usa il Save logfile e il HJT compatible che poi alleghi.
http://download5.emsisoft.com/a2HiJackFreeSetup.exe

Hijackthis in provvisoria non dice niente.

controlla se nella cartella windows\system32 trovi un file exe con nome strano composto da marche di pc/stampanti/telefonini.

[elena.gioia]

Prima, quando mi segnalava il virus diceva che c'era un PhilipsMonitor, ma ho già eliminato quel file sia da Sistem32 che dal registro di sistema.
Adesso in system32 ho un Lexmark-Center.exe e il buon vecchio PhilipsMonitor.exe che è ritornato nonostante lo avessi eliminato

Eccoti anche il log

Logfile of HiJackFree v2.1
Scan saved at 14.45.12, on 02/05/2007
Platform: Windows 2000 Service Pack 4 (Windows NT 5.0.2195)
MSIE: Internet Explorer v 6.0 Service Pack 4 (6.0.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe
C:\WINNT\Explorer.EXE
C:\winnt\system32\winlogon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Cobian Backup 7\CobBU.exe
C:\Programmi\Cobian Backup 7\cobui.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\System32\svchost.exe
C:\Documents and Settings\pc006\Desktop\Lav HD.exe
C:\DOCUME~1\pc006\IMPOST~1\Temp\7zSF.tmp\winvnc.ex e
C:\Programmi\a-squared HiJackFree\a2hijackfree.exe
C:\WINNT\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Cobian Backup 7] "C:\Programmi\Cobian Backup 7\CobBU.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O23 - Service: Avvisi - C:\WINNT\System32\services.exe
O23 - Service: Gestione applicazione - C:\WINNT\system32\services.exe
O23 - Service: ASP.NET State Service - C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_ state.exe
O23 - Service: AVG Anti-Spyware Guard - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servizio trasferimento intelligente in background - C:\WINNT\System32\svchost.exe
O23 - Service: Browser di computer - C:\WINNT\System32\services.exe
O23 - Service: Servizio di indicizzazione - C:\WINNT\System32\cisvc.exe
O23 - Service: ClipBook - C:\WINNT\system32\clipsrv.exe
O23 - Service: Client DHCP - C:\WINNT\System32\services.exe
O23 - Service: Servizio amministrativo di Gestione disco logico - C:\WINNT\System32\dmadmin.exe
O23 - Service: Gestione disco logico - C:\WINNT\System32\services.exe
O23 - Service: Client DNS - C:\WINNT\System32\services.exe
O23 - Service: Registro eventi - C:\WINNT\system32\services.exe
O23 - Service: Sistema di eventi COM+ - C:\WINNT\System32\svchost.exe
O23 - Service: Servizio Microsoft Fax - C:\WINNT\system32\faxsvc.exe
O23 - Service: Google Updater Service - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HID Input Service - C:\WINNT\system32\hidserv.exe
O23 - Service: Server - C:\WINNT\System32\services.exe
O23 - Service: Workstation - C:\WINNT\System32\services.exe
O23 - Service: Servizio guida TCP/IP NetBIOS - C:\WINNT\System32\services.exe
O23 - Service: Messenger - C:\WINNT\System32\services.exe
O23 - Service: Condivisione desktop remoto di NetMeeting - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Distributed Transaction Coordinator - C:\WINNT\System32\msdtc.exe
O23 - Service: Windows Installer - C:\WINNT\system32\msiexec.exe
O23 - Service: DDE di rete - C:\WINNT\system32\netdde.exe
O23 - Service: DDE DSDM di rete - C:\WINNT\system32\netdde.exe
O23 - Service: Accesso rete - C:\WINNT\System32\lsass.exe
O23 - Service: Connessioni di rete - C:\WINNT\System32\svchost.exe
O23 - Service: Provider supporto protezione LM NT - C:\WINNT\System32\lsass.exe
O23 - Service: Gestione archivi rimovibili - C:\WINNT\System32\svchost.exe
O23 - Service: NVIDIA Driver Helper Service - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Plug and Play - C:\WINNT\system32\services.exe
O23 - Service: Agente criteri IPSEC - C:\WINNT\System32\lsass.exe
O23 - Service: Archiviazione protetta - C:\WINNT\system32\services.exe
O23 - Service: Auto Connection Manager di Accesso remoto - C:\WINNT\System32\svchost.exe
O23 - Service: Connection Manager di Accesso remoto - C:\WINNT\System32\svchost.exe
O23 - Service: Routing e Accesso remoto - C:\WINNT\System32\svchost.exe
O23 - Service: Servizio Registro di sistema remoto - C:\WINNT\system32\regsvc.exe
O23 - Service: RPC Locator - C:\WINNT\System32\locator.exe
O23 - Service: RPC (Remote Procedure Call) - C:\WINNT\system32\svchost
O23 - Service: QoS RSVP - C:\WINNT\System32\rsvp.exe
O23 - Service: Gestione protezione account - C:\WINNT\system32\lsass.exe
O23 - Service: Helper smart card - C:\WINNT\System32\SCardSvr.exe
O23 - Service: smart card - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Utilità di pianificazione - C:\WINNT\system32\MSTask.exe
O23 - Service: Servizio RunAs - C:\WINNT\system32\services.exe
O23 - Service: Notifica eventi di sistema - C:\WINNT\system32\svchost.exe
O23 - Service: Condivisione connessione Internet - C:\WINNT\System32\svchost.exe
O23 - Service: Spooler di stampa - C:\WINNT\system32\spoolsv.exe
O23 - Service: SymWMI Service - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Avvisi e registri di prestazioni - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telefonia - C:\WINNT\System32\svchost.exe
O23 - Service: Telnet - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Manutenzione collegamenti distribuiti client - C:\WINNT\system32\services.exe
O23 - Service: Gruppo di continuità - C:\WINNT\System32\ups.exe
O23 - Service: Utility Manager - C:\WINNT\System32\UtilMan.exe
O23 - Service: Ora di Windows - C:\WINNT\System32\services.exe
O23 - Service: Strumentazione gestione Windows - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: WMDM PMSP Service - C:\WINNT\system32\mspmspsv.exe
O23 - Service: Estensioni driver Strumentazione gestione Windows - C:\WINNT\system32\Services.exe
O23 - Service: Aggiornamenti automatici - C:\WINNT\system32\svchost.exe
O23 - Service: Configurazione senza fili - C:\WINNT\System32\svchost.exe


PS Con il taskManager ho risolto leggendo altri post, bastava aggiungere una chiave al registro di sistema!

[crazy.cat]

Quota:

Inviato da elena.gioia

Adesso in system32 ho un Lexmark-Center.exe e il buon vecchio PhilipsMonitor.exe che è ritornato nonostante lo avessi eliminato

Visto i nomi che dici, direi che ti sei beccato il virus gromozon.
Utilizza questo tools per eliminare i due file che hai indicato
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
poi scarica e installa virit, lo aggiorni e fai la scansione.
http://www.tgsoft.it/italy/download.htm

dopo aver eliminato il virus dovrebbe ripartire anche hijackthis

[elena.gioia]

Ho scaricato VirIT, ma non riesco ad aggiornarlo. Sto comunque facendo la scansione... Complimenti all'antivirus, mi ha beccato al volo 2 chiavi di riegistro infette nonostante non abbia fatto l'aggiornamento!

[elena.gioia]

Continuo a non riuscire ad aggiornare Virit; inoltre continuo comunque a non connettermi ad Internet anche se lo stato della LAN indica sia pacchetti inviati che ricevuti. Ho notato che mi va in blocco RUNDLL32 se cerco di visualizzare alcune opzioni di Explorer, come ad esempio la pagina Connessioni. Lexmark-Center.exe è tornato al suo posto!

[elena.gioia]

Purtroppo continuo ad avere problemi con Internet Explorer; ho provato ad installare mozilla e funziona. Domani proverò nuovamente a reinstallare IE, anche se lo ho già fatto con scarsissimi risultati! Se avete altri consigli sono sempre ben accetti.
PS VIRIT mi ha trovato un altro file sospetto di nome lzx32; gli corrispondevano un paio di chiavi di registro che ho canecellato, spero di non avere fatto troppi danni!

[crazy.cat]

Prova a ricancellare il lexmark-center.exe e poi scarica a fai girare questo tools
http://www.prevx.com/gromozon.asp

Mi sa che non sia il solo virus sul tuo pc.

oppure questo http://www.wintricks.it/news2/article.php?ID=14320 a molti a risolto i problemi aggiornalo è lo lanci

[elena.gioia]

Non mi fa utilizzare il programma che mi hai indicato mi dice

"the procedure entry pointGetNativeSystemInfo could not be located in the dynamic library kernell32.dll"

Ho anche reistallato explorer, ma al momenti di aggiornarsi (sai la fase dopo il riavvio) va in blocco il PC è l'unica cosa da fare è riavviare.
In compenso adesso si apre, ma non naviga
Sono anche riuscita ad eliminare lxz32 in modo definitivo, ma temo che non sia ancora bastato; intanto sto preparandomi al formattone, ho giò trasferito tutti i dati!

[giancarlof]

Generalmente è un malware che impedisce l'uso dei programmi e, presumo, anche di Gmer.

Apri il registro di sistema
da START\ESEGUI digita regedit>OK

Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon, click su quest’ultima cartella
all'interno della cartella, sulla parte destra dovresti trovare
UserInit= REG
riporta in un post tutte le voci a fianco di Userinit, sulla parte destra della finestra.

[Lionsquid]

virit consiglia di usare la rinominazione del suo exe ...


ho avuto esperienze di virit e gmer che non sia avviano, il primo lo rinomino in automatico con il GOTGSOFT.BAT , il secondo l'ho modificato con un Hex editor in modo da renderlo irriconoscibile all'eventuale virus, con tale modifica non è stato più intercettato



attendiamo cmq, l'esito dell'analisi della chiave di registro proposta da giancarlof