Aiuto su problemi vari

[VerTek]

Salve, continuo ad avere problemi. Anche dopo la formattazione trovato delle anomalie esattamente in c:\windows\system32\ dove o sono connesso o sono disconnesso da internet, noto che vengono creati automaticamente dei files eseguibili tipo *_up.exe, l’ultimo che vedo è 26387_up.exe dove i numeri variano. Io più li cancello e più se ne creano. La creazione di questi files la noto anche in base alla clessidra che mi appare vicino al puntatore del mouse.
Nel secondo PC, appena formattato, ho lo stesso problema che avevo nel primo pc qualche giorno fa (dove poi decisi di formattarlo) ossia ”Runtime error, Program C:\Programmi\File Comuni\Symantec Shared\ccEvtMgr.exe" e si apre sotto una videata in DOS, scvhost.exe. Sono riuscito a cancellare il tutto dal registro di windows e il file che si era insediato in system32 solo che, dopo essere connesso in rete, mi ritrovo nuovamente il file scvhost.exe.
Ho provato a cancellare il file dal programma HijackThis.exe e anche da Startup.exe ma il file mi si ripropone.
Ho su entrambi i pc installato windows XP con gli aggiornamenti q828750.exe (che riguarda l’explorer), WindowsXP-KB826939-x86-ITA(Rollup 1 ).exe e msjavx86.exe (java).

La scansione di Norton non mi trova nulla e non ho neanche spyware (controllo effettuato da Ad-aware 6.0). Chi mi puo’ aiutare a risolvere questo problema?

Resto in attesa di una vostra risposta,
Grazie.

[VerTek]

quando mi si avvia scvhost.exe nel secondo pc, mi crea un file debug.log (che ho salvato e non so se può essere utile) e ogni tanto ho un avviso di virus (nome virus w32.Gaobot.afj)

Eseguendo HijackThis.exe sul secondo pc ho:

Logfile of HijackThis v1.97.7
Scan saved at 1.58.00, on 02/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\anvshell.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
D:\Altro\Programmi\DriverXP\HijackThis\HijackThis. exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemp...veSecurity.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Sul primo pc ho:

Logfile of HijackThis v1.97.7
Scan saved at 1.58.04, on 02/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\anvshell.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\avserve2.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
D:\my\Programmi\programmi pulizia\HijackThis.exe
C:\WINDOWS\avserve2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

che devo disattivare?

[VerTek]

Allego uno screenshot della schermata che mi fa dopo un tot di minuti connesso.
Chissà che problemi hanno i mei pc, sarei tentato di riformattarli entrambi ma son sicuro che si riproporrebbe lo stesso problema.
Spero quindi in un vostro aiuto anche perchè non so proprio che fare Ho sul secondo installato anche la patch di windows Windows-KB833330-ITA.exe ma il problema resta
Dimenticavo... sia facendo una scansione di norton in modalità normale, sia in modalità provvisoria.. non mi trova nulla
Ho anche fatto una scansione con FxGaobot.exe e stinger.exe ma.. nada

[Bico Bico]

Per prima cosa i file *****_up.exe vengono generati dal worm Sasser (per informazioni: http://securityresponse.symantec.com...sser.worm.html) quindi prima di tutto ti conviene procurarti il tool di rimozione per Sasser fornito da Symantec:

http://securityresponse.symantec.com...r/FxSasser.exe

Ricordati di eseguirlo in modalità provvisoria, o comunque con l'antivirus disattivato, altrimenti non funziona.

In secondo luogo fai una scansione online per verificare se ci sono altri virus nel tuo PC. Prova il Panda ActiveScan, è uno dei migliori:

http://www.pandasoftware.com/actives..._principal.htm

Ciao.

[VerTek]

fatto sia FxSasser.exe e sia la scansione con panda ma.. niente hai altre soluzioni?

[Bico Bico]

Quota:

Originariamente inviato da VerTek
fatto sia FxSasser.exe e sia la scansione con panda ma.. niente hai altre soluzioni?

Cioè? Continuano a comparire i file _up.exe ma il FixSasser non ha trovato nulla?

[VerTek]

allora in entrambi i pc avevo quei files _up.exe e il FxSasser mi ha individuato solo su uno dei files che poi ha rimosso.
Il primo pc sembra apposto mentre il secondo pc no.
Nel primo pc ho trovato anche con HijackThis.exe un certo avserve2.exe, stesso file stava in c:\windows\system32 che ho poi eliminato.
Nel secondo pc ogni tanto noto come se stessi scaricando e inviando qualcosa.
Ho notato che questi virus "entrano" tramite la porta 135.. boh.

[VerTek]

forse ho capito xchè sul secondo pc il FxSasser.exe non mi ha trovato nulla, xchè ho cancellato manualmente i files-virus esattamente avserve2.exe e *_up.exe ma, ripeto, non riesco a capire come mai su entrambi i pc vedo i due computerini accesi come se stessero scaricando e inviando qualcosa (con dumeter a DL e UL ogni tanto vedo che scarica/invia a 9-10KB/sec) quindi presumo che ho ancora qualche residuo di virus o proprio un altro virus.

Ho anche installato una nuova patch (http://www.microsoft.com/downloads/d...1-AF243B6168F3) ma.. per ora nessuna novità

sarei tentato a formattare i due pc ma ho paura di riavere gli stessi virus Il bello che l'ho formattato ieri mattina il pc e dopo aver SOLO scaricato gli aggiornamenti di Norton ho iniziato ad avere i primi files *_up.exe

[primoair]

Quota:

Originariamente inviato da VerTek
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe

Hai provato a cancellare con HijackThis "C:\WINDOWS\system32\Isass.exe"?

[VerTek]

Quota:

Originariamente inviato da primoair


Hai provato a cancellare con HijackThis "C:\WINDOWS\system32\Isass.exe"?

rifacendo una scansione con HijackThis, il file Isass non ce l'ho.

[Giorgius]

Ultima versione aggiornata di Stinger (rimuove il Virus W32.Sasser.worm)

Stinger v2.2.3: http://download.nai.com/products/mca...rt/stinger.exe

[VerTek]

fatto, niente sui due pc stinger non mi rileva nulla.
Ho provato ad installare la patch di windows (WindowsXP-KB835732-x86-ENU.EXE) ma mi da errore alla scheda video su entrambi i pc (che montano la stessa scheda, mentre su un terzo non ho nessun errore).
Ho provato a disinstallare la patch e riavviar e non ho nessun errore.
Ho quindi voluto formattare il secondo Pc, installato tutte le patches che ho sempre installato e questa nuova ma... mi da sempre errore alla scheda video (ASUS V8440 GeForce Ti).

Per il fatto che riguardava il secondo Pc, ossia notavo che anche se non stavo visualizzando nulla notavo tramite dumeter che il pc a mia insaputa stava scaricando qualcosa, beh in parte ho risolto con ZoneAllarm (quindi con firewall) ma... tramite LAN non riesco più a condividere la connessione internet! risolvo un errore e se ne ripresenta n'altro non ne posso più ragà, chiedo ancora un vostro aiuto

[VerTek]

ecco l'errore che mi da una volta installata la patch e ad ogni riavvio di windows:

[Giorgius]

RE: VerTek

La Patch che hai installato "WindowsXP-KB835732-x86-ENU.EXE" è in inglese, quindi è errata per il tuo Winzozzo. Vai in Modalità Provvisoria, disintallala attraverso "Installazione applicazioni", infine riavvia il Sistema.

Versioni in italiano:

Windows XP ITA
http://download.microsoft.com/downlo...32-x86-ITA.EXE

Windows 2000 ITA
http://download.microsoft.com/downlo...32-x86-ITA.EXE

Per il Firewall, devi dare accesso all'indirizzo IP dell'altro PC.

[VerTek]

si scusami, ho sbagliato a scrivere la patch che avevo installato (quella inglese logicamente non mi si poteva installare).
Cmq ho risolto il problema esattamente disattivando con HijackThis il file ANVSHELL.EXE relativo alla scheda video.

Ora problemi non ne ho e.. chissà se sarò riuscito a risolvere il problema.

Noto pero' ogni tanto i due computerini che si mettono quando sono connesso ad internet, che si accendono come se stessi scaricando qualcosa ma forse è normale, o no?