Virus downloader

[peppepegasus]

Salve a tutti,

ho provato a cercare sul forum qualcosa che si avvicinasse al mio caso ma niente.
allora x errore ho cliccato su un file con estensione exe scaricatosi nel mio downloader manager (dap), il giorno seguente mi cadeva la connessione, in un primo momento credevo fosse l'arrivo di una kiamata xkè la mia connessione è quella analogica, ma poi la cosa si ripeteva ogni volta ke mi collegavo, e cercava di collegarsi cercando di occupare la linea che era però bloccata dal programma countdown.
ho svuotato la cache di IE, fatto adware e spyboot e eliminato un po d cose..ho aggiornato il norton e mi ha trovato 7 file infetti, 5 li ha eliminati, 2 nn li ha eliminati. i file non eliminati si kiamano
win160.tmp.exe e winpsa32.dll. per il primo il nome minaccia è downloader, mentre per il secondo è Trojan.Nebuler. posto link all'immagine della skermata del norton
http://img412.imageshack.us/my.php?i...enortonmb2.jpg

ho provato a eliminarli manualmente ma non me li fa eliminare dicendo ke il disco è protetto da scrittura..cosa devo fare?? Non sono molto esperto in tema di virus perchè in 8 anni non ne ho beccato mai uno.
Grazie per l'aiuto.

[OYS]

Ciao, fai una scansione con HijackThis e posta il contenuto del log da esso generato. Poi proseguiremo eliminando i virus.

[peppepegasus]

ciao,

purtroppo ieri sera dovevo accendere il pc per fare l'hijiaiik, acceso lo skermo, il pc parte ma il monitor restava nero e la spia dell'hd accesa fissa senza ke succedesse niente. sapreste dirmi ke problema potrebbe essere, se può essere legato al virus?
penso ke vada portato in assitenza e nel caso risolvo anke il problema del virus.
grazie cmq x l'aiuto.

[tognazzi]

esistono dei viruz tipo il sasser che agiscono anche sull'avvio del sistema. sasser per esempio è in grado di riavviare il sistema ogni volta che si tenta di accendere il pc.
la prima operazione da fare è riavviare in modalità provvisoria. al riavvio, prima della schermata nera con la scritta "windows" , premi ripetutamente F8. comparirà una serie di opzioni, scegli: "riavvia in modalità provvisoria". se riesci a fare quest'operazione senza problemi si può rimuovere il viruz da quella modalità.

[tognazzi]

vorrei aggiungere per chiarezza che il tuo non necessariamente è un problema di sicurezza. potrebbe essere un problema hardware. soprattutto è strano che il pc sia completamente impallato all'avvio, persino il led dell'hard disk non funziona. personalmente credo di non avere mai sentito parlare di un viruz con effetti come quelli che descrivi. cmq io farei lo stesso un tentativo con la modalità provvisoria, sempre che sia possibile.

[peppepegasus]

ciao..

purtroppo non è possibile avviare il pc in modalità provvisoria..penso ci sia qualke problema hardware. la spia dell'hd non è ke nn funziona resta sempre accesa come se tentasse di leggere dal disco.
grazie ugualmente dell'aiuto.
ciao.

[peppepegasus]

Salve,

rieccomi qui..ho ritirato il pc dal negozio e il problema era (dinuovo) di ram bruciata. mi han detto di aver fatto il ripristino e speravo ke il problema del virus fosse stato risolto ma invece ieri sera nel riaccenderlo..ho seguito il consiglio e fatto l'hijickthis, ecco il risultato intero del log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.41.04, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\WINDOWS\webshots.scr
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programmi\hijackthis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O4 - Global Startup: Outlook Express.lnk = C:\Programmi\Outlook Express\msimn.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...rch.jhtml?p=ZN
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocit� Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: BINGOOO - {8512E2E7-D236-4E01-9F6A-58CED4EBD85C} - C:\Programmi\Bingooo\Bingooo.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c18.cab
O20 - Winlogon Notify: winpsa32 - C:\WINDOWS\SYSTEM32\winpsa32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IDL DicomEx Storage SCP - Unknown owner - C:\Programmi\EnviIdl\IDL63\bin\bin.x86\idl_dicomex storscp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: ION Java Daemon 6.3 - Unknown owner - C:\Programmi\EnviIdl\IDL63\products\ion63\ion_java \bin\ion_srv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6757 bytes



aspetto risposte x risoluzione problema.
grazie x l'aiuto.

[OYS]

Fixa queste:


O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolba...arch.jhtml?p=ZN

O9 - Extra button: BINGOOO - {8512E2E7-D236-4E01-9F6A-58CED4EBD85C} - C:\Programmi\Bingooo\Bingooo.exe (file missing)

O20 - Winlogon Notify: winpsa32 - C:\WINDOWS\SYSTEM32\winpsa32.dll

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6.../bridge-c18.cab


Dopo averle fixate elimina questo file con KillBox:


C:\WINDOWS\SYSTEM32\winpsa32.dll

[peppepegasus]

ciao,

scusa l'ignoranza, ma ke significa fixare? c'è x caso un pulsante nella skermata di HijackThis x cui bisogna selezionare cn la spunta le voci ke hai elencato e cliccare sul pulsante fixa o fixare, nn so come possa essere scritto? rimane 1 altro file win160.tmp.exe ke verrà eliminato cn l'altro?
grazie.

[OYS]

1. Scan
2. Selezioni le voci che ti ho detto
3. premi il pulsante "fix checked"