apertura di Risorse del computer provoca riavvio di explorer.exe [era:Pc infettato]

[ferio]

Salve ragazzi,

Sono giò un paio di clienti che a quanto pare si beccano un virus piuttosto fastidioso...i sintomi sono i seguenti...

Doppio click su risorse del computer....chiusura e riapertura di explorer.exe
Propietà delle connessioni di rete...chiusura e riapertura di explorer.exe
Doppio click su documenti....chiusura e riapertura di explorer.exe
Apertura pannello di controllo....chiusura e riapertura di explorer.exe

sapete mica cosa diamine sia questo virus e come si toglie??

Mi pare che su entrambi i PC sia installato windows 2000, su uno sicuro sull'altro non ricordo

[ste_95]

scarica hijackthis e fai lo scansione e alla fine posta il log....

[ferio]

Ecco qui il log di 1 dei 2, che ne dite?


Logfile of HijackThis v1.99.0
Scan saved at 9.18.48, on 04/10/2007
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\RunDll32.exe
C:\WINNT\System32\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programmi\RDS\PLDlnk.exe
C:\Programmi\RDS\PLTBar.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\OpenOffice.org 2.0\program\soffice.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.BIN
C:\WINNT\explorer.exe
C:\VEXPLITE\viritsvc.exe
C:\Documents and Settings\ute01\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/6brand.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Virgilio
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O2 - BHO: (no name) - {BCBD0424-654D-49E0-B141-D51163A0491A} - C:\WINNT\System32\elsb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Documents and Settings\Administrator\Desktop\Programmi\QuickTime \qttask.exe" -atboottime
O4 - HKLM\..\Run: [JobHisInit] C:\Programmi\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programmi\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: passwd.lnk = C:\PW\black.exe
O4 - Global Startup: Auto Document Link.lnk = C:\Programmi\RDS\PLDlnk.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Function Palette.lnk = C:\Programmi\RDS\PLTBar.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/6brand.home
O17 - HKLM\System\CCS\Services\Tcpip\..\{97A7CF80-2F47-407E-BAF9-B9E0A2783D12}: NameServer = 151.99.125.1,151.99.0.100
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Servizio amministrativo di Gestione disco logico - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Virit eXplorer Lite - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

[tecnico24]

avvia hijackthis e fixa le seguenti voci:

O4 - Startup: passwd.lnk = C:\PW\black.exe
O2 - BHO: (no name) - {BCBD0424-654D-49E0-B141-D51163A0491A} - C:\WINNT\System32\elsb.dll


poi scarica Vundofix
avvialo,clicca su Scan for vundo e poi su remove vundo.
riavvia il pc e posta il log di vundofix(c:/vundofix.txt

[ferio]

Allora pw non è malevolo è un programma nostro, l'altro pul darsi, faccio la prova e vediamo :=)

[ste_95]

Originariamente inviato da ferio
Allora pw non è malevolo è un programma nostro, l'altro pul darsi, faccio la prova e vediamo :=)

fai anche una ricerca nel computer del file internat.exe e dicci dove lo trovi...

[ferio]

Allora...1 dei 2 pc è stato formattato e reinstallato tutto...portato dal cliente e tutto perfetto...il problema è che oggi il cliente mi ha richiamato e ha gli stessi problemi -_-... ho fatto quello che mi avete detto e il programma non ha rilevato niente...internat.exe è in windows system32...ma lo ho gia fatto fuori....AIUTTTTTTOOOO

[ste_95]

fai una scansione con Virit

[ferio]

Fatta ma nessun risultato cosa diamine devo fareeee, help!!!

[ferio]

Ragazzi...mi è arrivato un altro pc con il medesimo problema O_o...anche lui windows 2000!! non so più cosa inventare plz help!