cmd.exe si moltiplica in processi ...che fare?

[bottaweb]

Ragazzi ho appena comprato un toshiba l'ho messo in rete per aggiornare l'antivirus e pA!!! mi sono preso il virus.
In sostanza dal Task non trovo sasser o Baster ma il file cmd.exe ed altri si moltiplicano fino a 200 e mi rallentano il Pc. Norton mi trova dei Adware che non riecsc a togliere . Ho installato Service pack vhe mi ha risolto il problema ma il pc era lento e non riuscivo a navigare e a scaricare la posta anche se toglievo il firewall. Quindi ho disistallato SP2 ed il problema del cmd.exe si è ripresentato. Aiutatemi vi prego :-((((

[amvinfe]

installa AdAware ed aggiorna le definizioni e scarica HijackThis, li trovi in questo forum in Rilievo,
Fai una scansione dalla mod. provvisoria con AdAware e rimuovi i files infetti, riavvia.
Posta un log di HijackThis

[bottaweb]

ok ora provo

[bottaweb]

Ho fatto come hai detto . Ho scaricato Adaware l'ho aggiornato ed in modalità provvissoria ho eliminato i virus. Ho Fatto partire il software che hai detto e mi da:


Logfile of HijackThis v1.98.2
Scan saved at 10.16.07, on 25/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Documents and Settings\Antonio\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programmi\TOSHIBA\Free Update Service\splash.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programmi\DAP\DAPIEBar.dll (file missing)
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programmi\YourSiteBar\ysb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programmi\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Battery Checker] C:\Program Files\TOSHIBA\Battery Checker\BtryChkr.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programmi\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Synchronization loader lokd] h2m6w5s.exe
O4 - HKLM\..\Run: [Installs SP2] c:\windows\system32\qpalsp\repcale.exe c:\windows\system32\qpalsp\palsp.exe
O4 - HKLM\..\Run: [PK Services] pksvc.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\RunServices: [Microsoft Support Service] svcmgt.exe
O4 - HKLM\..\RunServices: [PK Services] pksvc.exe
O4 - HKLM\..\RunServices: [Synchronization loader lokd] h2m6w5s.exe
O4 - HKLM\..\RunServices: [Installs SP2] c:\windows\system32\qpalsp\repcale.exe c:\windows\system32\qpalsp\palsp.exe
O4 - HKLM\..\RunServices: [msupdate] msupdate.exe
O4 - HKLM\..\RunOnce: [PK Services] pksvc.exe
O4 - HKCU\..\Run: [PK Services] pksvc.exe
O4 - HKCU\..\Run: [Synchronization loader lokd] h2m6w5s.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Raer] C:\Documents and Settings\Antonio\Dati applicazioni\aoce.exe
O4 - HKCU\..\RunOnce: [PK Services] pksvc.exe
O4 - Global Startup: Avvio veloce di Microsoft Office OneNote 2003.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programmi\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098542757296
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

QUANDO HO FATTO RIPARTIRE IL PC E MI SONO CONNESSO AD INTERNET I PROCESSI CMD.EXE ALT.EXE SI SONO MOLTIPLICATI COMUNQUE :-((((((

CHE FARE? PORCA MISERIA IL PORTATILE è NUOVO L'HO APPENA COMPRATO E GIà ME LO STANNO DISTRUGGENDO!!!

[bottaweb]

Ho provato con Stinger e mi ha rilevato W32.Sdnot.worm e Flood.cd.dr trojan sono questi che mi causano il replicarsi di cmd.exe alte.exe?

Grazie x l'aiuto

[bottaweb]

E' andato via ma ora come faccio ad essere sicuro di non prenderlo più?

[satyro]

ciao qui trovi una descrizione del primo worm, e qui del secondo

[bottaweb]

grazie. Ma perchè norton 2004 aggiornatissimo non è stato capace di vederli?

[cso]

Bene, un PC appena formattato che prende virus a me fa pena, visto che hai detto che è nuovo e quindi non credo che tu abbia già l'HD pieno zeppo di cose allora potresti:
[list=1][*]Scarica il SP2 (non da WindowsUpdate) in modo da avere un eseguibile[*]Scaricare un Firewall (ZoneAlarm)[*]Salvare tutto in un CD[*]Formattare[*]Installare il SP2[*]Installare l'AntiVirus[*]Installare il Firewall[*]Goderti la vita [/list=1]

[billiejoex]

Direi che l'installazione del firewall va messa nei primi posti. Non ricordo dove ma mi pare che statisticamente una infezione di una macchina NT si aggiri intorno ai pochi minuti per i soliti RPC DCOM e LSASS.