Non riesco a identificare/rimuovere un Worm

**pictor** · 01-02-2008, 11:46

Ciao,

Sul PC qua in ufficio ieri si è insediato un virus. Esperienza
particolare visto che non ne prendevo da un bel pò di anni, ma mi sta
praticamente impedendo di lavorare.

Avevo Nod32 ma i simpaticoni dei sistemisti qua hanno ben pensato di
obbligarmi a disinstallarlo e mettere Sophos.
Risultato: questo virus che ho preso che sembra passare bellamente
qualunque protezione.

Ho appena disinstallato Sophos e reinstallato Nod32 e sto facendo una
scansione, sperando che lui mi riconosca il virus.

Quello che chiedo a voi è di aiutarmi a capire che virus sia e se ho
bisogno di qualche fix specifico per correggerlo, e soprattutto per
capire se posso riavviare (non vorrei avesse cancellato roba di
registro o processi di Windows che mi impedirebbero di farlo
ripartire).

I sintomi sono:

Diversi avvisi di computer infettato e suggerimenti di scaricare
Antivirus a destra e manca.
Un'icona rossa con una croce bianca, sempre lampeggiante, nella
traybar che ogni 30 secondi mi dice "System Alert" e suggerimenti vari
di installare software di protezione.
Popup di windows (2000, non in stile XP come di norma) con
messaggio:

"Windows Security Alert"
"Windows has detected an Internet attack attempt...
Somebody's trying to infect your PC with spyware or harmful viruses.
Run full system scan now to protect your PC from Internet attacks,
hijacking attempts and spyware! Click here to download spyware remover
for total protection"
Finestre di Internet Explorer che si aprono spesso per suggerirmi
ogni volta un antivirus diverso.
Sfondo del desktop cambiato con uno rosso fuoco e un simbolo di
radioattivo nero, con scritto che sono soggetto a rischi, e se clicco
sul desktop mi apre un popup.
Questo l'ho tolto dall'Active Desktop.
Ogni tot tempo mi cambia il focus dell'applicazione corrente e mi
switcha su qualche altra finestra aperta.

Ho fatto una scansione con Spybot Search & Destroy e mi ha rimosso un
bel pò di spyware (mai manifestatisi) ma evidentemente non quello che
mi sta devastando.
A Sophos è passato sotto il naso.
Avevo letto che poteva essere il Worm32.NetSky ma i fix della Symantec
e delle ESET non rilevano niente.
Ora sta scannerizzando con Nod32 ma non ha ancora trovato niente ed è
quasi al 70%.
Sono quindi scettico.

Cosa mi suggerite di fare?

Grazie mille.

PS - Per completare allego anche il log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10.12.54, on 01/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\i.pellegrini\Impostazioni locali\Dati
applicazioni\HumanizedEnso\Enso.exe
E:\Programmi\ClipMagic\clipmagic.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
E:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
E:\Programmi\IE7Pro\MiniDM.exe
C:\DOCUME~1\I4D85~1.PEL\IMPOST~1\Temp\Rar$EX00.125 \procexp.exe
C:\WINDOWS\regedit.exe
C:\DOCUME~1\I4D85~1.PEL\IMPOST~1\Temp\Rar$EX02.047 \HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet
Settings,ProxyServer = proxytd.tdnet.it:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName
= Collegamenti
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - E:
\Programmi\IE7Pro\iepro.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-
C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat
\ActiveX\AcroIEHelper.dll
O2 - BHO: SXG Advisor - {3764F9CC-9524-4609-8CA5-F3673F1B3014} - C:
\WINDOWS\dntpkwonkr.dll
O2 - BHO: Spybot-S&D IE Protection -
{53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\Spybot
\SEARCH~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-
B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:
\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no
file)
O2 - BHO: Windows Live Sign-in Helper -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni
\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-
CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-
CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier
\2.0.301.7164\swg.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-
B511-65413DA137A1} - E:\Programmi\Microsoft\Internet Explorer
Developer Toolbar\IEDevToolbar.dll
O2 - BHO: LastClosedTab - {e05e75e9-a653-42a3-8d05-f2f7e309bdca} -
mscoree.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:
\programmi\google\googletoolbar2.dll
O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} -
mscoree.dll (file missing)
O3 - Toolbar: QT Tab Standard Buttons - {D2BF470E-ED1C-487F-
A666-2BD8835EB6CE} - mscoree.dll (file missing)
O3 - Toolbar: ekxdvft - {6C1A1FCC-2869-4B07-B6F0-7B9F4D7A038C} - C:
\WINDOWS\ekxdvft.dll
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google
Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Programmi\Microsoft Office
\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Thunderbird] "E:\Programmi\Mozilla Thunderbird
\thunderbird.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java
\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Smart Reminder] E:\Programmi\Smart Reminder\Smart
Reminder.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS
\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS
\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "E:\Programmi\ESET\ESET NOD32 Antivirus
\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NodLogin] E:\Programmi\ESET\ESET NOD32 Antivirus
\nodlogin.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HumanizedEnso] C:\Documents and Settings
\i.pellegrini\Impostazioni locali\Dati applicazioni\HumanizedEnso
\Enso.exe --disable-monologue-boxes
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programmi\Spybot\Search &
Destroy\TeaTimer.exe
O4 - Startup: ClipMagic.lnk = E:\Programmi\ClipMagic\clipmagic.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = E:
\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google
Updater\GoogleUpdater.exe
O9 - Extra button: IE7Pro Preferences - {0026439F-
A980-4f18-8C95-4F1CBBF9C1D8} - E:\Programmi\IE7Pro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-
A980-4f18-8C95-4F1CBBF9C1D8} - E:\Programmi\IE7Pro\iepro.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-
A6CC-1D34414EAC0D} - E:\Programmi\Microsoft\Internet Explorer
Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2}
- E:\PROGRA~1\Spybot\SEARCH~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\Spybot
\SEARCH~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX
Advanced) - https://pegaso/PassPA/smsx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)
- http://www.update.microsoft.com/wind...s/en/x86/cl...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class)
- http://www.update.microsoft.com/micr...ols/en/x86/...
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software
XUpload) - http://support.persits.com/xupload/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{225EDEEA-7565-471C-93BB-
C217EF593620}: NameServer = 172.16.1.250
O17 - HKLM\System\CS1\Services\Tcpip\..\{225EDEEA-7565-471C-93BB-
C217EF593620}: NameServer = 172.16.1.250
O17 - HKLM\System\CS2\Services\Tcpip\..\{225EDEEA-7565-471C-93BB-
C217EF593620}: NameServer = 172.16.1.250
O17 - HKLM\System\CS3\Services\Tcpip\..\{225EDEEA-7565-471C-93BB-
C217EF593620}: NameServer = 172.16.1.250
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-
A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:
\PROGRA~2\MSNMES~1\MSGRAP~1.DLL (file missing)
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:
\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:
\PROGRA~2\MSNMES~1\MSGRAP~1.DLL (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:
\PROGRA~2\FILECO~1\Skype\SKYPE4~1.DLL (file missing)
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945}
- C:\PROGRA~3\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - AppInit_DLLs: C:\PROGRA~2\Google\GOOGLE~3\GOEC62~1.DLL
O21 - SSODL: adsoowf - {D07CEA28-1F9C-4B46-B1B3-DACD0CCF57B3} - C:
\WINDOWS\adsoowf.dll
O21 - SSODL: bgrlsmn - {FBB17028-7568-48D3-B600-19F848B34622} - C:
\WINDOWS\bgrlsmn.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - E:
\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - E:\Programmi\ESET\ESET
NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:
\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher
\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi
\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown
owner - C:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn
\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA
Corporation - C:\WINDOWS\system32\nvsvc32.exe

Discussione: Non riesco a identificare/rimuovere un Worm

Strumenti discussione

Ricerca discussione

Visualizza

Visualizzazione discussione

Non riesco a identificare/rimuovere un Worm

Permessi di invio