Problema alquanto strano

[Maxximo88]

Salve a tutti sono un nuovo utente e da quel che vedo qui ci sono molti esperti di virus e compagnia bella perciò credo che siate le persone più adatte per risolvere il mio problema.

Praticamente da ieri sera non posso più connettermi a internet(per postare uso il portatile)e non so per quale motivo non va più neanche il firewall(quello di Windows XP). Inoltre All'avvio di Windows mi compaiono dei messaggi dell'antivirus che non riesce più a controllarmi la posta.
Il mio antivirus(Avast) mi ha segnalato un certo Win32: Trojan-gen (other) sul file lsp.dll(ma non solo) che subito ho spostato nel cestino, però come vi dicevo il problema non si è per niente risolto.

Allora ho fatto diverse scansioni sia in modalità normale che provvisoria eliminando i vari virus ma ancora niente. A questo punto non so che fare Che diavolo succede?????

Cmq ho fatto una scansione con Hijackthis e questo è il log:

Logfile of HijackThis v1.98.2
Scan saved at 23.33.45, on 15/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rsvp.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\802.11 Wireless LAN\WlanMonitor.exe
C:\Documents and Settings\Massimo\Desktop\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - Startup: Configuration & Monitor Utility.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\lsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A1D1593-F174-498D-B856-DB580E84D939}: NameServer = 212.216.172.62,212.216.112.112
O17 - HKLM\System\CCS\Services\Tcpip\..\{43223AD8-39C8-49DD-9E5F-E8AFCFFD89A8}: NameServer = 212.216.172.62,212.216.112.112

In attesa di una vostra risposta vi ringrazio anticipatamente.

[L0L]

Anzitutto ciao,
credo sia necessario come primo passo scaricare l'ultima versione di Hijack. Ci sono possibilità di un virus, o meglio di un trojan.
Andiamo per ordine:
1) Ultima versione di Hijack qui http://www.spywareinfo.com/~merijn/downloads.html.
2) Scaricare questo programma http://www.cexx.org/lspfix.htm che si chiama LSPfix.
3) Scaricare SysClean da qui
4) Scaricare da qui il CCleaner.
5) Utilizza uno spyware come AD-aware e Spybot-S&D
6) Scaricati questo firewall ZoneAlarm e lascia stare quello di Windows, non serve a niente.

Una volta scaricati tutti i programmi, falli partire uno ad uno, fixa (ripara) quello che ti dicono di riparare, elimina ciò che ti dicono di eliminare. Sia ben chiaro, sono tutti GRATUITI!
Rifai il log di Hijack e fai un'analisi gratutita online dal loro sito . Ci sono almeno 3 voci sospette attualmente. Casomai fossero ancora attive le seguenti voci:
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\lsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A1D1593-F174-498D-B856-DB580E84D939}: NameServer = 212.216.172.62,212.216.112.112
O17 - HKLM\System\CCS\Services\Tcpip\..\{43223AD8-39C8-49DD-9E5F-E8AFCFFD89A8}: NameServer = 212.216.172.62,212.216.112.112
prosegui in questo modo:
Disattiva ripristino di sistema, riavvia in modalità provvisoria, metti Hijack in una cartella che non sia nel Desktop e su Temp, fai nuovamente la scansione con i programmi scaricati (eccetto il firewall ovviamente), riavvia. Scansione con Hijack, fai analisi del log nel sito che ti ho detto e vediamo cosa accade.
Ultima cosa, fai anche upgrade dei due spyware che avrai scaricato.
Ci impiegherai una mezz'oretta per fare le dovute scansioni. Fammi sapere, ciao

[thomas_anderson]

Per sicurezza scarica questo:

http://www.f-secure.com/blacklight/

Parti dalla provvisoria e lancia il tool. Osserva l'esito. Se puoi salva uno screenshot e mettilo in rete. Questo per il pericolo rootkit. Altra cosa importante:

non scaricare solo il tool lspfix. scarica il file zippato e leggi prima bene il file di testo con le spiegazioni. (puoi peggiorare le cose se non lo sai usare).

Usa ewido. lo trovi fra i link utili (sempre dalla provvisoria). ciao

[holifay]

Originariamente inviato da L0L
Ci sono almeno 3 voci sospette attualmente. Casomai fossero ancora attive le seguenti voci:
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\lsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A1D1593-F174-498D-B856-DB580E84D939}: NameServer = 212.216.172.62,212.216.112.112
O17 - HKLM\System\CCS\Services\Tcpip\..\{43223AD8-39C8-49DD-9E5F-E8AFCFFD89A8}: NameServer = 212.216.172.62,212.216.112.112

non capisco perchè gli vuoi far cancellare la voce relativa al suo internet provider (TIN)
http://www.dnsstuff.com/tools/whois.ch?ip=212.216.172.6


Maximm88... segui passo passo il link in rilievo:
http://forum.html.it/forum/showthrea...hreadid=811189

[thomas_anderson]

allora c'avevo visto giusto!
peggio la cura del male.

[L0L]

Originariamente inviato da holifay
non capisco perchè gli vuoi far cancellare la voce relativa al suo internet provider (TIN)
http://www.dnsstuff.com/tools/whois.ch?ip=212.216.172.6


Maximm88... segui passo passo il link in rilievo:
http://forum.html.it/forum/showthrea...hreadid=811189

Semplice per chi ci lavora sui pc, è stato mappato. Consigli semplici e risolutivi, i tools consigliati sono tra i migliori tra le applicazioni gratuite.
Non serve a nulla rimandare ad un link chi si è appena iscritto al forum, serve un aiuto concreto.
Perdi tempo Maxim88, usa la cura più semplice per te, lascia stare tali pseudoprofessori.

[amvinfe]

Originariamente inviato da L0L
Semplice per chi ci lavora sui pc, è stato mappato. Consigli semplici e risolutivi, i tools consigliati sono tra i migliori tra le applicazioni gratuite.
Non serve a nulla rimandare ad un link chi si è appena iscritto al forum, serve un aiuto concreto.
Perdi tempo Maxim88, usa la cura più semplice per te, lascia stare tali pseudoprofessori.

pseudo-professori o meno, ritengo la tua risposta quella meno adatta per aiutare una persona.

...mi spiegheresti in parole semplici cosa intendi per "mappato"? E da dove hai tratto tale conclusione?

HiajckThis, ZoneAlarm li può trovare anche qui e proprio all'URL consigliato da holifay, in più può trovare anche Ewido sicuramente meglio attrezzato della utility della TrendMicro contro trojan...sempre che di trojan si tratti.


Per quanto riguarda il Winsock, la libreria Lsp.dll, peraltro non più presente, è collegata ad un malware (ShopAtHomeSelect), nel caso sarebbe utile verificare se in Istallazione Applicazioni è presente questa voce e rimuoverla "ShopatHomeSelect Agent".

Se vuoi aiutare gli altri utenti fallo, ma senza disprezzare l'operato altrui.
Grazie.

[Maxximo88]

Rieccomi, ho fatto tutte le scansione che mi avete detto di fare e ho eliminato tutti i virus trovati(più di 100 ) però tutto ciò non ha risolto il problema. Oltretutto non ho capito come si deve usare lspfix (ho letto la documentazione ma l'inglese proprio non lo reggo)cmq ho rifatto il log di Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 18.05.21, on 19/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\QuickTime\qttask.exe
D:\Programmi\ZoneAlarm\zlclient.exe
C:\Programmi\802.11 Wireless LAN\WlanMonitor.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\rsvp.exe
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programmi\ZoneAlarm\zlclient.exe
O4 - Startup: Configuration & Monitor Utility.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A1D1593-F174-498D-B856-DB580E84D939}: NameServer = 212.216.172.62,212.216.112.112
O17 - HKLM\System\CCS\Services\Tcpip\..\{43223AD8-39C8-49DD-9E5F-E8AFCFFD89A8}: NameServer = 212.216.172.62,212.216.112.112
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ho fatto il controllo nel sito che Lol mi ha indicato ma non mi sembra che ci siano voci sospette....Voi cosa ne pensate?

[tmviet]

Buongiorno a tutti ragazzi, Vi posto anche il mio problema.
Ho win XP home sp2, N.I.S. 2006 , spybot 1.4 ieri mentre viaggiavo in Internet norton mi ha rilevato e bloccato un virus dialer telefonico a cui ho detto no e di fare scansione N.I.S. 2006 come suggerito.
Quando ho finito prima di chiudere il pc volevo fare una scansione completa manuale .... e qui iniziano i problemi nel senso che non me lo permette norton ed anche facendo una scansione programmata (a proposito come si fa a programmare/togliere programmazione scansione ?) mi si blocca il progr. ed addirittura al 3 tentativo ho dovuto spegnere il pc manualmente . Nei registri virus di norton ho trovato un virus dialer al 19 Dicembre credo gia bloccato, poi come ciliegina all'ennesimo tentativo di scansione manuale norton mi ha dato il msg. "errore interno" , sapete spiegarmi gentilmente come risolvere ????
Ciao e grazie in anticipo,

[Maxximo88]

Nessuno può aiutarmi????