Disinfestazione impossibilitata (avenger non funge)

[Edodo]

Buongiorno, ringrazio in anticipo chiunque leggerà e - spero - proverà ad aiutarmi.

Da due giorni il computer ha preso a rallentare e a disconnettersi : tanto da avere qualcosa come 00-01 all'idle e 99 al system o ad un svchost. Il che, a naso (e a conferma di numerosi 3ad reperiti sul forum, è indice che qualcosa non va.

Ho quindi fatto scan su scan, anche in modalità provvisoria (antivir, la cui guard è sempre attiva, adaware, ewido, stinger, hijack, nod32 e poi non ricordo più) ma non mi ha trovato nulla, se non :

a. un "nokiaheler.exe" che era anche nella key di winlogon (che ho modificato come da istruzioni in alcuni 3ad affinché non sia presente nella suddetta riga ) ma che comunque non riesco a cancellare
b. un "eim.exe" in system32 che, da ricerche sul forum, sembra proprio essere il motivo di rallentamenti e disconnessioni facili. I consigli soliti? Usare avenger e dirgli addio.

..e qui c'è il mio problema. °-° Avenger non mi parte. Non si apre nemmeno per un nanosecondo per poi chiudersi. Non si apre proprio il processo. Fo doppio click, click incrociato, click in avvitamento quartuplo.. nada.

Ho letto che potrebbero essere un problema anche questo di virus, però.. ò.o solitamente, negli altri casi letti sul forum, l'utente aveva problemi anche solo a scaricare (linkoptimizer o qualcosa di simile, se ricordo bene). Io invece posso fare tutte le ricerche su internet che voglio e scaricare avenger anche senza rinominarlo.

°-° Che posso fare?

Allego :

scanlog di Hijack

Logfile of HijackThis v1.99.1
Scan saved at 10.34.56, on 11/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\NetVeda\Safety.Net\ipcsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\NetVeda\Safety.Net\ipcTray.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\ARESCOM\Modem Telindus Arescom ND220\dslmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Edoardo ******\Desktop\Sicurezza\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://studenti.unimi.it/ssgie_ucpd/elettivi.asp
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Executive Language] winxl.exe
O4 - HKLM\..\Run: [SafetyNet] "C:\Programmi\NetVeda\Safety.Net\ipcTray.exe"
O4 - HKLM\..\Run: [SafetyNet_Notifier] "C:\Programmi\NetVeda\Safety.Net\ipcLn.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\RunServices: [Windows Executive Language] winxl.exe
O4 - HKLM\..\RunServices: [Win32] eim.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Executive Language] winxl.exe
O4 - Startup: IAMS-CD a 4 zampe-Gatto.lnk = C:\Documents and Settings\Edoardo ******\IAMS-CD a 4 zampe-Gatto\Control.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/...gameloader.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europ...vex/hcImpl.cab
O16 - DPF: {2885EE05-A26B-11D1-B49B-00C04F98EFE0} (In Fusio, Exen Simulator) - http://www.ageofempires2-mobile.com/.../simulator.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca..._2.3.3.102.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1138482177968
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{985BB20B-ACD2-40E1-A0DC-5BAFC46B1CB8}: NameServer = 85.37.17.42 85.38.28.87
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NetVeda Safety.Net (ipcSvc) - NetVeda LLC - C:\Programmi\NetVeda\Safety.Net\ipcsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Unknown owner - C:\Programmi\Sygate\SPF\smc.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: Microsoft Windows HelpFile (Windows Helpfile) - Unknown owner - C:\WINDOWS\services.exe (file missing)



Gmer l'ho scaricato ma.. ta-dan! Stesso problema di avenger. =.=

[amvinfe]

ciao,
Scarica
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verrà rilasciato in C:\suspectfile il file report.txt.
Vai su www.easy-share.com carica il file e nella tua prossima risposta scrivi l'URL per scaricarlo.

[Edodo]

Ed ecco un altro problema. :berto:

Apro systemscan.exe e mi dice che l'archivio è danneggiato, di riscaricare il file. Lo riscarico e riprovo, idem. Continuo a riscaricarlo ma nada. °-°

[amvinfe]

apri la Task manger
CTRL+ALT+CANC
verifica se è presente nokiaheler.exe (sicuro si chiami così e non nokiahelper.exe ? ), nel caso lo evidenzi e lo termini


apri HJT, fai lo scan metti la spunta sul valori. Chiudi il browser, clicca su Fix checked

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Windows Executive Language] winxl.exe
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\RunServices: [Windows Executive Language] winxl.exe
O4 - HKLM\..\RunServices: [Win32] eim.exe
O4 - HKCU\..\Run: [Windows Executive Language] winxl.exe
O23 - Service: Microsoft Windows HelpFile (Windows Helpfile) - Unknown owner - C:\WINDOWS\services.exe (file missing)


riavvia in modalità provvisoria, cerca ed elimina se presenti
winxl.exe
eim.exe
nokiaheler.exe

ora prova a scaricare nuovamente Systemscan e ad effettuare una nuova scansione.

[Edodo]

No, nokiaheler.exe non è presente nel task. Si vede che l'avevo già tolto tramite msconfig dai run iniziali. ò.o

Ho fatto come mi hai detto tu, quindi sono andato in modalità provvisoria ma :
- eim.exe non c'è °-°
- winxl.exe non c'è °-°
- nokiaheler.exe c'è ma dice che non ho l'autorizzazione per farci qualcosa (loggato come administrator)

--> si, ho abilitato la visione dei file nascosti :P

Sono tornato in modalità normale e.. tutto come prima, non va avenger né systemscan. u_ù

[amvinfe]

per rimuovere il file prova
http://www.bleepingcomputer.com/files/killbox.php

[Edodo]

Il programma parte ma, inserita la path del file, dice che non è possibile cancellarlo.

[Edodo]

..e le cose peggiorano :

mi si apre un processo IEXPLORER.EXE (come quello di internet) senza che si apra una pagina internet ; all'avvio e - una volta chiuso - ogni tot secondi. Chiedendomi anche ovviamente di connettermi. E se nego e mi connetto da me, dopo un po' "prende il sopravvento" e chiude la mia connessione. =_=

Non mi trova nulla tranne ancora quell'exe che non mi si cancella in nessuna maniera.

[amvinfe]

mi scrivi quale valore è presente ora nella chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

inoltre posta un nuovo log di HJT
grazie