Worm o virus che attacca i drive in system 32

[cobler]

....ho uno strano comportamento del pc.....prima ho perso i drive del dvd e del masterizzatore, poi quelli della scheda di rete...

ho ristabilito il dvd e masterizzatore, ma non riesco a ricaricare i drive della scheda di rete
il virus o worm mi impedisce di aggiornare i drive della scheda di rete (funzionante...l'ho provata su una macchina diversa e funziona)...non riesco a capire cosa può aver modificato in modo tale da impedirlo...forse qualcosa nel registro di configurazione...

...dimenticavo in gestione pereiferica oltre alla scheda di rete risultano inutilizzabili
Miniport Wan PPPOE
Wan Miniport IP
Wan Miniport L2tp
Wan Miniport PPTP

Posto il file log di Hijckthis ........

Un anticipato grazie

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12.14.31, on 08/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\WINDOWS\System32\mgabg.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
C:\Programmi\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
C:\Programmi\ahead\InCD\InCD.exe
C:\Programmi\Eset\nod32kui.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Iomega\AutoDisk\AD2KClient.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Eset\nod32.exe
C:\Programmi\virus\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programmi\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programmi\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programmi\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti in PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti link selezionati in PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti selezione a PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...l/SymAData.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programmi\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\ahead\InCD\InCDsrv.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Mgc78xntckua - Matrox Graphics Inc. - (no file)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
--
End of file - 7992 bytes

[hell's bells]

Ho dato uno sguardo al log ma non vedo nulla di strano, vedo un servizio inusuale e vorrei sapere se hai una scheda video matrox?

In ogni caso come operazione preliminare fai una scansione con questo programma

Per scaricare Malwarebytes Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) elimina le ventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum

per postare il log segui questa scaletta

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]

Poi vorrei capire, tu provi ad aggiornare il driver della scheda di rete da gestione periferiche e cosa succede? messaggi di errore o altro? se ti compaiono messaggi sarebbe opportuno avere i codici di errore,inoltre sarebbe opportuno che verificassi da bios se la scheda di rete viene rilevata e se è attiva .

Fatta la scansione e verificate queste prime cose vedremo come procedere e capiremo se è un problema virus o hardware.

In ultimo hai il sistema molto vulnerabile con il sp1 di xp sarebbe molto opportuno installare il sp2 e poi il sp3.

[cobler]

...ti ringrazio per la risposta
non è un problema hardware....sono già state fatte prove con altre schede....si tratta di un worm (purtroppo non so il nome) riscrive diversi drive (.sys) in system 32 e impedisce al sistema di rilevare e aggiornare i drive per cd/dvd e scheda di rete ed usare la rete ( nod 32lo identifica come variante di win32/Nulprot A worm)



Purtroppo non vedendo la scheda di rete non posso più connettermi e usare antivirus online su quella macchina....da ricerche con questa macchina da cui scrivo non riesco a trovare indicazioni precise

Ps. ho una matrox

[hell's bells]

Allora, da un pc connesso a internet scaricati malewarebytes e l'aggiornamento, l'aggiornamento lo trovi in questa pagina http://www.malwarebytes.org/mbam.php , al fondo sotto la dicitura "Latest Database" poi sarebbe opportuno ti mettessi programma e aggiornamento su un cd, evitiamo di usare pen drive, installi il programma lo aggiorni e fai la scansione, vediamo cosa rileva, altrimenti passiamo ad un altro tipo di scansione.


Ultimo post: ho controllato il tuo cliente rilevato da nod, i sintomi sono esatti, si occupa di sporcare i vari file sys utilizzati dai driver, premesso che ti è arrivato sicuramente per e-mail, il 90% degli utenti infettati l'hanno preso da quella fonte.

Ora cercami su quel pc questo file c:\windows\bck.dat se lo trovi per ora non toccarlo.

Poi visto che nod non te lo rimuove, vai sul sito di kaspersky http://www.kaspersky.com/it/ e scarica la versione di prova dell'antivirus, poi qui trovi gli aggiornamenti http://www.kaspersky.com/it/avupdates?chapter=146669701 scarica l'aggiornamento completo "cumul.zip" , ti salvi tutto su cd, lo installi lo aggiorni e fai una scansione, vediamo se lo rimuove. Poi posta i risultati della scansione, in ogni caso non provare a connetterti finchè non ti viene detto e controlla le tue mail, se hai qualche mail sospetta eliminala subito.

Nota bene: prima della scansione da start>esegui digita "regedit", ti si aprirà l'editor del registro di windows, seleziona "esporta", dai un nome al file e salvalo.

Nota bene: con kaspersky se viene rilevato qualcosa mettilo in quarantena ma non eliminare nulla

[cobler]

Ti ringrazio per la pronta risposta.....proverò con i due software......ci vorrà un po' per la scansione....già la macchina è vecchia...in modalità provvisoria è poi una vera lumaca.....


spero che la prossima sia una risposta positiva ....


grazie ancora

[hell's bells]

Ma con la macchina infetta non riesci ad avviare in modalità normale?

[cobler]

ps......file bck.dat non trovato......fonte virus...e-mail...nod l'ha rilevato subito. ma evidentemente non è riuscito a bloccarlo

[cobler]

...problemino kaspersky è solo per windows xp sp2...e io ho la xp sp1 e non posso aggiornare a sp2 perchè su una macchina gemella (ora defunta) non ha funzionato,,,, ( troppo vecchia!!) .....suggerimenti!!!!

[hell's bells]

Prova se malewarebytes funziona e speriamo bene.

[cobler]

...fatta una scansione veloce.....niente proverò poi eventualmente una completa...ma non servirà......se solo riuscissi a sapere il nome di questo maledetto virus..forse esiste un toll di rimozione specifico

.....ho visto che su google se si mette un nome di virus o le sue caratteristichenon si ottiene quasi nulla...