Virus o cosa?

[Zamba]

Ave a tutti.

Premetto che di computer so veramente poco quindi elenco i fatti e le mie azioni punto x punto .

1° Problema : usando il pc principalmente per giocare,ho notato che 3/4 dei miei giochi non partivano piu segnalando tutti un errore. Stupidamente (mea culpa) non ho segnato l errore e non ho fatto altro che reinstallarli tutti.Risultato : i giorni pari vanno, i dispari non si sa (nel senso che è completamente casuale!!!)


2°Problema : Explorer a volte si rifiuta di collegarmi ad alcuni siti all interno dei miei preferiti.


3°Problema : a volte dopo aver avviato il PC,quest'ultimo si "pianta" appena entrati e "lavora" x non so quanto tempo prima di scantarsi.

4°Problema : a volte escono degli errori di Explorer senza che io faccia nulla!


SOLUZIONI APPORTATE :

Dato che ho fatto un incidente in moto, ho avuto parecchio tempo x dedicarmi alle seguenti soluzioni :

1) ho seguito alla lettera TUTTI i procedimenti riportati nella discussione "rimozione malware" fino al punto 3 (quello prima di HJT x interdeci).

2)ho scaricato anche "Solo Antivirus" e ho usato pure quello .

RISULTATI RISCONTRATI :

a parte trovare un paio di trojan , i problemi rimango in tutto e per tutto.Sono combattuto se (a questo punto) sia o meno un problema di malware.

Come da copione,posto il mio Log di HJT.

Logfile of HijackThis v1.99.1
Scan saved at 19.41.00, on 25/07/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\msiexec.exe
C:\Documents and Settings\davide\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AHQInit] C:\Programmi\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programmi\File comuni\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [funk] funk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/30cde0e1...p/RdxIE601.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E5A7B32-6DFD-4A48-8754-CF30661B0BA3}: NameServer = 62.94.0.1,62.94.0.2
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe (file missing)
O23 - Service: WinNed - Unknown owner - C:\Programmi\File comuni\System\YRF.exe


NOTA :

_ho installato anche Virit come antivirus e tentando di disinstallarlo non ci sono riuscito perkè qualcosa era cambiato!! (ergo : mi è venuto fuori il triste "Ricerca file ..."sfoglia").Sottolineo che è una versione Trial di un mese.

_Questo computer è in lan e HJT ho dovuto attivarlo con la lan attiva perkè non risultava piu in basso a dx (dove c'è l orologio x intendercI)e quindi non sapevo come staccarla!


THX ALL

[BilloKenobi]

cominciamo

azione
1) sposta hijackthis in una cartella propria. così potremo sistemare eventuali errori se facciamo casini
2) anche se dici di avere antivirus, sul tuo log non risulta nè quello nè nessun firewall. inoltre il service pack e l'1. aggiorna alla 2 con windowsupdate dopo aver sistemato tutto
3) fixiamo


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm (se e solo se non sei mai intervenuto su questa voce di tua mano. se non ci hai mai lavorato, probabilmente è stata "ritoccata" da un malware)
R3 - Default URLSearchHook is missing

O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O4 - HKLM\..\Run: [funk] funk.exe

e credo anche
O23 - Service: WinNed - Unknown owner - C:\Programmi\File comuni\System\YRF.exe, anche se non ne sono sicurissimo. :master: il file yrf.exe qualcuno lo dà come virus, ma non sotto un O23. per fare la prova del nove, cercalo e rinomina da .exe a .old. se qualcosa smette di funzionare, ripristina la vecchia estensione, se no cancella la voce

[Zamba]

ok rispondo


1) pardon fatto



2)O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
dovrebbe essere questo qui!



3)fixato . l unica cosa è che non trovo il file YRF.exe con "ricerca". come lo faccio a trovare x modificarlo?


nuovo log :
Logfile of HijackThis v1.99.1
Scan saved at 11.19.16, on 26/07/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\ctfmon.exe
C:\Documents and Settings\davide\Desktop\h\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AHQInit] C:\Programmi\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programmi\File comuni\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/30cde0e1...p/RdxIE601.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E5A7B32-6DFD-4A48-8754-CF30661B0BA3}: NameServer = 62.94.0.1,62.94.0.2
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe (file missing)
O23 - Service: WinNed - Unknown owner - C:\Programmi\File comuni\System\ZhWRF.exe



come siamo messi dottore ?

[BilloKenobi]

scusami, per quanto riguarda l'antivirus ok.
il log è a posto, ma il file che nn trovi probabilmente nn lo trovi perchè ha cambiato nome (guarda le ultime voci di entrambi i log. sono uguali, tranne che per il fatto che ha cambiato nome. quindi prova così...

riavvia in provvisoria
fai uno scan di hijackthis
se trovi una voce simile a questa
O23 - Service: WinNed - Unknown owner - C:\Programmi\File comuni\System\ZhWRF.exe con il nome in rosso uguale o diverso, prima cerca il corrispondente file in "C:\Programmi\File comuni\System\" e lo cancelli (per ora solo nel cestino) sia lì sia su hijackthis
riattivi in normale e poi fai un altro scan di hijack e lo posti

comunque va meglio il pc?

[Zamba]

k lo farò.


Mah, guarda x il pc ti saprò dire a breve , ora è un po da rodare.


la cosa che mi preoccupava di piu era questa perdita di funzionalita di molti programmi che avevo da un giorno all altro...ma è dato da ciò che abbiamo fixato?

[BilloKenobi]

qualcosa abbiamo risolto di sicuro, soprattutto, credo, questo

2°Problema : Explorer a volte si rifiuta di collegarmi ad alcuni siti all interno dei miei preferiti.
4°Problema : a volte escono degli errori di Explorer senza che io faccia nulla!

staremo a vedre. cmq abbiamo fatto pulizia

[Zamba]

ehm..domanda stupida: come riavvio in modalità prov?

[BilloKenobi]

premi F8 prima della schermata di windows durante l'avvio del computer. ti compare un menù dove puoi selezionare la modalità provvisoria