strano virus o controllo remoto del mio pc

[Raven2000]

ciao a tutti

ieri all'improvviso mi si è spento il portatile chiudendo tutte le applicazioni e così ho dovuto riavviare..purtroppo non era + tutto normale ma avevo un po di stranissimi programmi exe nel task manager che sono tsax1.exe seachecker.exe e maxtordriver.exe ma la cosa + strana è che non potevo e non posso più chiudere programmi che fino a 2 giorni fa chiudevo senza problemi terminandoli dal task manager wdfmgr.exe,alg.exe,nvsvc32.exe.Un'altra cosa anomala è che in documents and setting oltre al mio account si è creato anche un nuovo account con nome del folder "lcm" che sembrerebbe essere un nuovo utente ma non è mai stato fatto da me.Prima di postare qui ho ovviamnete useto circa 10 antivirus aggiornati in mod provvisoria e con l'autoripristino disattivato ma non trova nulla.Così ho aperto msconfig e bloccato tsax1.exe dopo ho cercato tutti i valori nel regedit e deletato tutto dopo ho usato Hijacthis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\wind ows\seagatechecker.exe","c:\windows\maxtordriver.e xe",
O2 - BHO: Class - {AE727F57-3C93-1702-2111-E22713A2B3E6} - C:\WINDOWS\tplfi1.dll (file missing)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{96526329-006A-4CF5-A552-E5E5A23D3BAF}: NameServer = 85.37.17.16 85.38.28.68
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




ok ho fixato la voce in rosso e un po di altra merda che avevo li sopra dopo sono andato nel registro e ho cancellato le voci su seachecker.exe e maxtordriver.exe poi sono andato in C:\WINDOWS\maxtordriver e C:\WINDOWS\seagatechecker provando a cancellarli ma non posso farlo avendo questo errore "impossibile eliminare xxx accesso negato,controllare che il disco non sia etc etc" ok non li posso deletare da li o almeno non so come fare non posso più chiudere molti processi di sistema perchè ottengo accesso negato(quando fino a 2 giorni fa non avevo problemi)per alg.exe ho chiuso il processo disabilitando il firewall di xp in servizi e con msconfig ma per il resto nulla...ancora ho wdfmrg.exe nvsvc.exe


il nuovo Hijacthis log


ogfile of HijackThis v1.99.1
Scan saved at 14.07.37, on 02/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\jotaro\Desktop\mpc2kxp6484\bleach new\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {AE727F57-3C93-1702-2111-E22713A2B3E6} - C:\WINDOWS\tplfi1.dll (file missing)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O17 - HKLM\System\CCS\Services\Tcpip\..\{96526329-006A-4CF5-A552-E5E5A23D3BAF}: NameServer = 85.37.17.16 85.38.28.68
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



spero che qualcuno mi può aiutare



ok scusate se riapro un altro topic ma l'altro aveva un titolo sbagliato e forse per questo nessuno lo ha letto e io ho bisogno di aiuto!! T___T

ok andando a guardare nei privilegi di administrator ci sta questo lcm(account che però non è presente nella lista degli account fatti da me) che mi nega molti accessi e funzioni di modifica di debug forse anche per questo non riesco a chiudere i programmi di sistema nel task manager e sempre questo lcm è unico con i privilegi per "creazione oggetti token"...vorrei veramente che qualcuno mi aiutasse...

[holifay]

Non ho caoito se sei riuscito a cancellare quei file. Prova a cancellarli insieme al reboot con Killbox. Scarica killbox e avvialo. Clicca su Processes nel menù in alto a destra. Seleziona tra i processi in esecuzione i file maxtordriver.exe e seagatechecker.exe e terminali. Poi clicca su Delete on reboot, poi su All files. Il pulsante diventerà verde lampeggiante.

A quel punto nel campo [i]Full path of file to delete[/b] incolla il percorso del primo file e premi invio, poi del secondo e premi invio. Dopo che li hai inseriti entrambi clicca sul pulsante rosso con la X bianca.

Eliminati quelli, occupati del trojan gromozon. Fai girare i tool di questo link. Se uno non va, prova tutti gli altri. http://forum.html.it/forum/showthrea...readid=1046884

[Raven2000]

allora


con secpol.msc ho trovato questo account lcm in molte parti tipo il debug di programmi...lo ho deletato e ho messo administrators e ora posso chiudere programmi dal task manager..

i 2 programmi maxtordriver.exe e seagatechecker.exe non riesco a cancellarli da C:/window mi da ancora accesso negato ma non sono più nei processi quindi almeno credo che non daranno problemi..


ora non riesco a aprire molti exe o meglio posso farlo con alcuni e con alcuni no ad esempio non posso usare i 2 programmi del gromozon facendo doppio click anche in mod provvisoria non succede nulla non succede nulla anche con virit lite eXplorer l'antivirus forse anche qui qualcosa nei privileggi di administrator ma non so che devo toccare.quindi chiedo ancora aiuto ..

[holifay]

hai provato a rinominare i due tool con nomi di fantasia?

Se non riesci ancora, scarica systemscan, avvialo, premi 5 e poi attendi il log. Mettilo su www.mytempdir.com e posta qui il link

[Raven2000]

hehe si ho rinominato dopo aver scritto il precedente post e ha funzionato be col primo

C:\WINDOWS\tplfi1.dll is infected with Adware LinkOptimizer
Scanning Temporary files...
Trojan.Gromozon Removed!


ma ho un ultimo problema ancora molti programmi non stanno funzionando bene principalemente ventrilo e giochi online cioè sembrano avere problemi..ora vedo anche col l'altro e posterò se va tutto bene

grazie dell'aiuto cmq

[Raven2000]

ok risolto quasi tutto adesso vorrei solo capire perchè non riesco a cancellare questi(ma tanto i nomi si generano random mi sa) seagatechecker e maxtordriver neanche killbox ha effetto neanche cancellandoli al boot.....poi vorrei capire anche perchè l'utente random che si genera in documents and settings(il folder) anche dopo che è deletato si rigenera al boot....credo che ancora non ho eliminato tutte le sign del virus quindi vorrei un aiuto ancora.

[holifay]

posta come ti ho detto prima il log di systemscan

[Raven2000]

ok questo è il link con il report

http://www.mytempdir.com/1035266

[holifay]

Scarica The Avenger ed estrai l´eseguibile sul desktop.

Scarica sul desktop questo file script: http://www.mytempdir.com/1035415
Apri il file script, seleziona il contenuto con il mouse e premi CTRL+C per copiarlo negli appunti.

avvia The Avenger e seleziona Input Script Manually
- clicca sulla icona con la lente di ingrandimento
- si aprirà una nuova finestra con scritto View/edit script
- incolla quanto copiato sopra premendo Ctrl+V. Controlla di incollare tutte le righe
- clicca Done
- clicca l´icona con il semaforo con la luce verde per avviare lo script
- rispondi Yes due volte

se il PC non si riavvia da solo, riavvialo manualmente. Al riavvio, posta il log di Avenger (avenger.txt) e un log di HijackThis

[Raven2000]

ottengo un errore nello script

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCR\CLSID\{AE727F57-3C93-1702-2111-E22713A2B3E6}


e prima di riavviare l'antivirus mi segnala avenger come trojan horse