problema pendrive/msw0vks.exe

[lupo89]

ciao,
non riesco ad aprire nessuna pendrive, allego log di hjthis ma temo che il problema possa ripresentarsi; ho l'antivirus AVG 9.0 che non ha rilevato il virus, c'è una soluzione definitiva dato che uso le pen drive su diversi pc e quindi posso riprendermi il virus?
grazie


Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 12.33.03, on 23/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\AVG\AVG9\avgchsvx.exe
C:\Programmi\AVG\AVG9\avgrsx.exe
C:\Programmi\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVG\AVG9\avgwdsvc.exe
C:\WINDOWS\system32\SupportAppXL\onda_mon.exe
C:\VEXPLite\viritsvc.exe
C:\Programmi\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\VEXPLite\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG9\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingl eInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: pÝ -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG9\avgwdsvc.exe
O23 - Service: ONDA Autorun CDROM Monitor - Unknown owner - C:\WINDOWS\system32\SupportAppXL\onda_mon.exe
O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe

--
End of file - 5226 bytes

[darksoullight88]

il log è pulito.
hai provato a fare la scansione delle pen prima di aprirle?

[lupo89]

dalla scansione nessun file sospetto, ho provato sia con AVG che con VirIT.

[massimo77mr]

Ciao lupo89 sono un iscritto ero interessato all'argomento e volevo aiutarti per caso hai risolto?

[lupo89]

...direi proprio di no...ogni suggerimento è ben gradito

[Nobody33]

Salve Lupo

Da quando hai questo problema?
Da quando hai avuto qualche codice nocivo?
Ti si presentava anche prima di tanto in tanto questo problema?
Riesci ad aprire la pendrive ma non ti visualizza il contenuto?
Quando cerchi di aprire un pendrive, ti dà qualche messaggio?
ecc.

Se cerchi di descrivere la situazione meglio (il + preciso possibile), possiamo forse individuare il problema.

Saluti

[menatwork]

scusa solo una domanda

questa riga da hijackthis l'hai copiata male o e' cosi'?

O16 - DPF: pÝ -

apri hijackthis e controlla, semmai fixala, sembra niente di buono

prova anche a reinstallare i driver delle porte usb

[Nobody33]

In effetti quella voce è strana e se non sai l'indirizzo da dove te la sei scaricato, conviene fixarlo.
Mi spiego: hijackthis mette sotto la voce "016" vari tipi di file scaricati da internet del tipo "ActiveX" e "Javascript" cosi come ad esempio sotto la voce "012" tutti i IE plugins e cosi via .
L'obiettivo legittimo di oggetti ActiveX e simili è quello di permettere ai creatori di siti web di incorporare piccoli programmi nei loro siti che interagiscono con un browser. Ma a causa della sua natura, ActiveX è una piattaforma molto buona per l'installazione di spyware, adware dialer, dirottatorie varie. Alcuni di questi plugin's si possono cancellare senza pericolo mentre altri vanno lasciati perché importanti
Cmq non penso che abbia a che fare con il problema fondamentale, ovvero le porte usb; del perché, vedesi la spiegazione sopra.

Saluti

[menatwork]

hai ragione

forse questo thread potrebbe essere di aiuto

[massimo77mr]

I consigli che ti hanno suggeirto fino adesso sono giusti devi controllare che nelle unitàc:\ d:\ f:\ ecc.. non ci siano presenti dei virus che ti bloccano l'apertura per visualizzarli devi impostare in "opzioni cartella" poi su visualizza spunta la casella "visualizza file nascosti" e "non nascondere file protetti di sistema" i virus sono molti il più conosciuto è l'autorun.inf se non li sai individuare perchè non li conosci scaricati quella tool di rimozione che ti hanno segnalato nel link sul forum gli antivirus normali che usiamo di solito non levano quel tipo di minacce e eliminarli buttandoli nel cestino non servirebbe a niente perchè sono autorigeneranti e ritornerebbero devi usare quel tipo di tool e poi scaricati un antivirus per le pen drive che andrai ad usare insieme ad avg tipo il "ninja".Sono stato chiaro?Hai risolto?...........