spaventoso: non mi avvia + gli .exe

[yuri refolo]

sarò breve perchè ho sonno e sono un po' in panico.

installo l'antivirus clamwin (boia alla volta che mi è venuto in mente);
noto malfunzionamenti;
faccio scansione online con pccilin;
mi trova 13 virus;
controllo uno per uno, sono effettivamente virus;
li cancello (coglione, lo so);
al riavvio non mi parte più nessun exe.

faccio lo scandisk, niente da fare.

posso avviare solo i programmi associati ai files, cliccando direttamente su di essi... deve essere saltato un qualcosa relativo all'indicizzazione, o che ne so.

uso windows2000 sp4, perfettamente patchato.

ho una quantità spropositata di dati importanti: come posso fare a risolvere il problema? non posso permettermi di formattare: chiedo disperatamente aiuto...

[amvinfe]

vai a sapere che cosa hai eliminato. Posso solo consigliarti, per cercare di capire un po' meglio la situazione sempre che si riesca, di scaricarti HijackThis e metterlo all'interno di una nuova cartella. Il programma lo trovi in Rilievo -link utili-
Fai uno Scan, salva il log e postalo qui, vediamo se ci sono dettagli che possano aiutare.

[yuri refolo]

Logfile of HijackThis v1.98.0
Scan saved at 0.44.35, on 29/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Documents and Settings\pc\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft driver update] C:\WINNT\system32\Mshome.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.ex e
O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
O4 - HKLM\..\Run: [NTP Server] C:\WINNT\SYSTEM32\cccds.exe
O4 - HKLM\..\Run: [SMT] C:\WINNT\SYSTEM32\FXP.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Programmi\Jetico\BCWipe\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [ClamWin] C:\Programmi\ClamWin\bin\ClamTray.exe --logon
O4 - HKLM\..\Run: [Microsoft Internet System] svchosts.exe
O4 - HKLM\..\Run: [sl4 rules] rbot32.exe
O4 - HKLM\..\Run: [Configuration] ntsys32.exe
O4 - HKLM\..\Run: [msstartupsvc] C:\winnt\system32\mssecuresvc.exe
O4 - HKLM\..\Run: [Windows Update Installation] SPOOLSVC.exe
O4 - HKLM\..\Run: [winlog] windowxs.exe
O4 - HKLM\..\RunServices: [Microsoft Internet System] svchosts.exe
O4 - HKLM\..\RunServices: [sl4 rules] rbot32.exe
O4 - HKLM\..\RunServices: [Configuration] ntsys32.exe
O4 - HKLM\..\RunServices: [Windows Update Installation] SPOOLSVC.exe
O4 - HKCU\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E441478-DEAB-432C-9743-4F04943015B5}: NameServer = 80.17.212.208 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E441478-DEAB-432C-9743-4F04943015B5}: NameServer = 80.17.212.208 151.99.125.1

p.s.: posso eseguire i file cliccando shift >> destro >> "esegui come"... già è qualcosa...

[yuri refolo]

ti riporto anche i risultati della scansione che ho fatto or ora con AVPE :

Memory test OK
Master boot record of hard disk HD0 OK


C:\WINNT\system32
GT.exe
[DETECTION] Contains signature of the worm Worm/Sdbot.RH
WAS DELETED!
ldrmsvbvm06.dll
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/OptixPro.13 Backdoor server programs
WAS DELETED!
msvbvm06.dll
[DETECTION] Contains a signature of the (dangerous) backdoor program BDS/OptixPro.13 Backdoor server programs
WAS DELETED!
C:\WINNT\system32\config
default
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SAM
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
SECURITY
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
software
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
system
Access denied! Error during file opening!
Error code: 0x000D
WARNING! Access error/file locked!
C:\WINNT\Temp
r.bat
[DETECTION] Contains signature of the worm Worm/Sdbot.39936.B
WAS DELETED!

[amvinfe]

il registro è pieno di chiavi riconducibili a trojan e worm, questa chiave è sicuramente riconducibile od a rbot/sdbot od a agobot
O4 - HKLM\..\Run: [Microsoft Internet System] svchosts.exe
fai una scansione online eliminando tutto quello che viene trovato
http://support.f-secure.com/enu/home/ols.shtml

prima però controlla questi files, se ancora presenti , a questo indirizzo
http://www.kaspersky.com/scanforvirus

C:\WINNT\SYSTEM32\FXP.exe ==>l'eseguile è riconducibile ad un trojan, ma dovrebbe essere nella WinDir

C:\WINNT\system32\Mshome.exe

rbot32.exe

ntsys32.exe

SPOOLSVC.exe ===> randex o sdbot

fammi sapere il responso

[yuri refolo]

molti sono virus... ma porca boia... ho avuto il norton fino venti secondi fa: ho deciso di installare il clamwin e mi sono trovato con 'sto casino; ho installato l'avp e me ne ha tolti alcuni (altri no, segnalati da kaspersky); ho fatto la scansione online con pccillin e me ne ha tolti anche lui solo alcuni... che faccio? mi sparo?

p.s.: mirabile dictu, per ora sono riuscito a risolvere il problema dell'avvio degli exe, ora funziona correttamente (almeno so che non è stato cancellato alcun file importante)...

[yuri refolo]

ah, dimenticavo: ho scansionato il tutto anche con spybot, che mi ha tolto il fatidico problema di cui sopra. mi manca ad aware, ora sta facendo la scansione online all'indirizzo che mi hai segnalato... nel frattempo, che av mi consigli, dato che tutti quelli che ho provato sono pacchi?

p.s.: il bello è che uso SOLO mozilla ed in outlook express ho disabilitato allegati ed anteprima; uso kerio come firewall ed evito p2p poco sicuri (uso limewire, ad esempio, non imesh o simili); faccio scandisk e defrag frequenti ed utilizzo adaware e spybot... che dici, spengo il pc e mi dedico alla pittura?

[amvinfe]

Originariamente inviato da yuri refolo
che dici, spengo il pc e mi dedico alla pittura?

Kaspersky è ottimo, ha aggiornamenti molto frequenti anche 3/4 al giorno, non è eccessivamente pesante, forse un po' complicato all'inizio.

[yuri refolo]

ha trovato 90, dico 90 files infetti.

il prossimo che mi dice che clamwin è un buon av lo strangolo! non ho mai avuto problemi di questo tipo con il pc!

anche ora continua a trovare backdoors e trojans, kerio or ora mi ha avvisato che la stampante vuole accedere alla rete... mavaff...

un backup lo sono riuscito a fare, se le divinità non mi sono avverse provo a finire il lavoro che devo consegnare per la prox settimana poi piallo tutto.

ma guarda te che casino.

[Delmak_O]

@yuri refolo
forse ci siamo letti nel pensiero in questi giorni, al termine dell'abbonamento con il Norton Antivirus, per il quale non posso veramente lamentarmi, ho deciso di risparmiare un po' di soldini e di cercare un av gratuito, giusto per cercare alternative interessanti...vediamo un po' 'sto Clamwin di cui in fondo pochi parlano...allora: continuo messaggio d'errore nel sistem tray, icone immobili che non rispondono ad alcun clic del mouse, connessioni impazzite centuplicate...che dire? pensavo ad una incompatibilità con il Norton disinstallato (come sai non si disinstalla completamente), ad una incompatibilità con xp (ma tu usi 2000...), insomma la massima solidarietà...non ti dirò l'av gratuito che sto provando ora, giusto per non iniziare il solito dibattito sui migliori av etc etc...comunque tieni duro e segui i consigli del buon Amvinfe...