Doppio click, non si aprono i programmi

[l'evangelista]

Ciao,
un cliente mi ha portato un pc che dovrebbe avere un bel pò di impicci.
Il doppio click non funziona, quando si clicca su qualsiasi cosa appare per qualche istante il desktop senza icone e il programma (o la cartella) non si apre.
All'avvio di windows appare il messaggio di "memoria virtuale esaurita".
Tra i processi in esecuzione c'è un backWeb-7681197.exe che non dovrebbe essere niente di buono, se lo killo si riapre.
In esecuzione automatica c'era internet.exe (dentro system32) e usbn.exe, sempre dentro system32.
Vedo di postare il log di hjckthis non sarà facile visto che non apre i programmi
Provo un floppy in provvisoria

[l'evangelista]

ecco il log.. grazie ai cari vecchi floppy

Logfile of HijackThis v1.99.0
Scan saved at 11.23.18, on 02/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Documents and Settings\alberto\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.3000.1001\it\msntb.dll
O2 - BHO: (no name) - {CFBE61AC-CE4E-4D80-BE2D-6259C6BB499B} - C:\WINDOWS\System32\lmnpga.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.3000.1001\it\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN. EXE
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmi\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe"
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programmi\File comuni\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Finestra di stato di Canon LBP-800.LNK = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\CAPPSWK .EXE
O4 - Global Startup: DSLMON.lnk = C:\Programmi\Telecom Italia Media\Fast 800-840 Tin.it\dslmon.exe
O4 - Global Startup: GStartup.lnk = C:\Programmi\File comuni\GMT\GMT.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//llnbfeh//qw...::/painter.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O18 - Filter: text/html - {DCFC038B-3FA1-436D-9931-295DB8207041} - C:\WINDOWS\System32\lmnpga.dll
O18 - Filter: text/plain - {DCFC038B-3FA1-436D-9931-295DB8207041} - C:\WINDOWS\System32\lmnpga.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

[amvinfe]

Dalla provvisoria elimina

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about :NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about :NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {CFBE61AC-CE4E-4D80-BE2D-6259C6BB499B} - C:\WINDOWS\System32\lmnpga.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programmi\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programmi\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART questo andrebbe levato, anche se collegato a Kazaa è veicolo di Hijacker
O4 - Global Startup: GStartup.lnk = C:\Programmi\File comuni\GMT\GMT.exe questo va levato, ma SOLO dopo essere intervenuti con AdAware, la rimozione della chiave e della cartella potrebbe creare problemi nei parametri di connessione ad internet. Quindi prima d'eliminare il valore e relativa cartella GMT situata in Programmi, dovrai usare AdAware
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//llnbfeh//q...m::/painter.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O18 - Filter: text/html - {DCFC038B-3FA1-436D-9931-295DB8207041} - C:\WINDOWS\System32\lmnpga.dll
O18 - Filter: text/plain - {DCFC038B-3FA1-436D-9931-295DB8207041} - C:\WINDOWS\System32\lmnpga.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

dalla provvisoria elimina:
C:\Programmi\MyWay \myBar\1.bin\MYBAR.DLL
C:\WINDOWS\System32\lmnpga.dll
C:\Programmi\Common files\SearchUpgrader \SearchUpgrader.exe

Ricordati d'eliminare, SOLO dopo aver usato AdAware,
C:\WINDOWS\System32\P2P Networking \P2P Networking.exe
C:\Programmi\File comuni\GMT \GMT.exe

Elimina il contenuto di TEMP, Temporary internet files e cookies.
Riavvia
Vedi se riesci ad installare AdAware, aggiornalo, fai una scansione dalla provvisoria.

Fai una scasnione online.
Riavvia.

Dimenticavo
per sapere a cosa sono legati i due files di cui parlavi, dovresti vedere se sono presenti in qualche chiave del registro, la cosa importaante non è tanto il nome dell'eseguibile, quanto il valore sotto la colonna "Nome" presente nel registro.
Credo comunque che internet.exe possa tranquillamente essere associato ad una variante del worm Rbot, mentre usbn.exe dovrebbe essere legato ad una variante del trojan/dialer small

[l'evangelista]

Ciao, grazie per la risposta.
nel frattempo ho risolto ma è stato un bagno di sangue, dalle 11 ho finito alle 16
Il problema maggiore non è stato tanto togliere quei problemi ma lavorare nonostante l'antivirus F.Secure che ormai era entrato in conflitto con windows.. e secondo me non è un buon antivirus, segnalava come infetto perfino il log di Hjiackthis per il solo fatto che c'era scritto il nome di qualche infezione
Ho fatto la scansione online con bitdefender e non ha trovato nessun problema
Ho fatto quella con il Norton e ha trovato il virus Netksy
A quel punto ho installato il Norton cosi ho ripulito tutto, il cliente puo lavorare e poi con piu calma tra un paio di settimane si formatta.

[antares11]

senza voler entrare nel merito del caso specifico del cliente posso solo dire che considero F-Secure uno dei migliori antivirus e lo adopero sempre online preferendolo ad altri, magari altrettanto buoni
uno dei suoi 3 motori di scansione è di Kaspersky che è ritenuto essere nel complesso il miglior sw antivirus oggi disponibile

ciò non toglie che anche i migliori antivirus (come anche antispyware, ecc...) non siano esenti da alcuni specifici problemi: Kaspersky stesso li ha e sono elencati in una lista che verrà rimediata nella prossima versione, ora in beta test

va da sè che se sono ai primissimi posti nelle classifiche (non addomesticate) qualche motivo ci sarà: talvolta succede che vengano rilevati casi marginali come l'individuazione di HJT oppure qualche falso positivo (in antispyware, vedi Giant a.s.)
è un piccolo scotto da pagare per avere cmq un sw che lavora seriamente e cerca e trova dove altri non arrivano

quel che mi meraviglia è che con un antivirus F-Secure aggiornato possa essere ridotto in quelle condizioni da non rilevare bene: mah..... mi sorge più di qualche dubbio: sia che la scansione online con F-Secure fosse in modalità normale o provvisoria in rete

dopotutto quel cliente come era messo in quanto a sicurezza?

io un F-Secure me lo terrei tranquillamente e non lo cambierei mai con un nav, anche se attualmente uso questo, per altri motivi

[l'evangelista]

guarda, detesto norton (o meglio lo apprezzo perchè il trittico norton+win XP+ zone allarm guardacaso mi porta un pò di clienti ) ma per come sono andate le cose in questo caso non posso dir bene di F-Secure.
Il discorso parte da lontano, magari quello è un "antivirus" e quindi dialer e spyware li lascia passare.. ma se WindowsXP è cosi bacato da permettere ad un dialer o spyware di bloccare perfino il doppio click (!!!) cosa gli dico ad un cliente? Un cliente è un notaio, un commercialista, un imprenditore, un avvocato, un semplice appassionato.. gente che pensa che una volta comprato un AV e aggiornato sta a posto. Cosi come io penso (avo..) che una volta affidata la contabilità ad un commercialista ero immune da problemi fiscali.. Poi vai a spiegare ad una persona che lavora 8-10 ore al giorno che il pc non funziona per colpa di un qualcosa che sfrutta i bachi del sistema operativo..
fatto sta che con F.Secure è stato un bagno di sangue, 10 avvisi di virus al minuto.. e cosa peggiore, disabilitati i servizi di Fsecure non funzionava piu la connessione internet! eh no qui è davvero troppo!