Precedente :: Successivo |
Autore |
Messaggio |
AngeloC Comune mortale

Registrato: 18/10/06 13:55 Messaggi: 3
|
Inviato: 19 Ott 2006 11:53 Oggetto: servizio winwiu (malware?) |
|
|
Ciao a tutti, spero che mi potrete aiutare almeno a capire cosa succede al mio PC (sistema operativo XP SP2, aggiornamenti MIcrosoft purtroppo non piu' fatti da circa un anno...) e suggerirmi una soluzione.
Cosa succede: il sistema si avvia e dopo un po' appare la procedura di chiusura forzata causata da un errore: il famoso conto alla rovescia, insomma, che mi ha fatto pensare a Blaster, ma per il quale non ho trovato riscontri con l'antivirus in modalita' provvisoria.
Eliminate le voci di avvio, previo esame, ho cercato nei servizi: mi ritrovo un servizio di nome WinWiu (descrittore "consente driver in modalita' utente", uguale al servizio framework di windows, wfdmgr.exe) connesso ad un utente dal nome improbabile (".\Xmm" qualcosa) , che avvia C.\programmi\file comuni\system\MIE.exe. Il problema dovrebbe essere in questo servizio, che anche come administrator NON RIESCO A MODIFICARE in alcun modo, ne' da services.msc ne' direttamente dalla chiave nel registro di sistema: ho sempre "Accesso negato".
Nella cartella C.\programmi\file comuni\system ho trovato sia mie.exe che altri eseguibili con nomi improbabili come il loro proprietario, che ho prima disabilitato e poi cancellato dal sistema (tra l'altro i file erano colorati in verde, che credo significhi crittografati; in piu', questi file li vedevo in task manager avviati immediatamente prima dell'errore simil-Blaster). Non so come, dico la verita', dopo vari blocchi di autorizzazione ho cancellato tutti i file verdi, ma il problema persiste.
Sono a un passo dalla formattazione, qualcuno mi sa dare una parola di conforto su questo winwiu, che nemmeno google conosce? Grazie a tutti per l'attenzione e la pazienza, avrei voluto essere piu' breve e so di non essere stato esaustivo. Chi vuole , chieda pure precisazioni.
Grazie ancora. Un saluto
Angelo, Roma |
|
Top |
|
 |
FreeSpirit Dio maturo


Registrato: 31/08/05 15:35 Messaggi: 1570 Residenza: Olimpo Informatico
|
Inviato: 19 Ott 2006 12:29 Oggetto: |
|
|
Prova a postare il log fatto con HijackThis, magari riusciamo a darti meglio una mano  |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 19 Ott 2006 12:45 Oggetto: |
|
|
è sempre quel simpaticone del Link Optimizer (ho visto che a nessuno sul forum, a quanto mi risulti, è capitato che il L.O. mostrasse la finestra con il conto alla rovescia.. ma io ho avuto modo di "riparare" un pc che ce l'aveva e si comportava così proprio a causa del L.O.).
Scarica sia il tool della Prevx che il tool della Symantec, falli girare tutti e due e poi posta i loro log (c:\gromozon_removal.log e FixLinkOpt.log).
Se possibile posta poi un log di HijackThis. |
|
Top |
|
 |
AngeloC Comune mortale

Registrato: 18/10/06 13:55 Messaggi: 3
|
Inviato: 19 Ott 2006 12:50 Oggetto: |
|
|
Ottima idea. pero' posso farlo solo stasera: il pc e' quello di casa, e ora (ehm ehm) sto al lavoro ...
Ma tanto il post mica scade, no? :-)
Quello che piu' mi rode e' che tutto sembra essere partito da un dialer, mi sembra rxux1.exe (ho il modem analogico) che, benche' gli avessi NEGATO l'accesso a internet con ZoneAlarm e benche' avessi negato TUTTE le modifiche al registro con SpybotSD, ha fatto quello che voleva: ha aperto il modem e chiamato non so in quale parte dell'universo, e ha fatto il comodo suo ...
Ciao |
|
Top |
|
 |
AngeloC Comune mortale

Registrato: 18/10/06 13:55 Messaggi: 3
|
Inviato: 20 Ott 2006 10:45 Oggetto: |
|
|
Novita' positive, e tutto grazie al forum (e Smjert, naturalmente).
Il tool symantec ha trovato e eliminato 2 files infetti con il linkoptimizer, mentre il fixgrom ha restituito un log vuoto; hijackthis ... scusate, ma non lo so interpretare.
Comunque adesso il sistema funziona senza blocchi, i dati sembrano essere a posto, tranne outlook che non trova msoe.dll e quindi non parte (ma questo forse deriva da un altro pasticcio).
Vi posto i log ottenuti, se vi riscontrate qualcosa di anomalo, oltre un sicuro ingarbugliamento di antivirus nel pc, per favore ditemelo.
Vi chiederei anche di indicarmi un buon sito che descrive il linkoptimizer (ma anche altri virus/malware/trojan/worm ...) e i danni che puo' causare, cosi' so quali eventuali tracce puo' avere lasciato sul pc
Grazie per l'aiuto. Dubito di averne le capacita', ma spero di poterlo ricambiare sul forum. Saluti.
Angelo
Il tool symantec:
-------------------
Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
Failed to acquire SeDebugPrivilege
C:\WINDOWS\rkurx1.dll: (deleted)
C:\WINDOWS\system32\wvaa.dll: (deleted)
Trojan.Linkoptimizer has been successfully removed from your computer!
Here is the report:
The total number of the scanned files: 106572
The number of deleted threat files: 2
The number of threat processes terminated: 0
The number of registry entries fixed: 0
The system requires a reboot but was not rebooted.
To clean up all remnants of the threat from the system it must be rebooted.
-------------------
Hijackthis:
-------------------
Logfile of HijackThis v1.99.1
Scan saved at 22.40.53, on 19/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
L:\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcDyUaazwlbdhdfjQkYqdYNqCeBcL5jZeU+GI1vqNiDljys0KZ8+cqV1PClvK23WK6oehpO8WXuPIG/YlsObwEjcekRmUH/3/xEkPHk1Xax1wjfzloVsGVwpvp3eM1Dro+k
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - BHO' - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2170AE22-BED6-4BD8-8A30-775F233B45C0} - (no file)
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: (no name) - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - (no file)
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programmi\File comuni\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Programmi\Conceptronic\Conceptronic 54Mbps Wireless Utility\WlanMon.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "L:\FixGrom.exe" -scan
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PopMan] C:\Programmi\PopMan\PopMan.exe -minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Controller di WinFax PRO.lnk = C:\Programmi\Symantec\WinFax\wfxctl32.exe
O4 - Global Startup: WinFax Application Port Starter.lnk = C:\WINDOWS\system32\wfxsnt40.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103389014421
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.pcn.minambiente.it/ecwplugins/ncs.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} -
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio di framework di McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE
O23 - Service: WinWiu - Unknown owner - C:\Programmi\File comuni\System\MIE.exe (file missing)
-------------------
gromozon_removal.log e' invece vuoto
Saluti
Angelo, Roma |
|
Top |
|
 |
Smjert Dio maturo


Registrato: 01/04/06 18:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 20 Ott 2006 15:16 Oggetto: |
|
|
Ho paura che il Link Optimizer non sia stato rimosso del tutto, il tool non è riuscito ad acquisire i privilegi di debug.
Quindi:
vai sulla barra di avvio->Start->Impostazioni->Pannello di Controllo->Strumenti di amministrazione (se non lo vedi clicca in alto a sinistra "Passa alla visualizzazione classica")->Criteri di protezione locali.
Ora a sinistra espandi la cartella "Criteri locali" e seleziona "Assegnazione diritti utente", nella lista a destra trova "Debug di programmi" e doppiocliccaci sopra, nella finestra che appare se nello spazio bianco ci sono segnati altri utenti che non sia Administrators cancellali (li selezioni e premi il pulsante rimuovi).
Ora molto probabilemente non avrai Administrators nella lista, perciò premi "Aggiungi utente o gruppo", poi clicca "Tipi di oggetto" e metti la spunta a "Gruppi", dai ok e dove dice "immettere i nomi ecc..." scrivi Administrators dai ok e fai girare di nuovo il tool della Symantec (stavolta dovrebbe riuscire ad acquisire i privilegi di debug) quando ha finito posta il log.
Avvia HijackThis e premi Do a system scan only, spunta queste voci e poi premi Fix Checked:
Citazione: | R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?x=wKX1ILEOi+Vh7AfA98Gm4Me69ZMbubcDyUaazwlbdhdfjQkYqdYNqCeBcL5jZeU+GI1vqNiDljys0KZ8+cqV1PClvK23WK6oehpO8WXuPIG/YlsObwEjcekRmUH/3/xEkPHk1Xax1wjfzloVsGVwpvp3eM1Dro+k
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - BHO' - (no file)
O2 - BHO: (no name) - {2170AE22-BED6-4BD8-8A30-775F233B45C0} - (no file)
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - (no file)
O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O23 - Service: WinWiu - Unknown owner - C:\Programmi\File comuni\System\MIE.exe (file missing)
|
Controlla che questo file non ci sia + C:\Programmi\File comuni\System\MIE.exe
Postami poi un nuovo log di HijackThis.
PS: Tutte le operazioni sono da fare da un account Amministratore |
|
Top |
|
 |
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|