Olimpo Informatico

[lalalallala_la]

L'altro giorno appena acceso il PC (SO winXP sp2) ho notato che venivano inviati e ricevuti dei pacchetti senza aver avviato nessuna applicazione, all'inizio pensavo che stesse scaricando un aggiornamento automatico, ho controllato, ma nulla, nessun agg automatico. Ho eseguito wireshark (uno sniffer) e ho notato che venivano inviate un sacco di richieste DNS di risoluzione di indirizzi. In particolare per i seguenti indirizzi: comcast.net, hotmail.com, korea.com, poi ho notato che cercava di instaurare una connessione TCP protocollo SMTP verso vari server (probabilmente voleva mandare email).
Dopo ha fatto altre richieste DNS per i seguenti domini: neglusser.com, portpalm.com, no-domain.org, fpfig.com, quicksender.net, pressworld.info, bedoneroom.com, lemonicity.com, allocvita.com, local-domains.info. E ha cercato di connettersi tramite TCP protocollo HTTP (è riuscito solo per qualche pacchetto). Ho cercato di vedere a quale applicazione erano associate le porte (riga di comando: netstat -b) e all'inizio sembravano quelle assegnate a firefox, allora ho reinstallato firefox, ma nulla il problema persiste. Ora non riesco più ad individuare quale processo manda i pacchetti sospetti, non esistono porte associate alle applicazioni che corrispondano ai numeri delle porte TCP. Ho fatto una scansione con avast e spybotS&D, ma non ha rilevato nulla. Ho controllato tutti i processi attivi ma non ne ho notati di sospetti. Al fondo vi riporto il log di hijacksthis. grazie mille

Logfile of HijackThis v1.99.1
Scan saved at 22.26.06, on 25/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Wireshark\wireshark.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Wireshark\dumpcap.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\varie ste\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D132A76-8AD7-498E-AB7D-6944D3EDDB40} - C:\WINDOWS\system32\dpwsockxt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {FB52C564-9995-44AC-9326-E2AC340E98C8} - c:\windows\system32\csrsrvo.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [\\PAOLO\EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\DOCUME~1\quelea\IMPOST~1\Temp\E_S8E.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S85.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'c:\programmi\bonjour\mdnsnsp.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: bilfkcli - C:\WINDOWS\SYSTEM32\csrsrvo.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[ste_95]

Nel log si intravede qualcosa... Ma mi sembra un'infezione abbastanza complessa, cominciamo così:

Segui questa guida per postare il log di System Scan.

[lalalallala_la]

ecco qua.
scansione con systemscan
http://www.freefilehosting.net/download/39hdh

scansione con gmer
http://www.freefilehosting.net/download/39hdk
http://www.freefilehosting.net/download/39hdm

grazie mille

[bdoriano]

Si, è bella complessa...
Dovrai pazientare un po...

Ma non disperare.

[lalalallala_la]

attendo attendo
grazie

[bdoriano]

Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

[lalalallala_la]

grazie , bisogna fare prima un backup del registro e di tali file o sono modifiche che comunque non compromettono il sistema?
la libreria del socket dpwsockxt.dll è corretta? mi sembra che il nome originale fosse dpwsockx.dll

[bdoriano]

Tranqui! Quelli sono i cattivoni e il tuo pc ne farà volentieri a meno!

Procedi pure e fai sapere se incontri difficoltà.

[lalalallala_la]

ecco ti posto il log di avenger...
dove dice che non è riuscito a trovare il file è perchè l'ho lanciato due volte (una volta in mod normale in l'altra in mod provvisoria) e questo è il secondo log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bxinsatq

*******************

Script file located at: \??\C:\Documents and Settings\jldidgbn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\malware.exe not found!
Deletion of file C:\WINDOWS\system32\malware.exe failed!

Could not process line:
C:\WINDOWS\system32\malware.exe
Status: 0xc0000034



File C:\WINDOWS\system32\vfbuvzkq.dat not found!
Deletion of file C:\WINDOWS\system32\vfbuvzkq.dat failed!

Could not process line:
C:\WINDOWS\system32\vfbuvzkq.dat
Status: 0xc0000034



File C:\WINDOWS\system32\blmbvqgn.dat not found!
Deletion of file C:\WINDOWS\system32\blmbvqgn.dat failed!

Could not process line:
C:\WINDOWS\system32\blmbvqgn.dat
Status: 0xc0000034



File C:\WINDOWS\system32\otqilhfe.dat not found!
Deletion of file C:\WINDOWS\system32\otqilhfe.dat failed!

Could not process line:
C:\WINDOWS\system32\otqilhfe.dat
Status: 0xc0000034



File C:\WINDOWS\system32\viitigcb.dat not found!
Deletion of file C:\WINDOWS\system32\viitigcb.dat failed!

Could not process line:
C:\WINDOWS\system32\viitigcb.dat
Status: 0xc0000034



File C:\WINDOWS\system32\lpqijakm.dat not found!
Deletion of file C:\WINDOWS\system32\lpqijakm.dat failed!

Could not process line:
C:\WINDOWS\system32\lpqijakm.dat
Status: 0xc0000034



Could not open file C:\WINDOWS\system32\csrsrvo.dll for deletion
Deletion of file C:\WINDOWS\system32\csrsrvo.dll failed!

Could not process line:
C:\WINDOWS\system32\csrsrvo.dll
Status: 0xc0000022



File C:\WINDOWS\system32\bvv36wkdsepy.exe not found!
Deletion of file C:\WINDOWS\system32\bvv36wkdsepy.exe failed!

Could not process line:
C:\WINDOWS\system32\bvv36wkdsepy.exe
Status: 0xc0000034



Could not open file c:\windows\system32\csrsrvo.dll for deletion
Deletion of file c:\windows\system32\csrsrvo.dll failed!

Could not process line:
c:\windows\system32\csrsrvo.dll
Status: 0xc0000022



Could not open file C:\WINDOWS\system32\drivers\xrgrqpha.dat for deletion
Deletion of file C:\WINDOWS\system32\drivers\xrgrqpha.dat failed!

Could not process line:
C:\WINDOWS\system32\drivers\xrgrqpha.dat
Status: 0xc0000022



Could not open registry key HKLM\system\controlset002\services\kcbuwalj for deletion
Deletion of registry key HKLM\system\controlset002\services\kcbuwalj failed!

Could not process line:
HKLM\system\controlset002\services\kcbuwalj
Status: 0xc0000022



Could not open registry key HKLM\system\currentcontrolset\services\kcbuwalj for deletion
Deletion of registry key HKLM\system\currentcontrolset\services\kcbuwalj failed!

Could not process line:
HKLM\system\currentcontrolset\services\kcbuwalj
Status: 0xc0000022

Registry key HKLM\system\currentcontrolset\services\rgxuqebz deleted successfully.


Could not open registry key \Registry\Machine\System\CurrentControlSet\Services\kcbuwalj for deletion
Unload of driver kcbuwalj failed!

Could not process line:
kcbuwalj
Status: 0xc0000022



Registry key \Registry\Machine\System\CurrentControlSet\Services\rgxuqebz not found!
Unload of driver rgxuqebz failed!

Could not process line:
rgxuqebz
Status: 0xc0000034



Could not open registry key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bilfkcli for deletion
Deletion of registry key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bilfkcli failed!
Status: 0xc0000022


Completed script processing.

*******************

Finished! Terminate.

[lalalallala_la]

ho dimenticato il log di hijackthis...
...rimedio subito :

Logfile of HijackThis v1.99.1
Scan saved at 15.42.46, on 30/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\varie ste\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D132A76-8AD7-498E-AB7D-6944D3EDDB40} - C:\WINDOWS\system32\dpwsockxt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {FB52C564-9995-44AC-9326-E2AC340E98C8} - c:\windows\system32\csrsrvo.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S85.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Broken Internet access because of LSP provider 'c:\programmi\bonjour\mdnsnsp.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{88026EAD-EEB5-471C-A8CF-10632692F903}: NameServer = 130.244.127.161,130.244.127.169
O20 - Winlogon Notify: bilfkcli - C:\WINDOWS\SYSTEM32\csrsrvo.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

[bdoriano]

Qualcosa è rimasto...

Ti chiedo una cortesia: una volta fatte le operazioni con Avenger, troverai un file backup*.zip in C:\avenger. Se puoi, caricalo su freefilehosting e mandami, via , il link che ti viene assegnato.

Nel frattempo, scarica VirIt, installalo, aggiornalo (importante) e fai lo scan completo.

[lalalallala_la]

ho fatto una scansione con VirIT e questo è il risultato (non è riuscito ad aprire entrambi i file):

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
31/12/2007 - 12:40:02

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\csrsrvo.dll.bak Infetto da BHO.Agent.GZ
Contattare il Supporto Tecnico TG Soft
C:\WINDOWS\system32\dpwsockxt.dll Infetto da BHO.Agent.GX
Contattare il Supporto Tecnico TG Soft

Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 146056.
Files Totali: 146056.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[bdoriano]

Scarica Dr.Web CureIt.
Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria.
Avvia DrWeb CureIt e fagli fare la scansione completa.

Appena fatta quest'ultima operazione, rifai la scansione con SystemScan. Così vediamo come è cambiata la situazione.

[lalalallala_la]

non riesco a scaricare il soft cureit. mi da errore 550 failed to change directory. ho cercato in rete ma ho trovato solo link al sito originale, nessun mirror. aspetto... e spero

[lalalallala_la]

falso allarme, ce l'ho fatta... scaricato cureIt, ora vado con la scansione...

[lalalallala_la]

scansione fatta con CureIt.
esito: trovati trojan e eliminati i seguenti file.
csrsrvo.dll.bak, xrgrqpha.dat, dpwsockxt.dll
il nuovo log di SystemScan: http://www.freefilehosting.net/download/3a064

ora che la libreria del socket è stata eliminata però mi è impossibile connettermi a internet proverò a pacioccare un po' per rimettere a posto la situazione...

[bdoriano]

[lalalallala_la]

certo il file dpwsockxt.dll era parte del virus, ma viste le dimensioni molto simili a dpwsockx.dll probabilmente era il file dpwsockx.dll modificato e ricopiato con nome dpwsockxt.dll, così che il sistema usasse come librerie di socket quelle modificate per gli scopi del virus, modificando opportunamente tutti i riferimenti al nome della libreria... naturalmente questa è una mia teoria da dilettante, dimmi se sbaglio...
grazie mille

[lalalallala_la]

ho provato a fare ciò che mi hai detto(scaricare XP TCP/IP Repair...) ma niente... ho provato anche altre procedure trovate in giro per la rete(reinstallare TCP/IP, ripristinare chiavi di registro,...) ma nulla...
precisamente la situazione è questa: appena avviato il sistema non viene avviata l'interfaccia di rete. Se vado in risorse di rete, dopo aver atteso 1minuto circa, compaiono i due monitor. l'ip ed il gateway sono corretti ma non riesco ad accedere ne alla lan, ne ad internet. l'interfaccia non invia ne riceve pacchetti... non so proprio cosa fare... AIUTOOO
il virus osservando il log di systemscan è stato debellato?
grazie mitico bdoriano

[lalalallala_la]

c'è l'ho fatta! ho ripristinato il file tcpip.sys in system32/devices... e ora va nuovamente!... ma aimè il problema descritto nel primo post è sopravvissuto tristezza tristezza...
cos'altro possiamo fare?