Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Infezione nel file WLCtrl32.dll
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
mrdriver
Mortale devoto
Mortale devoto


Registrato: 19/03/08 15:57
Messaggi: 10
MessaggioInviato: 01 Apr 2008 02:38    Oggetto: Infezione nel file WLCtrl32.dll Rispondi citando
Salve a tutti! Very Happy

Vi chiedo scusa subito perchè sarò lungo. Cercherò di esporre tutti i dettagli che credo importanti. Mi chiamo Guido e ho un problema. Sad Devo riparare un computer infetto: Pavilion zv6000, xp sp2.
Questo portatile è stato usato per anni da una persona che non ha mai posseduto un antivirus Evil or Very Mad e che l'ha sempre usato pressocchè soltanto per chattare su MSN. Evil or Very Mad Evil or Very Mad
Inizialmente il problema si presentava così: all'avvio di windows, il sistema tentava di aprire un file .tmp inesistente tramite powerpoint. La persona mi ha riferito di aver cancellato quel file. Dopodichè il sistema andava in blocco totale. Da modalità provvisoria sono stato in grado di installare il mio antivirus di fiducia, Avira Antivirus. Ho eseguito diverse scansioni durante le quali ho riscontrato ed eliminato decine e decine di virus, perlopiù trojan. Tutti tranne il maledetto WLCtrl32.dll, che Avira riesce spesso (ma non sempre) a riconoscere come virus, ma mai ad eliminare: richiede il riavvio e promette di eliminarlo dopo, ma non lo fa. Ovviamente il file non si può nè spostare nè eliminare nemmeno in modalità provvisoria.
Ho anche installato firefox e opera perchè IE presenta un comportamento mooolto sospetto: ogni pagina cercata è sempre reindirizzata su altre pagine altrettanto sospette. Non sono stato in grado di reinstallare IE.
Dopodichè ho installato avast su suggerimento di qualcuno che sosteneva fosse più potente e in grado di aiutarmi ma senza alcun successo.
Dopo vi ho trovato, vi ho ammirato stupefatto e ho seguito passo passo la procedura contenuta in Guida alla rimozione virus da MSN.

Vi anticipo però che nessuno dei programmi da voi suggeriti ha riconosciuto alcuna infezione nel sistema.

Vi elenco comunque i link per il download dei log:
msnfix http://www.fileup.itadib.com/download.php?id=qJZKMAsIOfJqNjRYUCqE

livekill http://www.fileup.itadib.com/download.php?id=wnXEl06Owed2FDnZyoBK

msncleaner http://www.fileup.itadib.com/download.php?id=vn9gJFS35VJU1C9SR4uY

kaspersky http://www.fileup.itadib.com/download.php?id=mZWA9ZTu6BDO8a8uxAob

hijackthis http://www.fileup.itadib.com/download.php?id=FDMWJ6NQZklU2oD3kQgd

Purtroppo ho dovuto zippare il log di Kaspersky perchè troppo pesante. Spero che non sia un problema. In ogni caso, nemmeno Kaspersky ha riconosciuto l'infezione.

Un grazie di cuore già solo per avermi letto. Spero che mi possiate aiutare in qualche modo. Grazie Grazie Grazie. Very Happy
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 01 Apr 2008 09:16    Oggetto: Rispondi citando
Ciao mrdriver, Ciao

Intanto che diamo un'occhiata ai logs, prova a fare anche le pulizie generiche:

PS: se vuoi, puoi presentarti qui
Top
Profilo Invia messaggio privato
mrdriver
Mortale devoto
Mortale devoto


Registrato: 19/03/08 15:57
Messaggi: 10
MessaggioInviato: 02 Apr 2008 00:03    Oggetto: Rispondi citando
grazie 1000 per la risposta immediata!!!

Avendo seguito la procedura della Guida il ripristino di sistema era già disabilitato. Ho verificato e l'ho lasciato com'era (disabilitato). Ho riripulito i file temporanei, con ATF e di nuovo con CC che avevo già usato nella procedura.
Ho fatto le scansioni in modalità provvisoria, ecco il log di Norman:
http://www.freefilehosting.net/download/3efba

Quanto a combofix:
l'ho scaricato diverse volte, ma ogni volta che provo a lanciarlo, avira segnala diversi virus. Sia che io li elimini o neghi loro l'accesso, compare la finestra azzurra di combo per 1 attimo e poi scompare subito.
Che faccio?
grazie ancora!

ps. il proprietario del pavilion mi ha autorizzato a formattare e reinstallare win-doh!. potrebbe essere una soluzione?
Top
Profilo Invia messaggio privato HomePage
mrdriver
Mortale devoto
Mortale devoto


Registrato: 19/03/08 15:57
Messaggi: 10
MessaggioInviato: 02 Apr 2008 00:28    Oggetto: Rispondi citando
ho provato a disattivare avira e in effetti ha funzionato. ecco il link per il log di combofix:

http://www.freefilehosting.net/download/3efc6

Pare che abbia eliminato wlctrl32.dll. Ma non sono sicuro che il sistema sia guarito: comodo firewall continua a segnalare che explorer.exe tenta di "act as a server".

Tra l'altro la scansione è stata interrotta qualche volta proprio da comodo.
E' il caso che rifaccia la scansione, magari offline e disattivando anche comodo?

Grazie ancora
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 02 Apr 2008 09:17    Oggetto: Rispondi citando
Combofix non si collega a nessun sito durante la scansione.
Puoi eseguirlo scollegato da internet e disattivando Comodo (o, almeno, il suo modulo HIPS).

Ci sono altre cose da eliminare, crea un file di testo con le seguenti istruzioni:
Codice:
File::
c:\Windows\system32\drivers\qoweffas.dat
C:\WINDOWS\system32\AppCert\wsil32.dll
C:\WINDOWS\system32\Drivers\Gov53.sys
C:\WINDOWS\java\Packages\DFF77HF5.ZIP
C:\WINDOWS\system32\bthservq.dll

Registry::
[-HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Explorer\Browser Helper Objects\{CE83CF89-09B5-4479-A4A0-2A0091C2FEDE}]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gov53.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tck18.sys]
[-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]

Salva il file sul desktop con il nome CFScript.txt e trascinalo sull'icona di ComboFix, come indicato in seguito:

Attendi pazientemente la fine dei lavori senza toccare tastiera, mouse o altro. Wink
Posta i logs aggiornati di combofix e di hijackthis

Al termine, fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.
Top
Profilo Invia messaggio privato
mrdriver
Mortale devoto
Mortale devoto


Registrato: 19/03/08 15:57
Messaggi: 10
MessaggioInviato: 03 Apr 2008 16:03    Oggetto: Rispondi citando
Fatto!

ho dovuto disinstallare Avira perchè non c'era verso di disattivarlo.

Ho prima scaricato tutti i programmi, compreso SeDebug (di cui non ho avuto bisogno), poi ho disinstallato Avira, disattivato comodo (disattivato anche l'avvio automatico di Comodo), e poi ho fatto tutto il lavoro offline.

log di combofix: http://www.freefilehosting.net/download/3eh42

log aggiornato di HJT: http://www.freefilehosting.net/download/3eh44

report di SystemScan: http://www.freefilehosting.net/download/3eh45

Il report di SystemScan me l'ha zippato lui in automatico, vi ho postato il file zip.

Grazie 1°000°000, aspetto pazientemente nuove istruzioni.

Ps: E' il caso che reinstallo Avira? O un altro antivirus migliore (preferibilmente free)? grazie grazie grazie ciao!!!
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 04 Apr 2008 09:59    Oggetto: Rispondi citando
I logs sembrano puliti. Smile
Puoi reinstallare tranquillamente Avira (tra i free è uno dei migliori). Wink

Al limite, se vuoi, puoi fare questi controlli online:
  • Disabilita il tuo antivirus
  • Collegati a BitDefender (con IE) e fai la scansione completa.
  • Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
    Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.
Top
Profilo Invia messaggio privato
mrdriver
Mortale devoto
Mortale devoto


Registrato: 19/03/08 15:57
Messaggi: 10
MessaggioInviato: 04 Apr 2008 19:46    Oggetto: Rispondi citando
Fatte le scansioni di controllo:

Bit: http://www.freefilehosting.net/download/3eik9

Kaspersky: http://www.freefilehosting.net/download/3eik8

(per quanto riguarda Kaspersky non ho capito bene se andava fatta online o offline, io l'ho fatta offline. ho anche postato un messaggio con i miei dubbi qui: http://forum.zeusnews.com/viewtopic.php?t=21705#21706)

Entrambi i report segnalano ancora infezioni Crying or Very sad

Però, nella mia somma ignoranza, mi è sembrato che almeno un po' di quelle infezioni (magari tutte Sbav!) sono falsi positivi e/o già quarantenati da qualcos'altro. Speriamo! Pray

comunque ora tutto sembra funzionare, anche IE (che ho reinstallato) (per quanto possa mai funzionare IE...)

In ogni caso grazie ancora un miliardo!!!

Fiori CinCin Smack
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 05 Apr 2008 14:35    Oggetto: Rispondi citando
Ciao mrdriver, Ciao

A parte un falso positivo (BitDefender riconosce SystemScan come virus), il resto è ok. Puoi eliminare la cartella C:\QooBox che contiene i backups di Combofix.

Se non riscontri più problemi, puoi riattivare il ripristino di sistema. Smile
Top
Profilo Invia messaggio privato
mrdriver
Mortale devoto
Mortale devoto


Registrato: 19/03/08 15:57
Messaggi: 10
MessaggioInviato: 06 Apr 2008 15:13    Oggetto: Rispondi citando
Grazieeeeeeeeeeee bdoriano!!!!!!!

Evviva Rolling

ho eliminato QooBox. tutto sembra ok tranne che ogni tanto mi arriva qualche richiesta di connessione, specie quando setto comodo su block all. spero non sia grave. ieri mi è anche arrivato di nuovo il messaggio di comodo "explorer.exe try to act as a server" e l'ho bloccato.
adesso devo restituire il portatile al suo proprietario che per ora non lo userà per connettersi. per il momento lascio disattivo il ripristino perchè non ho tempo di controllare per bene che sia guarito. tra qualche giorno me lo riporta e potrò fare qualche verifica, magari mi potresti suggerire cosa/come vedere se tutto è davvero ok.

comunque grazie infinite, mi hai aiutato moltissimo e sei stato molto gentile. non ho parole. Grazie

ps. le richieste di connessione pare provengano soprattutto da un qualcosa che si chiama "your-a47779be2c". Che sigla è? Usando "cerca file" ho verificato se ci fosse qualche file che la contiene al suo interno: è in molti log recenti (avira, kaspersky, dr. watson), nel nome della cartella "Administrator.YOUR-A47779BE2C" contenuta in C:\Document and Settings, e nel file desktop.ini in C:\Document and Settings\All Users\Documenti
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 06 Apr 2008 20:23    Oggetto: Rispondi
mrdriver ha scritto:
"your-a47779be2c". Che sigla è? Usando "cerca file" ho verificato se ci fosse qualche file che la contiene al suo interno: è in molti log recenti (avira, kaspersky, dr. watson), nel nome della cartella "Administrator.YOUR-A47779BE2C" contenuta in C:\Document and Settings, e nel file desktop.ini in C:\Document and Settings\All Users\Documenti

Dovrebbe essere il nome del PC. Per verificarlo:
  • Clicca con il tasto dx del mouse sull'icona Risorse del computer
  • Clicca la voce Proprietà
  • Clicca la pagina Nome computer
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi