PDA

Visualizza versione completa : Aiuto su problemi vari


VerTek
02-05-2004, 02.13.56
Salve, continuo ad avere problemi. Anche dopo la formattazione trovato delle anomalie esattamente in c:\windows\system32\ dove o sono connesso o sono disconnesso da internet, noto che vengono creati automaticamente dei files eseguibili tipo *_up.exe, l’ultimo che vedo è 26387_up.exe dove i numeri variano. Io più li cancello e più se ne creano. La creazione di questi files la noto anche in base alla clessidra che mi appare vicino al puntatore del mouse.
Nel secondo PC, appena formattato, ho lo stesso problema che avevo nel primo pc qualche giorno fa (dove poi decisi di formattarlo) ossia ”Runtime error, Program C:\Programmi\File Comuni\Symantec Shared\ccEvtMgr.exe" e si apre sotto una videata in DOS, scvhost.exe. Sono riuscito a cancellare il tutto dal registro di windows e il file che si era insediato in system32 solo che, dopo essere connesso in rete, mi ritrovo nuovamente il file scvhost.exe.
Ho provato a cancellare il file dal programma HijackThis.exe e anche da Startup.exe ma il file mi si ripropone.
Ho su entrambi i pc installato windows XP con gli aggiornamenti q828750.exe (che riguarda l’explorer), WindowsXP-KB826939-x86-ITA(Rollup 1 ).exe e msjavx86.exe (java).

La scansione di Norton non mi trova nulla e non ho neanche spyware (controllo effettuato da Ad-aware 6.0). Chi mi puo’ aiutare a risolvere questo problema?

Resto in attesa di una vostra risposta,
Grazie.

VerTek
02-05-2004, 02.18.12
quando mi si avvia scvhost.exe nel secondo pc, mi crea un file debug.log (che ho salvato e non so se può essere utile) e ogni tanto ho un avviso di virus (nome virus w32.Gaobot.afj)

Eseguendo HijackThis.exe sul secondo pc ho:

Logfile of HijackThis v1.97.7
Scan saved at 1.58.00, on 02/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\anvshell.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
D:\Altro\Programmi\DriverXP\HijackThis\HijackThis. exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Sul primo pc ho:

Logfile of HijackThis v1.97.7
Scan saved at 1.58.04, on 02/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\anvshell.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\avserve2.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
D:\my\Programmi\programmi pulizia\HijackThis.exe
C:\WINDOWS\avserve2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 5.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

che devo disattivare?

VerTek
02-05-2004, 11.08.34
Allego uno screenshot della schermata che mi fa dopo un tot di minuti connesso.
Chissà che problemi hanno i mei pc, sarei tentato di riformattarli entrambi ma son sicuro che si riproporrebbe lo stesso problema.
Spero quindi in un vostro aiuto anche perchè non so proprio che fare :( Ho sul secondo installato anche la patch di windows Windows-KB833330-ITA.exe ma il problema resta :(
Dimenticavo... sia facendo una scansione di norton in modalità normale, sia in modalità provvisoria.. non mi trova nulla :(
Ho anche fatto una scansione con FxGaobot.exe e stinger.exe ma.. nada :(

Bico Bico
02-05-2004, 11.08.52
Per prima cosa i file *****_up.exe vengono generati dal worm Sasser (per informazioni: http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html) quindi prima di tutto ti conviene procurarti il tool di rimozione per Sasser fornito da Symantec:

http://securityresponse.symantec.com/avcenter/FxSasser.exe

Ricordati di eseguirlo in modalità provvisoria, o comunque con l'antivirus disattivato, altrimenti non funziona. ;)

In secondo luogo fai una scansione online per verificare se ci sono altri virus nel tuo PC. Prova il Panda ActiveScan, è uno dei migliori:

http://www.pandasoftware.com/activescan/com/activescan_principal.htm

Ciao. :)

VerTek
02-05-2004, 12.02.30
fatto sia FxSasser.exe e sia la scansione con panda ma.. niente :( hai altre soluzioni?

Bico Bico
02-05-2004, 12.14.54
Originariamente inviato da VerTek
fatto sia FxSasser.exe e sia la scansione con panda ma.. niente :( hai altre soluzioni?

Cioè? Continuano a comparire i file _up.exe ma il FixSasser non ha trovato nulla?

VerTek
02-05-2004, 12.31.32
allora in entrambi i pc avevo quei files _up.exe e il FxSasser mi ha individuato solo su uno dei files che poi ha rimosso.
Il primo pc sembra apposto mentre il secondo pc no.
Nel primo pc ho trovato anche con HijackThis.exe un certo avserve2.exe, stesso file stava in c:\windows\system32 che ho poi eliminato.
Nel secondo pc ogni tanto noto come se stessi scaricando e inviando qualcosa.
Ho notato che questi virus "entrano" tramite la porta 135.. boh. :(

VerTek
02-05-2004, 12.41.43
forse ho capito xchè sul secondo pc il FxSasser.exe non mi ha trovato nulla, xchè ho cancellato manualmente i files-virus esattamente avserve2.exe e *_up.exe ma, ripeto, non riesco a capire come mai su entrambi i pc vedo i due computerini accesi come se stessero scaricando e inviando qualcosa (con dumeter a DL e UL ogni tanto vedo che scarica/invia a 9-10KB/sec) quindi presumo che ho ancora qualche residuo di virus o proprio un altro virus.

Ho anche installato una nuova patch (http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3) ma.. per ora nessuna novità :(

sarei tentato a formattare i due pc ma ho paura di riavere gli stessi virus :( Il bello che l'ho formattato ieri mattina il pc e dopo aver SOLO scaricato gli aggiornamenti di Norton ho iniziato ad avere i primi files *_up.exe

primoair
02-05-2004, 13.18.30
Originariamente inviato da VerTek
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe


Hai provato a cancellare con HijackThis "C:\WINDOWS\system32\Isass.exe"?

VerTek
02-05-2004, 13.28.50
Originariamente inviato da primoair


Hai provato a cancellare con HijackThis "C:\WINDOWS\system32\Isass.exe"?

rifacendo una scansione con HijackThis, il file Isass non ce l'ho.

Giorgius
02-05-2004, 14.20.24
Ultima versione aggiornata di Stinger (rimuove il Virus W32.Sasser.worm) ;)

Stinger v2.2.3: http://download.nai.com/products/mcafee-avert/stinger.exe

VerTek
02-05-2004, 16.54.56
fatto, niente sui due pc stinger non mi rileva nulla.
Ho provato ad installare la patch di windows (WindowsXP-KB835732-x86-ENU.EXE) ma mi da errore alla scheda video su entrambi i pc (che montano la stessa scheda, mentre su un terzo non ho nessun errore).
Ho provato a disinstallare la patch e riavviar e non ho nessun errore.
Ho quindi voluto formattare il secondo Pc, installato tutte le patches che ho sempre installato e questa nuova ma... mi da sempre errore alla scheda video (ASUS V8440 GeForce Ti).

Per il fatto che riguardava il secondo Pc, ossia notavo che anche se non stavo visualizzando nulla notavo tramite dumeter che il pc a mia insaputa stava scaricando qualcosa, beh in parte ho risolto con ZoneAllarm (quindi con firewall) ma... tramite LAN non riesco più a condividere la connessione internet! :( risolvo un errore e se ne ripresenta n'altro :( non ne posso più ragà, chiedo ancora un vostro aiuto :(

VerTek
02-05-2004, 18.20.29
ecco l'errore che mi da una volta installata la patch e ad ogni riavvio di windows:

Giorgius
02-05-2004, 18.42.56
RE: VerTek

La Patch che hai installato "WindowsXP-KB835732-x86-ENU.EXE" è in inglese, quindi è errata per il tuo Winzozzo. Vai in Modalità Provvisoria, disintallala attraverso "Installazione applicazioni", infine riavvia il Sistema.

Versioni in italiano:

Windows XP ITA
http://download.microsoft.com/download/4/2/9/42988565-9dc5-4027-b4c4-fcbea69e2e5e/WindowsXP-KB835732-x86-ITA.EXE

Windows 2000 ITA
http://download.microsoft.com/download/6/b/6/6b68ec3d-e68e-4f5d-b72e-048dff149282/Windows2000-KB835732-x86-ITA.EXE

Per il Firewall, devi dare accesso all'indirizzo IP dell'altro PC. ;)

VerTek
02-05-2004, 19.26.26
si scusami, ho sbagliato a scrivere la patch che avevo installato (quella inglese logicamente non mi si poteva installare).
Cmq ho risolto il problema esattamente disattivando con HijackThis il file ANVSHELL.EXE relativo alla scheda video.

Ora problemi non ne ho e.. chissà se sarò riuscito a risolvere il problema.

Noto pero' ogni tanto i due computerini che si mettono quando sono connesso ad internet, che si accendono come se stessi scaricando qualcosa ma forse è normale, o no?

Bico Bico
02-05-2004, 22.54.15
Scusa, ma c'è qualcosa che non quadra... hai installato tutti gli aggiornamenti proposti da Windows Update? Dico tutti, dal primo all'ultimo? Incluso il SP1? Te lo chiedo perchè se il sistema è aggiornato Sasser non va da nessuna parte (evidentemente il tuo non lo è) e ti assicuro che con le dovute patch dalla 135 non entra/esce nulla di sospetto... ripulisci per bene il sistema dai virus (usa lo Stinger e le varie scansioni online che si trovano in rete), applica tutte le patch di sicurezza tramite Windows Update, quindi installa un buon antivirus e un buon firewall (o attiva quello di XP).

Giorgius
02-05-2004, 23.33.25
Originariamente inviato da VerTek
si scusami, ho sbagliato a scrivere la patch che avevo installato (quella inglese logicamente non mi si poteva installare).
Cmq ho risolto il problema esattamente disattivando con HijackThis il file ANVSHELL.EXE relativo alla scheda video.

Ora problemi non ne ho e.. chissà se sarò riuscito a risolvere il problema.

Noto pero' ogni tanto i due computerini che si mettono quando sono connesso ad internet, che si accendono come se stessi scaricando qualcosa ma forse è normale, o no?



Principalmente è il Firewall che sta lavorando in contemporanea ai servizi di Winzozzo. Tranqui. ;)

X la scheda video, meglio che verifichi l'eventuale uscita ufficiale aggiornata dei driver della tua scheda, magari corrispondenti ai Detonator rel. 60.60 o superiore.

VerTek
03-05-2004, 01.23.42
i driver della scheda video sono aggiornati (ASUS display driver version 56.55 for Win2K and XP) (http://www.asus.it/support/download/item.aspx?ModelName=V8440%20Ultra/TD&Type=Latest&SLanguage=en-us) .
Ho su un pc installato il firewall di windows e su un altro ho installato Sygate personal firewall.
Ogni tanto, al pc dove ho installato il firewall mi dice "Application di sistema e Kernel NT has been blocked, File name is ntoskrnl.exe", che sarà mai sto file? :confused: