Condividi:        

Computer che si blocca e (strani) virus...

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Computer che si blocca e (strani) virus...

Postdi Laurien » 24/12/05 13:04

Ciao a tutti, ho un problema col mio pc (che tra 6 giorni compie un anno) e volevo chiedervi un aiuto.
Da qualche tempo il mio pc ha preso la fastidiosa abitudine di bloccarsi molto spesso (praticamente senza criterio, a volte sta acceso per ore, altre si blocca dopo 5 min) e non ne posso veramente più.
Utilizzo Windows XP, ho Norton Antivirus e Internet Security.
Le ho provate tutte: ho pulito la ventola (era sporca) pensando che fosse un problema di surriscaldamento, ho pulito più volte il registro di sistema, ho eseguito scansioni varie per eventuali virus (ed uso Ad-aware regolarmente). L'unico risultato che ho avuto c'è stato con la scansione online Kapersky, che ha individuato un buon numero di Trojan nel pc. Alcuni erano individuati ed in quarantena con Norton, ma i seguenti sono ancora nel pc:

C:\Documents and Settings\Lorenzo M\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-113abdd3-4b2ebde0.zip/GetAccess.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Documents and Settings\Lorenzo M\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-113abdd3-4b2ebde0.zip/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\Documents and Settings\Lorenzo M\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-113abdd3-4b2ebde0.zip Infected: Trojan-Downloader.Java.OpenConnection.aj
C:\System Volume Information\_restore{453BFCD9-0A7A-4DA1-93B7-A77F2E240212}\RP387\A0272627.exe/WISE0022.BIN Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{453BFCD9-0A7A-4DA1-93B7-A77F2E240212}\RP387\A0272627.exe Infected: Trojan-Downloader.Win32.Small.bke
C:\WINDOWS\sla.exe Infected: Trojan-Downloader.Win32.Small.cca

Non ho capito come fare ad eliminarli (c'è un modo?)...non sono neanche sicuro che i blocchi dipendano da questi! Ho visto che in Internet molti usano Hijackthis (non so neanche bene come funziona, però...), quindi l'ho usato e ho postato il risultato...


Logfile of HijackThis v1.99.1
Scan saved at 1:01:16 PM, on 12/24/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\sla.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/ ... nicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Spero serva a qualcosa, e che possiate aiutarmi! :(
A presto!

Lorenzo
Laurien
Utente Junior
 
Post: 16
Iscritto il: 24/12/05 12:51

Sponsor
 

Postdi Pao1o » 24/12/05 13:32

Copia e incolla il log di hijack nella finestra apposita della pagina

http://hijackthis.de/index.php?langselect=italian

Ma ho dato un'occhiata e non hai grossi danni.

Prova a scaricarti trojan remover

http://www.simplysup.com/tremover/download.html
Avatar utente
Pao1o
Utente Senior
 
Post: 1375
Iscritto il: 23/10/05 12:58
Località: non scrivo più su questo forum per divergenze

Postdi Laurien » 24/12/05 13:46

Pao1o ha scritto:Copia e incolla il log di hijack nella finestra apposita della pagina

http://hijackthis.de/index.php?langselect=italian

Ma ho dato un'occhiata e non hai grossi danni.

Prova a scaricarti trojan remover

http://www.simplysup.com/tremover/download.html


Grazie mille per la tempestiva risposta!
Allora, ho scaricato e usato Trojan Remover, ma a quanto pare non mi trova alcun file infetto. Sembra che solo Kapersky riesce ad individuare quei Trojan. Cosa faccio? Farei un grosso errore se li cancellassi manualmente?
Ho anche usato quella pagina di Hijackthis, ma non ci ho capito molto ^^...indica solo due o tre applicazioni sconosciute. Come devo procedere?

Grazie ancora, e scusate la mia ignoranza in materia!
Laurien
Utente Junior
 
Post: 16
Iscritto il: 24/12/05 12:51

Postdi Laurien » 24/12/05 13:51

ah, ho usato quel sistema di hijackthis per inviare uno dei file in cui Kapersky individuava un trojan, e a quanto pare è stato individuato:

F-Prot Antivirus: Virus scanning report - 24 December 2005 @ 13:49

F-PROT ANTIVIRUS
Program version: 4.5.4
Engine version: 3.16.6

VIRUS SIGNATURE FILES
SIGN.DEF created 22 December 2005
SIGN2.DEF created 23 December 2005
MACRO.DEF created 19 December 2005

Search: /java.jar-113abdd3-4b2ebde0.zip
Action: Report only
Files: "Dumb" scan of all files
Switches: -ARCHIVE -PACKED -SERVER

/java.jar-113abdd3-4b2ebde0.zip->GetAccess.class is a destructive program
/java.jar-113abdd3-4b2ebde0.zip->Installer.class is a destructive program

Che faccio?
Laurien
Utente Junior
 
Post: 16
Iscritto il: 24/12/05 12:51

Postdi Dylan666 » 24/12/05 14:17

la scansione del PC con l'antivirus falla in modalità provvisoria

Del log mi piace poco questo:

C:\WINDOWS\sla.exe
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe


Su google trovo solo roba in tedesco e due topic in italiano (di cui uno qui) senza spiegazioni
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Laurien » 24/12/05 14:32

Ho fatto qualche ricerca su google:
- ho eliminato i trojan della cartella java svuotando la cache (e disabilitandola) dal pannello di controllo, come consigliato su un altro sito. Dovrebbe aver funzionato. Unico dubbio: il pc mi si è riavviato improvvisamente appena dopo aver svuotato la cache. Può essere una coincidenza, ma anche no...
- per quanto riguarda sla.exe, anch'io ho trovato solo quei sitim e mi sto preoccupando...che rischio correrei a cancellarlo manualmente?

Comunque ora finisco un'altra scansione con Kapersky (per controllare di aver rimosso i trojan da java) e avvio norton in modalità provvisoria.
Domandina: ma è effettivamente possibile che siano questi trojan a bloccarmi il pc?

Grazie ancora!
Laurien
Utente Junior
 
Post: 16
Iscritto il: 24/12/05 12:51

Postdi Luke57 » 24/12/05 14:49

Ciao Laurien, fai analizzare quel file qui:
http://virusscan.jotti.org/
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Laurien » 24/12/05 14:55

Fatto. E' infetto:

AntiVir Found Trojan/Dldr.Agent.ZD
ArcaVir Found Trojan.Downloader.Agent.Zd
Avast Found nothing
AVG Antivirus Found Downloader.Agent.AYE
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Trojan.DownLoader.5284
F-Prot Antivirus Found nothing
Fortinet Found W32/Small.CCA-dldr
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Small.cca
NOD32 Found a variant of Win32/TrojanDownloader.Agent.KW
Norman Virus Control Found W32/DLoader.NNN
UNA Found TrojanDownloader.Win32.Agent
VBA32 Found Trojan-Downloader.Win32.Agent.zd

^^come lo rimuovo?
Laurien
Utente Junior
 
Post: 16
Iscritto il: 24/12/05 12:51

Postdi Luke57 » 24/12/05 15:32

Ciao di nuovo:
Fai girare hihackthis dalla modalità normale a browser chiuso e disconnesso da internet, premi "config", "misc tools", "open process manager" cerchi il processo se c'è:
C:\WINDOWS\sla.exe
clicchi "kill process".
Torni con "back" sulla pagina, cerchi le seguenti voci:
C:\WINDOWS\sla.exe
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
premi "fix checked".
Riavvii il sistema in modalità provvisoria, cerchi ,con esplora risorse, ed elimini il file
C:\WINDOWS\sla.exe
Pulisci file temporanei di windows (tmp e temp), cache di IE, cookies, cronologia, svuota il cestino.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Laurien » 24/12/05 17:30

Fatto! Grazie mille, il file non c'è più (e Hijackthis mi da tutti file sicuri^^).
Resta un ultimo passo: Kaspersky mi ha individuato una serie di Trojan in System Volume Information (che nella prima scansione non c'erano, boh!) . Come me ne libero?

C:\System Volume Information\_restore{453BFCD9-0A7A-4DA1-93B7-A77F2E240212}\RP387\A0272627.exe/WISE0022.BIN Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{453BFCD9-0A7A-4DA1-93B7-A77F2E240212}\RP387\A0272627.exe Infected: Trojan-Downloader.Win32.Small.bke
C:\System Volume Information\_restore{453BFCD9-0A7A-4DA1-93B7-A77F2E240212}\RP391\A0284856.hta Infected: Trojan-Downloader.VBS.Psyme.av
C:\System Volume Information\_restore{453BFCD9-0A7A-4DA1-93B7-A77F2E240212}\RP391\A028485
Laurien
Utente Junior
 
Post: 16
Iscritto il: 24/12/05 12:51

Postdi Luke57 » 24/12/05 22:18

Ciao, dovrebbero essere nella cartella di restore. Dovrebbe bastare disattivare il ripristino configurazione di sistema, così se non lo sai fare http://service1.symantec.com/SUPPORT/IN ... 3151930924 , poi riavviare e ricreare punto di ripristino o semplicemente rimettere il segno di spunta tolto in precedenza.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 25/12/05 04:11

1) il riavvio non saprei dirti se è una coincidenza o no...

2) con hijackthis si levano le chiavi che avviano i file, ma non i file stessi. Questo è molto comodo perché il programma crea dei backup. Quindi se il file che senza la chiave di avvio è stato neutralizzato si scopre che era utile basta usare il backup e al prossimo riavvio tutto torna come era

3) sconsiglio sempre la disabilitazione totale del ripistino in favore di quest'altro metodo: si diminuisce lo spazio riservato a questo servizio e si vede se la diminuzione ha portato Windows a eliminare ipunto che conteneva il virus. Se così non è si diminuisce ancora lo spazio. Quando il file infetto scomparre si imposta la dimenzione di disco dedicata al ripristino come era prima. Così in genere se salvano i punti vecchi. Altrimenti (se tutti risultano infetti) almeno si è tentato :P
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Laurien » 26/12/05 00:17

Ho seguito i suggerimenti, finendo col cancellare del tutto i punti di ripristino (ho provato a diminuire la memoria, ma un paio di scansioni Kaspersky mi davano ancora i Trojan, e siccome una scansione dura 50-60 minuti non potevo fare troppe prove). Mi sembra che tutto vada bene, ma non vorrei cantare vittoria troppo presto...però non ho capito bene i suggerimenti di Dylan su HijackThis: posso disabilitare le chiavi dei file che appaiono nel log, giusto? Ma se un file infetto (come quelli nel System Volume Information) non appare, non posso disattivarlo, o sbaglio?
Laurien
Utente Junior
 
Post: 16
Iscritto il: 24/12/05 12:51

Postdi Dylan666 » 26/12/05 01:24

1) dato che l'antivirus indica dove sta il virus non è che per controllare se il punto con il file infetto è stato eliminato devi rifare la scansione di tutto, basta andare a cercare la cartella indicata...

2) il consiglio sul disattivare le chiavi di avvio premendo "Fix" in HijackThis era riferito solo al caso di sla.exe. In pratica togliendo la chiave di avvio il file (seppure ancora esistente sul PC) NON viene avviato e quindi non può nuocere.

3) invece la tua cartella _restore (quella del ripristino) contiene dei virus che allo stato attuale, non avendo chiavi di avvio, non sono attivi e pericolosi. Ovvio però che l'antivirus le segnali lo stesso: c'è il pericolo che, usando il punto di ripristino che li contiene, essi vengano ricollocati sul tuo PC con le chiavi che li lanciavano e che erano nel registro quando è stato creato quel punto.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Laurien » 26/12/05 13:00

Ho capito. I problemi sono (o almeno sembrano) tutti risolti.
Spero di non incorrere più in blocchi del pc, perchè sennò vorrebbe dire che non dipendeva dai virus, ma probabilmente da qualcosa di esterno (e sarebbe una seccatura).
Grazie mille per la disponibilità di tutti!
Laurien
Utente Junior
 
Post: 16
Iscritto il: 24/12/05 12:51


Torna a Software Windows


Topic correlati a "Computer che si blocca e (strani) virus...":


Chi c’è in linea

Visitano il forum: Nessuno e 127 ospiti