dit idol.exe ???

[benleo]

analizzando i processi attivi sul pc (SO WXPSP1) mi compare di tanto in tanto una applicazione con il nome di bit idol.exe che fa capolino e scompare.Poi di colpo mi si va a manetta una SVCHOST che praticamente mi frigge il processore al 100%. Killata riprende a funzionare tutto anche se ci sono strascichi e la macchina non va più bene quindi soluzione definitiva :RESTART.
A parte che ho deciso di riformattare la partizione sulla quale c'e il SO volevo capire se esiste soluzione.
Premetto che scansioni con AD-aware aggiornato , norton antivirus e sTINGER mcAfee fatta partendo con il CD di PE builder non danno alcun risultato.
Trovo cmq l'applicazione in una cartella di windows e in alcune chiavi di registro, cancello il tutto ma ad ogni riavvio rieccolo sempre.

Grazie se qualcuno mi da dritte.

[klizya]

leggiti questa guida :http://www.pc-facile.com/guida_hijackthis_t148946/
e segui le indicazioni. dovrebbe essere un trojan ma se devi formattare...

[Dylan666]

Se posti un log col programma che dice klizia risolviamo, se è solo quello che ti affligge vedrai che ti risparmierai la formattazione

[benleo]

OK ti ringrazio appena riesco a farlo lo posto ma ho paura che mi ci vuole un po di temo, magari riesco a risparmiare la formattazione e poi capire cosa ca..... è questo malefico!!!

Grazie

[benleo]

Vorrei chiedere una informazione :
Perchè quando provo ad installare il programma che mi avete consigliato mi si apre una finestra dove mi nega l'installazione e mi dice che è una applicazione win32 non valida?

Grazie per l'aiuto

[Dylan666]

Prova a ri-scaricarlo. Se non funziona prova a chiudere i vari programmi che hai vicino all'orologio di Windows o a usarlo in modalità provvisoria

[benleo]

OK ti ringrazio ora provo a riscaricarlo e adotto le accortezze che mi consigli.Ti faro sapere.

[benleo]

Ecco il log che ha sputato fuori il programma in modalità provvisoria in quanto anche terminando tutte le applicazioni attive sulla barra delle applicazioni mi da sempre applicazione di win32 non valida.
Cosa c'è che non va?

Logfile of HijackThis v1.99.1
Scan saved at 14.26.36, on 24/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\Documents and Settings\angye\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {88F56FA8-4332-08B4-972C-68553487A06F} - E:\DOCUME~1\angye\DATIAP~1\DEFAUL~1\bolt ford.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [UStorag] e:\programmi\u-storage tools\ustorage.exe sys_auto_run E:\Programmi\U-Storage Tools
O4 - HKLM\..\Run: [ccApp] "E:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\\vptray.exe
O4 - HKLM\..\Run: [MSConfig] E:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TkBellExe] "E:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Abtrusion Protector Monitor.lnk = E:\WINDOWS\system32\AbtruPro\ASECMON.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3491712013
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{391FD8CE-6328-49C7-8160-88F3956E230B}: NameServer = 212.216.112.112,160.100.88.3,160.100.88.13,160.100.88.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{94A14B5C-F1B3-4E2B-8BD8-F1409CB61C0C}: NameServer = 160.100.88.13,160.100.88.14
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - E:\Programmi\File comuni\Stibo\RS_ProtocolHandler.dll
O20 - Winlogon Notify: NavLogon - E:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - E:\WINDOWS\System32\dcom_9.dll
O21 - SSODL: cEuGbTA - {C8E56C28-624F-C682-5E7B-08D0AE08B8E6} - E:\WINDOWS\System32\nowe.dll (file missing)
O23 - Service: Abtrusion Protector (AbtrusionSecurityService) - Abtrusion Security AB - E:\WINDOWS\System32\AbtruPro\ASECSS.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - E:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: GFI LANguard N.S.S. 6.0 attendant service - Unknown owner - E:\Programmi\GFI\LANguard Network Security Scanner 6.0\lnssatt.exe" -service (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - E:\WINDOWS\svchost.exe (file missing)
O23 - Service: PrinterMap Reporting - Xerox Corporation - E:\Programmi\Xerox\PrinterMap\PMREPORT.EXE
O23 - Service: PrinterMap Status - Xerox Corporation - E:\Programmi\Xerox\PrinterMap\PMSTATUS.EXE
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - E:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - E:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - E:\Programmi\Symantec AntiVirus\Rtvscan.exe

[Dylan666]

Capirai... c'è una marea di roba!
Cominciamo, spero con ordine:

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Cominciamo subito male. Installare il SP2 e aggiornare Internet Explorer di sicure aumenterebbe la sicurezza globale del tuo PC.

O2 - BHO: (no name) - {88F56FA8-4332-08B4-972C-68553487A06F} - E:\DOCUME~1\angye\DATIAP~1\DEFAUL~1\bolt ford.exe

O4 - HKLM\..\Run: [UStorag] e:\programmi\u-storage tools\ustorage.exe sys_auto_run E:\Programmi\U-Storage Tools

O4 - Global Startup: Abtrusion Protector Monitor.lnk = E:\WINDOWS\system32\AbtruPro\ASECMON.exe

O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - E:\Programmi\File comuni\Stibo\RS_ProtocolHandler.dll

O23 - Service: Abtrusion Protector (AbtrusionSecurityService) - Abtrusion Security AB - E:\WINDOWS\System32\AbtruPro\ASECSS.exe

Non conosco questi programmi ma mi sembrano sicuri. Te li ho elencati solo per avere conferma che ti siano familiari

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - E:\WINDOWS\system32\r_server.exe" /service (file missing)

O23 - Service: svchost.exe (moto) - Unknown owner - E:\WINDOWS\svchost.exe (file missing)

O23 - Service: GFI LANguard N.S.S. 6.0 attendant service - Unknown owner - E:\Programmi\GFI\LANguard Network Security Scanner 6.0\lnssatt.exe" -service (file missing)

O21 - SSODL: cEuGbTA - {C8E56C28-624F-C682-5E7B-08D0AE08B8E6} - E:\WINDOWS\System32\nowe.dll (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

R3 - Default URLSearchHook is missing

Queste chiavi fanno riferimento a file non più presenti sul tuo PC. Per una questione di ordine è meglio selezionarle e premere Fix per eliminarle

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - E:\WINDOWS\System32\dcom_9.dll

Da elminare.

O17 - HKLM\System\CCS\Services\Tcpip\..\{391FD8CE-6328-49C7-8160-88F3956E230B}: NameServer = 212.216.112.112,160.100.88.3,160.100.88.13,160.100.88.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{94A14B5C-F1B3-4E2B-8BD8-F1409CB61C0C}: NameServer = 160.100.88.13,160.100.88.14

Da eliminare se sconosciuti. Poi disconnettersi e riconnettersi se la connessione dovesse smettere di funzionare.

[benleo]

per dilan

Ma il fatto che il programma abbia acquisito il log in modalità provvisoria cioè con il minimo indispensabile caricato sul pc, non inficia la visione dello stesso?
In altre parole: in provvisoria sembra andare tutto benissimo, quindi il maledetto non viene caricato!!
Come fare? ho impressione che la formattazione si avvicina sempre di più

[Dylan666]

Di roba da togliere già ne hai parecchia ora, preoccupati di quella e vedi se basta per i sintomi che vedevi prima. Una volta fatto ciò protremo provare anche a fare un nuovo log da modalità normale.

[benleo]

OK provo a distruggere l'inutile.
Solo che ancora non so come far partire il Hjack se mi da quell'errore in modalità normale.Spero che levando la porcheria che ha già trovato mi si metta a posto automaticamente anche il resto.

Grazie e a presto

[benleo]

OK il bits idol.exe è stato neutralizzato
con il HijackThis ho eliminato il riferimento e con un programma che si chiama abtrusion protector lo avevo già bloccato.
Mi si creava una cartella dl nome Proc Plan Thunk Window in dati applicazioni dove si annidava il maledetto.
Ora Hijack funziona anche in modo normale e con calma mi controllerò tutti i riferimenti che sono una marea.
In ogni caso di tanto in tanto mi parte al 99% una svchost che mi blocca praticamnet il pc e devo killarla ogni volta per riprendere il controllo, ma questa è un'altra puntata della storia.Probabilmente levando applicazioni sconosciute con l'aiuto del Hijack risolvo anche questa.
Grazie a tutti per l'aiuto e a presto.

[Dylan666]

Sicuro sul nome del file, svchost ?
Una primo passo potrebbe essere il SP2

[benleo]

questo svchost è un blocco di processi che ritrovo lanciando il task manager oppure l'analizzatore di processi procXP della sysinternals.
Con il task manager ho poche informazioni,mi indica solo che il blocco processi si assegna il 99% della potenza di processore, con il proceXP entro nel processo e c'è una sfilza di dll attive più altri processi in esecuzione.
Fatto vuole che mettendo giù il blocco tutto ritorna apparentemente normale.

Grazie e a presto

[Dylan666]

svchost è un processo di stema, ma potrebbe essere usato da un virus assere (Sarre ad esempio) essere un malware che sfrutta omonimia.

Passato l'antivirus? Mai usato un firewall?

[benleo]

proprio ora sto passando l'antivirus in modalità provvisoria, vedremo alla fine cosa trova.
No firewall non attivo,guarda, nella rete dove mi trovo già hanno chiuso tutte le porte, fra un po non si navigherà più se non nel proprio PC, ci manca solo il firewall che mi complica la vita.

[benleo]

Finito il controllo antivirus niente trovai.
Cmq ho attivato il firewall di XP, chissà!!
Poi voglio provare a staccarmi dalla rete per vedere se le due cose sono collegate.

Buon weekend a tutti