Qualcuno sa qualcosa sul troyan phel.l??

[Drakar]

ragazzi avete gettato la spugna?

se vi arrendete voi mi arrendo anche io di conseguenza, visto che voi ne sapete molto piu di me....

[Heba]

allora sembrerebbe che il trojan ti arrivi da questo sito http://www.isuckall.com che è un sito poco pulito, diciamo così...
il nod ti dice che il trojan si trova in un'e-mail che contiene probabilmente un allegato che riconduce a quella pagina web, se non ho capito male, se non elimini l'e-mail non eliminerai il trojan in nessuna maniera perchè tu elimini l'effetto, ma non la causa, quindi avendo sempre l'e-mail a bordo il trojan sarà sempre visibile.
Dovresti cercare un'e-mail che ti è arrivata con qualche allegato, può essere l'e-mail più pulita del mondo, cioè che non ha riferimenti pornografici, può essere inserito in un'immagine regolare per quanto ne so o un file .doc, insomma qualunque cosa. Prova così, altrimenti l'unica rimane formattare, perchè mi pare che ti abbia installato una backdoor che permette ai soliti ignoti di fare le prove con i nuke su di te...

[Nikon]

Drakar fai cosi:
IN MODALITA PROVISORIA:
Metti la spunta al fianco delle queste voci:
-----------------------------------------------
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v ... b34246.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Allora tuo problema è questo:
C:\WINDOWS\system32\inetsrv\inetinfo.exe
Allora vai su system32,trova cartella "inetsrv"
apri e ELIMINA "inetinfo.exe"
Ciao.

[Drakar]

allora sembrerebbe che il trojan ti arrivi da questo sito http://www.isuckall.com che è un sito poco pulito, diciamo così...
il nod ti dice che il trojan si trova in un'e-mail che contiene probabilmente un allegato che riconduce a quella pagina web, se non ho capito male, se non elimini l'e-mail non eliminerai il trojan in nessuna maniera perchè tu elimini l'effetto, ma non la causa, quindi avendo sempre l'e-mail a bordo il trojan sarà sempre visibile.
Dovresti cercare un'e-mail che ti è arrivata con qualche allegato, può essere l'e-mail più pulita del mondo, cioè che non ha riferimenti pornografici, può essere inserito in un'immagine regolare per quanto ne so o un file .doc, insomma qualunque cosa. Prova così, altrimenti l'unica rimane formattare, perchè mi pare che ti abbia installato una backdoor che permette ai soliti ignoti di fare le prove con i nuke su di te...

maledetti siti porno del c**** ma quando li chiuderanno tutti?
Non tengo nessuna mail estranea in outlook, devo controllare pure le webmail che non ricevo con outlook?

[Drakar]

Drakar fai cosi:
IN MODALITA PROVISORIA:
Metti la spunta al fianco delle queste voci:
-----------------------------------------------
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v ... b34246.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Allora tuo problema è questo:
C:\WINDOWS\system32\inetsrv\inetinfo.exe
Allora vai su system32,trova cartella "inetsrv"
apri e ELIMINA "inetinfo.exe"
Ciao.

ma sicuro che devo spuntare tutte quelle voci? alcune mi sembrano di programmi che normalmente girano sul pc....

[Nikon]

Io sono sicuro,se vuoi fai come ho detto.Lo so non hai fiducia perchè
sono nuovo sul questo forum,ma tieni presente che tutto quello
che ti ho fatto fare non hai cancellato nessun programma,ma far partire certi
programmi in automatico all'avvio del SO non è una bella cosa.
Dovresti essere sempre tu che decidi quali far partire oltre al fatto che
risparmi risorse,e sei più protetto. Quei programmi lì all'avvio aprono
diverse porte e anche se decidi tu quando spegnere il pc,all'avvio e finchè
sei connesso (anche in siti sicuri) hai sempre le porte aperte.
Non serve averle tutte in avvio: più processi attivi hai e più risorse consumi.
Ad ogni modo Hijakthis ti fa il backup delle chiavi che cancelli quando premi fix.
Se noti qualche malfunzionamento puoi ripristinare le chiavi quando vuoi.
Ciao.

[Drakar]

Io sono sicuro,se vuoi fai come ho detto.Lo so non hai fiducia perchè
sono nuovo sul questo forum,ma tieni presente che tutto quello
che ti ho fatto fare non hai cancellato nessun programma,ma far partire certi
programmi in automatico all'avvio del SO non è una bella cosa.
Dovresti essere sempre tu che decidi quali far partire oltre al fatto che
risparmi risorse,e sei più protetto. Quei programmi lì all'avvio aprono
diverse porte e anche se decidi tu quando spegnere il pc,all'avvio e finchè
sei connesso (anche in siti sicuri) hai sempre le porte aperte.
Non serve averle tutte in avvio: più processi attivi hai e più risorse consumi.
Ad ogni modo Hijakthis ti fa il backup delle chiavi che cancelli quando premi fix.
Se noti qualche malfunzionamento puoi ripristinare le chiavi quando vuoi.
Ciao.

ma il problema disconnessione lo prendevo dal file che mi hai fatto canellare?
No perchè appena l'ho cancellato non mi funziona più il mio server in locale...
ora come faccio?

[Nikon]

Scarica Restoration qua:
http://www.ilsoftware.it/querydl.asp?ID=578
---------------------------------------------
metti log di Hijack.

[Heba]

@drakar

haijackthis, fa il backup dei file che cancelli, prova a controllare, nel programma ma dovresti riuscire a riprenderlo.

Per l'altra tua domanda, se non hai scaricato nessuna e-mail dal programma è possibile che tu abbia scaricato il trojan dal server di posta web, magari hai aperto un'e-mail e cliccando sull'allegato te lo ha installato, può succedere anche così di prenderseli...=_='...però a questo punto, si deve trovare il sistema per far uscire allo scoperto il trojan, visto che hijack non lo rileva.

Prova a fare così, vai nell'event viewer, pulisci il registro, poi apri il task manager ctrl+alt+canc e vai sulla linguetta che indica i processi, apri internet e fai come di solito, anche se controlli i processi ogni tanto, spesso le prime volte, controlla dove c'è la colonna della CPU prima della caduta della connessione dovresti trovarti un processo che si impalla, facendo andare la CPU quasi al 100%, o se non arriva al 100% dovresti trovare il processo al 50 o 60%, poi torna normale nel giro di poco, quindi devi stare attento a quale sia il processo. Una volta caduta la connessione controlla sull'event viewer se ci sono errori di applicazione, più probabile però trovarlo sui sistemi, o di sicurezza. O il nod è impazzito e ti rileva un qualcosa che non hai, ma se ti cade la connessione così spesso, dubito, o non so, hai provato a contattare il tuo isp per controllare che il problema non sia loro? potrebbe anche essere che sia un problema di rete o di server loro (hanno troppe connessioni e gli cade il server), di più non so che farti fare, mi spiace...

[Drakar]

Scarica Restoration qua:
http://www.ilsoftware.it/querydl.asp?ID=578
---------------------------------------------
metti log di Hijack.

scusa ma se lo cancello e poi lo ristoro mica risolvo il problema?

quelle cose ancora non le ho fixate, il log di ora è questo

Logfile of HijackThis v1.99.1
Scan saved at 13.09.40, on 02/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\2kadiras.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\Teamspeak2_RC2\TeamSpeak.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Hackjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

appena dopo pranzo tengo tempo di fixarle e sistemarle se eventualmente qualcosa non va.
Poi posto il log nuovo

[Nikon]

Drakar vedi cosi:
C:\WINDOWS\system32\dllhost.exe
Vedi qua:
http://www.bleepingcomputer.com/startup ... -7146.html
--------------------------------------------------------------------------------
C:\WINDOWS\system32\inetsrv\inetinfo.exe
Vedi qua:
http://www.liutilities.com/products/win ... /inetinfo/
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Traduzione:
Processo Archivio: inetinfo o inetinfo.exe
Processo Nome: IIS Admin Servizio Aiutante

Descrizione:
inetinfo.exe è usato primariamente per bonificare Server di
Microsoft Windows Internet Informazioni Servizi. Questo programma
è importante per il corso stabile e sicuro del Suo computer e non
dovrebbe essere terminato.

Nota: inetinfo.exe è anche un processo che è registrato come il
Trojan.W32.RONTOKBRO. Questo virus è distribuito via l'Internet
attraverso e-mail ed entra nella forma di una comunicazione di e-mail,
nelle speranze che Lei l'apre l'affetto ostile è. Il worm che ha è il
proprio motore di SMTP che l'intende raggruppa E-mail dal Suo computer
locale e si re-distribuisce. In casi peggiori questo worm può permettere
ad assalitori di accedere il Suo computer, mentre rubando parola d'ordine
e dati personali. È un rischio di sicurezza registrato ed immediatamente
dovrebbe essere rimosso.

Determinando se questo processo è un virus o un processo di Windows
dipende dall'ubicazione di elenco esegue o corre da in WinTasks.

[Drakar]

Drakar vedi cosi:
C:\WINDOWS\system32\dllhost.exe
Vedi qua:
http://www.bleepingcomputer.com/startup ... -7146.html
--------------------------------------------------------------------------------
C:\WINDOWS\system32\inetsrv\inetinfo.exe
Vedi qua:
http://www.liutilities.com/products/win ... /inetinfo/
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
Traduzione:
Processo Archivio: inetinfo o inetinfo.exe
Processo Nome: IIS Admin Servizio Aiutante

Descrizione:
inetinfo.exe è usato primariamente per bonificare Server di
Microsoft Windows Internet Informazioni Servizi. Questo programma
è importante per il corso stabile e sicuro del Suo computer e non
dovrebbe essere terminato.

Nota: inetinfo.exe è anche un processo che è registrato come il
Trojan.W32.RONTOKBRO. Questo virus è distribuito via l'Internet
attraverso e-mail ed entra nella forma di una comunicazione di e-mail,
nelle speranze che Lei l'apre l'affetto ostile è. Il worm che ha è il
proprio motore di SMTP che l'intende raggruppa E-mail dal Suo computer
locale e si re-distribuisce. In casi peggiori questo worm può permettere
ad assalitori di accedere il Suo computer, mentre rubando parola d'ordine
e dati personali. È un rischio di sicurezza registrato ed immediatamente
dovrebbe essere rimosso.

Determinando se questo processo è un virus o un processo di Windows
dipende dall'ubicazione di elenco esegue o corre da in WinTasks.

allora levando inetinfo.exe mi è saltato il server che ho sul mio pc, quindi penso che sia proprio il file che gestisce IIS e non il virus, il server l'ho installato io per lavorare con il php.

Per quanto riguarda il dllhost.exe non riesco ad aprire la pagina, cortesemente potresti dirmi tu cosa potrebbe essere? anche perchè ne capirei poco

[Drakar]

ECCO IL NUOVO LOG DI HIJACKTIS, FATTO DOPO AVER ELIMINATO LE VOCI CHE MI AVEVI DETTO.
EFFETTIVAMENTE FINO AD ORA NON HO TROVATO MALFUNZIONAMENTI E IN TAL CASO HO CAPITO DOVE SI RIPRISTINANO (scusate il caps ma ho scritto grande per distinguere dal log)



Logfile of HijackThis v1.99.1
Scan saved at 14.14.44, on 02/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\2kadiras.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Hackjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/ ... nicode.cab
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Nikon]

In breve:dllhost.exe
Il worm Welchia sfrutta la stessa vulnerabilità del worm Blaster (DCOM RPC) e, nel caso il server da colpire fosse dotato di un server Web, anche una vulnerabilità di Internet Information Services 5.0 (WebDav). Il worm tenta di eliminare dal PC infetto il worm Blaster, sfruttandone gli stessi canali di trasmissione. Se attivato nel 2004 il worm Welchia si autodisinstalla.
Il worm esamina secondo un ordine stabilito o casuale i computer sulla rete Internet tentando di verificare se sono attaccabili secondo una delle due vulnerabilità descritte sopra. Se lo sono, il worm esegue sulla macchina attaccata le istruzioni per scaricare, dalla stessa macchina attaccante, il codice del Worm attraverso un server FTP.
Una volta attivato, il worm cancella i riferimenti al worm Blaster, scarica dal sito Microsoft le patch aggiornate di Windows . Il worm crea anche due servizi di rete supplementari (RpcTftpd e RpcPatch) e installa un nuovo file sotto la directory \Wins\Dllhost.exe sotto la directory di sistema di Windows.
Allora adesso funziona tutto bene.
Ciao.

[Drakar]

In breve:dllhost.exe
Il worm Welchia sfrutta la stessa vulnerabilità del worm Blaster (DCOM RPC) e, nel caso il server da colpire fosse dotato di un server Web, anche una vulnerabilità di Internet Information Services 5.0 (WebDav). Il worm tenta di eliminare dal PC infetto il worm Blaster, sfruttandone gli stessi canali di trasmissione. Se attivato nel 2004 il worm Welchia si autodisinstalla.
Il worm esamina secondo un ordine stabilito o casuale i computer sulla rete Internet tentando di verificare se sono attaccabili secondo una delle due vulnerabilità descritte sopra. Se lo sono, il worm esegue sulla macchina attaccata le istruzioni per scaricare, dalla stessa macchina attaccante, il codice del Worm attraverso un server FTP.
Una volta attivato, il worm cancella i riferimenti al worm Blaster, scarica dal sito Microsoft le patch aggiornate di Windows . Il worm crea anche due servizi di rete supplementari (RpcTftpd e RpcPatch) e installa un nuovo file sotto la directory \Wins\Dllhost.exe sotto la directory di sistema di Windows.
Allora adesso funziona tutto bene.
Ciao.

bè non posso dire di aver capito tutto...
a parte le spiegazioni, cosa dovrei fare??

[Nikon]

Adesso niente hai detto funziona tutto bene.

[Luke57]

@ Drakar
Ciao Drakar, mi sono inserito solo per dire che con l'assistenza di Nikon sei in buone mani

[Nikon]

Grazie Luke57,come va.

[Drakar]

a me male.... come lo elimino questo fetente di problema

[Drakar]

scusate, ma 2min fa mi è caduta di nuovo la connessione, e come sempre semplicemente resettando il router torna up normalmente...
Non è un problema di linea, è sicuramente sto virus, evidentemente non si è ancora tolto, cosa devo fare??

questo è il log appena dopo la caduta della connessione

Logfile of HijackThis v1.99.1
Scan saved at 17.28.33, on 02/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\2kadiras.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Hackjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/ ... nicode.cab
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe