Non riesco a debellare un virus. Help, please!

Ciao a tutti, ragazzi!

Ho un gran bisogno del vostro aiuto.
Nel mio PC c'è un virus che non riesco a debellare ed ho paura che infetti o derivi dalle mie pagine web.
Il programma VIRIT (un antispy) me lo segnala in questo modo ma ripeto, nè lui nè altri programmi antivirus riescono a debellarlo.

C:\Windows\MOTA113.exe

e mi indica " possibile variante da I-WORM.Netsky.SA ".

Come faccio a cancellarlo dal mio computer? Che software o modalità manuali devo adottare? C'è una soluzione a questo virus o devo necessariamente reinstallare Windows XP per cancellarlo del tutto?
Finora ho usato i seguenti programmi per combatterlo, inutilmente.

- Avast - Versione 4.7 (antivirus)
- Antivir (antivirus)
- Adware SE Professional (antispy)
- Ewido (antispy)
- VIRIT (antispy)

Fatemi sapere, vi prego, e grazie mille per tutte le info che potrete darmi in merito!

Un grandissimo saluto!!

Dazi@

[dreadnaut]

puoi provare con lo specifico tool.

Magari poi togli un po' di roba, e tieni un anti-virus e un anti-spyware (oppure un anti-virus e usi firefox/opera e non scarichi cose strane). É facile che piú anti-virus assieme si diano piú fastidio che altro :)

Se non riesci a cancellare quel file perchè magari è in uso prova a scaricarti e installarti Unlocker (http://www.softpedia.com/get/System/...nlocker.shtml). Poi clicchi su MOTA113.exe con il tasto destro, clicchi su "Unlocker" e ti fa vedere tutti i processi di quel file. A questo punto blocchi tutti i suoi processi e lo elimini tranquillamente.

Ciao!

Grazie mille, ragazzi!

Seguirò i vostri consigli e suggerimenti e vi farò sapere cosa ho ottenuto.

Grazie ancora e a presto!!

Un grande abbraccio!!

Dazi@

Hai provato a cancellarlo manualmente?
Hai pure indicato il percorso: C:\Windows\MOTA113.exe

Se non te lo fa eliminare, prova in modalità provvisoria di Windows da lì è sicuro che te lo elimina

...byex!

Ciao!

So dov'è collocato il virus perchè me lo indica " VIRIT ", il programma antispy che però non riesce a rimuoverlo come gli altri ma la cartella con il nome del virus non si rileva andando su esplora risorse, anche con l'opzione che permette di visualizzare i file nascosti di Windows.
Però non ho provato a visualizzarla in modalità provvisoria. Lo farò senz'altro.
Grazie mille!!
Purtroppo il tool della Symantec non ha dato nessun riscontro e Unlocker mi dice che non sono autorizzata al debug, il che non so cosa voglia dire (perdonate la mia ignoranza in materia). Potete spiegarmelo, per favore?
Vi prego, consigliatemi ancora. Ormai è guerra aperta tra me ed il virus e vorrei spuntarla io senza dover reinstallare tutto il sistema operativo per cancellarlo definitivamente.
Grazie di cuore ancora una volta! Fatemi sapere.

Un abbraccio!!

Dazi@

Per chi dovesse avviare il pc in modalità provvisoria:

Per avviare il PC in modalità provvisoria devi premere F8 all'avvio del computer quando ci sono ancora le scritte bianche (quelle della velocità della CPU, ram, disco fisso). Se non riesci ad avviarlo guardati questa guida della Symantec: http://service1.symantec.com/SUPPORT...20906143424924.

____________________________________________

Comunque puoi ancora provare a guardare se per caso quel virus non fosse in esecuzione automatica.
Vai su START->Esegui..->"msconfig"->Invio. Nella scheda "Avvio" guarda se c'è un programma con quel nome e se c'è controlla che NON sia spuntato.

Ciao!

[Saturnix]

Premetto che sono un utente Macintosh, e il mio primo suggerimento è quello di dare fuoco al PC è di comprarti un MacBook (dopo stai pure tranquillo/a che di virus non ne arrivano).
Comunque nonstante la mia scarsa esperienza in campo di PC posso suggerirti qualcosa:
IMPORTANTE: devi essere loggato come amministratore, in caso contrario sarà impossibile eseguire l'eliminazione per mancanza di permessi.
1) Apri il "monitoraggio attività" (che nel PC dovrebbe chiamarsi "task manager")
2) Chiudi tutti i processi inutili e tutti i processi che potrebbero utilizare il virus in questione, probabilmente dovrai anche chiudere anche quello per visualizzare i file (ca**o non so come si chiama in Windows, se qualcuno mi aiuta... mac:finder=window:???), quindi dovrai eliminare il virus, non con il solito cursore ma usando il propmpt dei comandi (andando su "start">esegui>e scrivi "command".).
Ora ci vuole qualcuno esperto di BAT per continuare, io so qualcosa ma non voglio provocare danni quindi mi limito a questo
a) scrivi "cd /" e premi invio
b) scrivi "del \Windows\MOTA113.exe" e premi invio
se la risposta (del passaggio b) è "directory not found" prova con "del Windows\MOTA113.exe"
se non ci riesci subito, non ti scoraggiare, riprova a modo tuo, in ogni caso il mio messaggio è solo una traccia da seguire...

In ogni caso, ti auguro di debellare sto bastardo.

[seneca]

Io avrei un'altra soluzione semplice semplice: dovresti avviare il computer in modalità DOS senza avviare windows - usa un disco che sicuramente(?) avrai fatto qualche volta, con autoexec.bat e qualcos'altro che ora non ricordo - navighi nelle cartelle fino ad arrivare a quella dove risiede il file infetto e con un DEL lo mandi a casa!

Carissimi,

Sto' virus è proprio un bastardo e voglio fare tutto il possibile per sconfiggerlo prima di gettare la spugna e reinstallare tutto.
Intanto continuo a seguire i vostri preziosi consigli (GRAZIE DI CUORE, RAGAZZI!!).
Purtroppo non mi intendo di DOS e lì sarà dura per me operare, però l'idea di lavorare nell'opzione Amministratore non l'ho ancora tentata.
Saturnix, parto dal tuo suggerimento che per me è al momento il più semplice da seguire. Vi prego, continuate ad assistermi perchè, da quando ho potuto constatare facendo una ricerca su Google, è un nuovo virus, molto potente, e il riuscire a debellarlo potrebbe essere utile anche ad altri, trasmettendo loro le relative informazioni.
Vabbè che ne nasceranno di nuovi ma per il momento combattiamo questo.

Grazie un infinità di volte per le info che mi state inviando!!
Grazie davvero!!

A presto!

Dazi@

Mmm... virus eh? Bene bene, in passato mi ci sono fatto le ossa, tant'è che l'ultimo virus che mi costrinse a formattare lo presi sotto Windows 98
Beh, nel tuo caso, trattandosi addirittura della variante di un worm, molto probabilmente aver individuato l'eseguibile che si occupa di lanciarlo non serve a nulla, in quanto quel maledetto avrà già provveduto a installare centinaia di files infetti, per lo più trojan da inviare per posta o per linking via IM, ad esempio tramite MSN Messenger, a tutti i tuoi contatti di mail (comportamento tipico dei worm )
Quindi, non posso che consigliarti la procedura "standard"...

-Disattiva "Ripristino Configurazione di sistema" di Windows XP (tasto dx su Risorse del Computer, Proprietà)
-Installa un antivirus efficace (ad esempio AVG Free Edition, il mio favorito, http://free.grisoft.com/doc/2/lng/us/tpl/v5 ), aggiornalo ed effettua una scansione di tutto il PC
-Ad-Aware di norma dovrebbe segnalare la presenza di trojan, oltre che ovviamente di spyware. Controlla che sia aggiornato
Nel caso in cui alcuni files infetti dovessero permanere, ad esempio perchè se annientati dall'AV si rigenerano in pochi secondi grazie al registro di sistema, prova a cancellarli manualmente, rintracciando il loro percorso grazie al resoconto delle scansioni effettuate con AVG

Dovrebbe andare tutto bene, a questo punto non posso che dirti di incrociare le dita, buona fortuna

[Saturnix]

Senza offessa ma io credevo che dassi x scontanto l'opzione di amministratore. Solo un'utente root può eliminare i file in C/Window... cmq il DOS non è difficile da imparare... gli unici comandi che in questo caso ti servono sono
1) cd \ (per raggiungere una directory)
2) del (per cancellare dei file)
Per lavorare nel DOS basta scrivere command su Start>esegui.
cd \ (poi premi invio)
del \Windows\MOTA113.exe

In ogni caso il mio consiglio originale (di passare a un Mac) è sempre valido.
Buona fortuna cmq spero che tu riesca a fottere sto bastardo !!!!

[dreadnaut]

non riesco ad esimermi dal fare un po' di correzioni

Senza offessa ma io credevo che dassi x scontanto l'opzione di amministratore. Solo un'utente root può eliminare i file in C/Window...

Se il file è finito li, al 90% lei era giá loggata come "amministratore" quando ha preso il virus. Un'installazione tipica di windows ha spesso un solo utente, con tutti i privilegi anche se non si chiama "amministratore".

cmq il DOS non è difficile da imparare... gli unici comandi che in questo caso ti servono sono
1) cd \ (per raggiungere una directory)
2) del (per cancellare dei file)
Per lavorare nel DOS basta scrivere command su Start>esegui.
cd \ (poi premi invio)
del \Windows\MOTA113.exe

non si scrive piú "command" dal 2001. Si deve lanciare "cmd" (.exe). Il metodo dubito cmq funzioni, perché se il programma é attivo, il file non puoi cancellarlo.

[Saturnix]

drenaut, forse dovresti rileggerti il mio primo messaggio a questo post dove ho scritto
1) che non sono un utente windows perciò i passaggi vanno ricontrollati
2) che prima di effetuare questi passaggi, bisogna prima amprire il task manager e bloccare i processi meno importanti, l'unica cosa che ti può fottere è se il virus usa il kernel_task (che se lo interrompi sono guai) oppure se ti blocca il task maneger. Inoltre mi sembra possibile che il virus si sia installato in quella directory anche se l'utente non era amministratore per il semplice motivo che windows a tante di quelle falle che persino un bambino riuscirebbe a loggare un programma come root e fregarci in completo.
Chiaro ora ?

[dreadnaut]

boh, mi sembra che tu dica "non só molto di PC" e al tempo stesso elenchi un sacco di cose che non hanno molto riscontro reale. Se non sei certo, non scrivere ecco

Bloccare i processi "meno importanti" non serve assolutamente a nulla, devi bloccare UN processo solo, quello del virus. A meno che il virus non sia un hook collegato ad un processo di sistema - ma questo virus è un eseguibile, quindi non è il caso.

Non c'è una cosa come il "kernel_task". C'é il kernel, ma questo non è un rootkit, é un virus. Poi ci sono i processi che girano con permessi di sistema (aka servizi), e non c'è nessun pericolo ad interromperli dal task manager perché NON PUOI. Infine ci sono i processi che girano con i permessi dell'utente.

Lasciamo perdere la cosa delle falle, di root e dei bambini... non sei un utente windows, lascia perdere i thread su windows ;)

[seneca]

Ricordiamoci di mantenere la conversazione in toni si di confronto, ma comunque di rispetto reciproco.

...Si deve lanciare "cmd" (.exe). Il metodo dubito cmq funzioni, perché se il programma é attivo, il file non puoi cancellarlo.

Una precisazione: lanciare DOS da Windows non ha utilità alcuna, i metodi di Windows rimangono attivi; rileggendo il mio post precedente, propongo di avviare subito DOS senza passare per Windows.

[dreadnaut]

c'é alta probabilitá che il disco sia ntfs, e partendo con il dischetto non si vede neppure. E Linux é read only per ora - i driver r/w sono "sperimentali". C'é la console di recupero sul cd di windows xp, ma (senza portar iazza) avrá una versione oem preinstallata e niente cd originale -.-

edit: oddio, mi rileggo e sono l'uomo piú disfattista del mondo
Ora, se nel task manager c'è questo MOTA113 lo puó terminare, e se anche riparte si puó fare un giochino per cancellarlo prima che riparta. Bisogna vedere che non cambi nome.

Che poi avendo la macchina davanti sarebbe probabilmente 10 minuti di lavoro

[powser]

con un programma di formattazione qualsiasi, tipo il partitio magic, puoi trasformare l'ntfs in fat32 senza perdere dati (io l'ho fatto è non ho avuto problemi) ma è rischioso. e poi puoi andarci tranquillamente con un live di linux!

[Saturnix]

Io mi limito a descrivere ciò che faccio sul mac e "tradurlo" per PC ? Capisci... x qst molte cose non hanno riscontro reale...

boh, mi sembra che tu dica "non só molto di PC" e al tempo stesso elenchi un sacco di cose che non hanno molto riscontro reale. Se non sei certo, non scrivere ecco

Bloccare i processi "meno importanti" non serve assolutamente a nulla, devi bloccare UN processo solo, quello del virus. A meno che il virus non sia un hook collegato ad un processo di sistema - ma questo virus è un eseguibile, quindi non è il caso.

Non c'è una cosa come il "kernel_task". C'é il kernel, ma questo non è un rootkit, é un virus. Poi ci sono i processi che girano con permessi di sistema (aka servizi), e non c'è nessun pericolo ad interromperli dal task manager perché NON PUOI. Infine ci sono i processi che girano con i permessi dell'utente.

Lasciamo perdere la cosa delle falle, di root e dei bambini... non sei un utente windows, lascia perdere i thread su windows ;)

Io mi limito a descrivere ciò che faccio sul mac e "tradurlo" per PC ? Capisci... x qst molte cose non hanno riscontro reale...

E allora fai il piacere di non intervenire dove non hai le conoscenze adatte per aiutare!
Sto notando (e non sono il solo) che ti stai impegnando molto nella tipica azione 'postatio pro counter', la quale attività è molto mal vista qui. Attenzione che potresti ritrovarti col risultato contrario da in giorno all'altro!

Detto questo, ogni altro post (di qualunque utente) che non contenga info utili all'oggetto del topic verrà eliminato.


Ciao!

Carissimi,

Mi dispiace aver generato un pò di agitazione con il mio dilemma ma sono felice che vi siete appassionati al mio problema perchè questo virus voglio proprio debellarlo e non posso credere che non ci sia una soluzione tecnica o manuale per sotterrarlo del tutto.
Ormai è guerra aperta con sto' MOTA113!
Vi spiego pertanto quali sono gli effetti del virus e le azioni che ho intrapreso finora per combatterlo. Faccio proprio un elenco per essere molto specifica:

Effetti virus

- Chi lo ha lanciato il virus lo ha fatto di proposito, sul mio sito, mirando alle keywords presenti nelle mie pagine web.
Quando appare, ad esempio, la keyword " Kiefer Sutherland " nei testi delle mie pagine web (il mio sito è dedicato a questo attore) risulta linkato da un URL abusivo.
Ho cancellato dal codice delle mie pagine queste " parole chiavi " ed i link estranei sono scomparsi ma se leggo il nome " Kiefer Sutherland " in un altro sito, rilevo nuovamente il link del virus, proprio perchè ho il bastardo nei file del mio sistema operativo.
Oltre questo, ho difficoltà di connessione nel web e c'è qualcosa che consuma velocemente la memoria virtuale del mio PC fino a limitare nettamente l'apertura delle applicazioni. A quel punto devo riavviare il Computer per poterci lavorare dentro.

Che cosa ho fatto finora per risolvere la situazione.

Ho scandagliato più volte il sistema in modalità provvisoria con Avast, VirIT, Ad-Aware, Spyboot, Ewido, Antivir, con il tool della Symantec per il rilevamento dei W32.Netsky.
Ho cancellato dei virus ma il bastardo, quello più rognoso, è ancora lì a crearmi problemi e voglio distruggerlo.
L'ultimo espediente è stato quello di fare un resoconto del sistema con tutto ciò che ha di attivo dentro con il HijackThis scanner.
Sono andata sul Forum di " SuspectFile " e mi hanno indicato questa procedura per verificare lo stato del mio sistema.
Chi di voi sa interpretare questi dati?

Logfile of HijackThis v1.99.1
Scan saved at 23.44.45, on 24/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 1.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\VEXPLITE\MONLITE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hphmon06.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dazia24.altervista.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {28611CF5-B2C0-625F-31A6-FE2EFEF10D10} - C:\WINDOWS\jxilx1.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn1\yt.dll (file missing)
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb1 1.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPHUPD06] C:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [bvvp2.exe] C:\WINDOWS\Temp\bvvp2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\digital imaging\bin\hpqtra08.exe
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\digital imaging\bin\hpqthb08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://c:\PROGRA~1\MICROS~2\office\1040\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SecMmj - Unknown owner - \\?\C:\Programmi\File comuni\System\com1.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

Altra info: non mi sono mai logata nel mio PC come Amministratore.
Fatemi sapere perchè la mia competenza in campo informatico non è buona quanto la vostra.
Un'ultima cosa. Poichè sono disperata e in guerra aperta con questo virus, ho anche contattato via e-mail i titolari di " VirIT ", l'unico programma che ha dato un nome a questo virus. Ho chiesto loro come mai il software, pur segnalandolo, non riesce a cancellarlo come gli altri. Vediamo cosa rispondono.
Vi farò sapere.

Ragazzi, vi ringrazio di cuore per tutta l'assistenza che mi state offrendo fino adesso. Vi assicuro che lo sto apprezzando MOLTISSIMO!!! E se anche poi non riuscissi a venire a capo del problema, quanto meno avrò imparato qualcosa da voi nell'ambito informatico.
Grazie ancora!!

A presto ed un abbraccio a tutti voi!!

Dazi@

C:\WINDOWS\Temp\bvvp2.exe

Sai per caso che cos'è? A me il nome non piace, come nemmeno il percorso. E' in esecuzione automatica.. prova a rimuoverlo (so che il virus è in un altro percorso ma magari questo può "ri-generare" il virus ad ogni riavvio..

Ciao!

[Saturnix]

Ma perchè non provi con il task-manager (te lo devo dire ancora?)... Nel log-file postato da te ci sono adderitura le preferenze di IE, non capisco cosa c'entri... In ogni caso io credo che il log-file del virus faccia vedere tutte le modifiche che quel bastardo ha apportato al tuo sistema, prova a cambiare browser, metti firefox e poi dimmi... quello non dovrebbe darti problemi...

[dreadnaut]

HiJackThis é sempre una saggia scelta, anche se è un po' ostico all'inizio

Io gli farei correggere:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {28611CF5-B2C0-625F-31A6-FE2EFEF10D10} - C:\WINDOWS\jxilx1.dll (file missing)
O4 - HKLM\..\Run: [bvvp2.exe] C:\WINDOWS\Temp\bvvp2.exe
O23 - Service: SecMmj - Unknown owner - \\?\C:\Programmi\File comuni\System\com1.exe (file missing)

anche io punterei a quel "bvvp2.exe" come programma principare del virus. Non mi piace peró che non ci sia un processo attivo, potrebbe essere tignoso rimuoverlo. Un metodo potrebbe essere:

1) chiudi Internet Explorer ( quindi copia queste istruzioni )
2) apri un prompt:
Menu Start -> Esegui...
cmd.exe <invio>
3) ti sposti la dove la roba é con
cd \windows <invio>
4) lanci il task manager ( Ctrl-Shift-Esc )
5) termini explorer.exe ed iexplore.exe se è ancora li
6) provi a cancellare i due file con
del mota113.exe <invio>
del Temp\bvvp2.exe <invio>
7) rilanci explorer (il desktop e la barra !) con "explorer <invio>"

se anche cosí non van via, è fastidioso

Ciao, ragazzi!

Adesso provo tutto!

In questo percorso " C:\WINDOWS\jxilx1.dll (file missing) " c'è un trojan. Questo lo so per certo perchè ogni volta Avast me lo estirpa proprio su questo dll.
"bvvp2.exe" non convince neppure me e quindi vado a ricercarlo. Poi seguo la procedura che mi avete indicato con il prompt. Dopo di che, se non ho ottenuto un risultato soddisfacente, chiedo al mio amico di reinstallarmi Windows.

Grazie ancora, ragazzi! Vi faccio sapere come finisce la telenovela.

Un abbraccio!!

Dazi@

[Evcz]

Una curiosità...

ma virit (http://www.tgsoft.it/italy/download.htm) lo scarichi nel desktop e poi riavvi il pc in modalita' provvisoria e installi ed esegui la scansione da la? avviare in modalita' normale non basta per rimuoverli :S

come ultima spiaggia... installati la versione trial di kaspersky che toglie anche il virus più radicato :P

http://www.kaspersky.com/trials?chapter=186685140

;)

raga ma se andate sul sito di hijackthis ve lo controlla da solo e vi segnala lui i problema...ti chiede di mettere i dati e ti segnala quello che c'è pericoloso

[dreadnaut]

fatto adesso, con il log sopra, e anche lui punta il dito su "bvvp2.exe" in quanto "strano". In piú ci eravamo svaniti questo:

O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm

che sembra puntare al file sbagliato. Solo che ho windows 98 qua e non posso controllare quale sia quello giusto -.-

Carissimi,

Mi dispiace aver generato un pò di agitazione con il mio dilemma ma sono felice che vi siete appassionati al mio problema perchè questo virus voglio proprio debellarlo e non posso credere che non ci sia una soluzione tecnica o manuale per sotterrarlo del tutto.
Ormai è guerra aperta con sto' MOTA113!
Vi spiego pertanto quali sono gli effetti del virus e le azioni che ho intrapreso finora per combatterlo. Faccio proprio un elenco per essere molto specifica:

Effetti virus

- Chi lo ha lanciato il virus lo ha fatto di proposito, sul mio sito, mirando alle keywords presenti nelle mie pagine web.
Quando appare, ad esempio, la keyword " Kiefer Sutherland " nei testi delle mie pagine web (il mio sito è dedicato a questo attore) risulta linkato da un URL abusivo.
Ho cancellato dal codice delle mie pagine queste " parole chiavi " ed i link estranei sono scomparsi ma se leggo il nome " Kiefer Sutherland " in un altro sito, rilevo nuovamente il link del virus, proprio perchè ho il bastardo nei file del mio sistema operativo.
Oltre questo, ho difficoltà di connessione nel web e c'è qualcosa che consuma velocemente la memoria virtuale del mio PC fino a limitare nettamente l'apertura delle applicazioni. A quel punto devo riavviare il Computer per poterci lavorare dentro.

Addirittura...
Beh, stando a quanto scrivi, si tratta di un attacco informatico sferrato attraverso una porta aperta del tuo sistema!!
C'è dunque la concreta possibilità che il firewall applicato alla tua connessione internet sia affetto da qualche falla
E se utilizzi quello integrato con il Service Pack 2 di Windows XP, la cosa non mi stupisce neppure così tanto -_-'
Anzi, ne approfitto per mettere sull'attenti tutti gli utenti che abbiano già fatto l'errore di aggiornere XP al Sp2: NON UTILIZZATE IL FIREWALL INTEGRATO!! Daccordo, consente di regolare l'accesso dei programmi coi suoi bei messaggini, ma in quanto a sicurezza sarebbe capace di far cagare una vecchietta stitica che va avanti a estratto di prugne da una ventina d'anni
Quello del Sp1 è drammaticamente ostico da personalizzare, ma in quanto a sicurezza è fenomenale... rende il PC praticamente immune ad ogni attacco, lo posso testimoniare in quanto, da suo utente, ho effettuato numerosi test di sicurezza presso i siti più autorevoli, primo fra tutti Shields Up!! su www.grc.com , tutti terminati nel migliore dei modi.
In caso di dubbi, recati sul sito che ho accennato sopra (infallibile ), clicca su Shields Up!!, scorrendo la pagina successiva verso il basso ancora su Shields Up, accetta le condizioni ed effettua un test completo (All Service Ports). Il test verrà superato (PASSED) unicamente se tutte le porte del tuo PC saranno chiuse e nascoste (Stealth), il PC non risponderà ai Ping (ECHO) e rifiuterà qualsiasi pacchetto privo di identificazione sicura. In caso contrario, il risultato sarà negativo (FAILED). Ciò significa che il firewall che utilizzi non rende il PC sicuro.
Se così dovesse essere, puoi tranquillamente passare a ZoneAlarm, versione gratuita, http://www.zonelabs.com/store/conten...&ctry=&lang=it , oppure a firewall commerciali, come McAfee Personal Firewall Plus (nella sua ultima versione, la 2006, si è dimostrato ancora una volta il firewall più affidabile del mondo, ca. 45 €, disponibile in ITA ).
Debella quel maleddetto problema, in bocca al lupo ancora!!

[dreadnaut]

se c'è una cosa che a mio parere non è, è un famigerato "attacco informatico sferrato attraverso una porta aperta del tuo sistema".
Ma siccome non si sá mai, potresti spiegarci perché dici questo ? quali prove, o almeno indizi hai ? L'hai sferrato tu, oppure vendi (inutili) firewall

Poi mi stupisce il tuo commento sui test: secondo te, se una macchina risponde ai PING allora ha bisogno di un firewall?

poi boh, se mi dici che lo fai di lavoro o hai una laurea in materia, allora spiega davvero perché è buono sapere

Edit: btw, io parto, non fatele fare cose insensate mentre sono via