Ieri pomeriggio mentre navigavo sulla rete mi è successa una cosa abbastanza strana, Zone Alarm mi chede se autorizzo il Programma nxyn1.exe a connettersi a internet, visto che non lo conosco, nego senza nessuna incertezza ma un forte dubbio inizia a pervadermi. Dopo appena 5/10 minuti mi si sconnette l'adsl ed inizio a sentire il modem analogico che cerca di connettersi ad Internet, ma visto che per precazuione lascio sempre il doppino scollegato , lo stesso anche dopo vari tentativi non riesce a connettersi, nel frattempo vado nella cartella delle connessioni e vedo che una nuova connessione si è creata ed appare solo nel momento di tentativo di connessione e poi scompare. Dopo qualche inutile tentavivo riuscito male a questo fantomatico programma, vado su cerca e cerco anche tra i file nascosti, tutti il file ".exe" creati nel giorno e trovo due file sospetti e cioè l'nxyn1.exe nella cartella Windows/Temp di prima e poi qHRAnb.exe (di colore verde cioè come un file crittografato) nella cartella c:\Programmi\file comuni\Sistem. Riavvio in modalità provvisoria, faccio la scansione con Avast e lo stesso non trova niente, avvio Sting.exe e neanche questo trova niente, lo stesso vale per Ad-Aware e Spybot, allora decido di estrapolarli direttamente e ci riesco solo con nxyn1.exe mentre l'altro non ne vuol proprio sapere. Riavvio in mod. normale e faccio partire HiJack che mi dà sempre nxyn1 tra i file
O4 - HKLM\..\Run: [nxyn1.exe] e premurasamente spunto per poterlo cancellare. Riavvio, sembra tutto normale e finisce tutto lì, .
Oggi pomeriggio stessa cosa di ieri, All'improvviso Zone Alarm chiede....... e così via come il giorno prima. Stesse operazioni di ieri e stavolta oltre il file l'nxyn1. exe, trovo non più quello di ieri qHRAnB ma al suo posto il OVJ.exe, Cercando meglio anche tra i Servizi di Strumenti di amministrazione lo trovo sotto forma di " servizio Supporto NetBIOS su TCP/IP (NetBT) e risoluzione nomi NetBIOS" ma sò per certo che non è vero in quanto come connessione mi dà un nome strano ".\kMqIPjbwsTcUPfFlwP" e non mi fà cambiare il tipo di avvio da automatico a manuale dicendomi che è negato. Stesse operazioni di ieri in mod. provvisoria e niente non riesco a cancellare OVJ.exe in nessun modo, neanche facendo il taglia ed incolla. A questo punto mi chiedo come fare a cancellare questo file .exe che ho installato sul pc e periodicamente mi installa anche un dialer attraverso nxyn1.exe . Scusate se sono stato troppo prolisso e forse un pò confusionario, ma ho cercato in tutti i modi possibili ( a me conosciuti) di sistemare il tutto ma non ci riesco.

Per ogni verifica inserisco il log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\SmartSync Pro\SmartSync.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\Programmi\TRUST\Bluetooth Software\BTTray.exe
C:\Programmi\CountDown\CountDown.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\TRUST\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\Rosario\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {15D7D8DC-A31A-713A-D5B2-126617D6BCBE} - C:\WINDOWS\nciyk1.dll (file missing)
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Programmi\SlipStream Web Accelerator\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SmartSync Pro] "C:\Programmi\SmartSync Pro\SmartSync.exe" /Logon
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] C:\PROGRA~1\SPYWAR~1\swdoctor.exe /Q
O4 - Startup: CountDown.lnk = C:\Programmi\CountDown\CountDown.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\TRUST\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\TRUST\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\TRUST\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://saturn.tct-it.com/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {FFD1E45F-2B11-4742-BF47-3822FE02EE0F} (Yahoo! Foto - salva e condividi le tue foto su Yahoo! E' facile!l Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_7it.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\TRUST\Bluetooth Software\bin\btwdins.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Edited by - BANDW on 07/07/2006 20:56:19

Ciao ,
esegui queste operazioni

Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

Riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono.

==================================
O2 - BHO: Class - {15D7D8DC-A31A-713A-D5B2-126617D6BCBE} - C:\WINDOWS\nciyk1.dll (file missing)
==================================

Cerca ed elimina questo file
==================================
nciyk1.dll
==================================


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA
poi clicca il pulsante PAGINA PREDEFINITA e su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui alla voce 8
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=170&SH=N

Fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym

Utilizza questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1041

---

alfonso_aiutamici@hotmail.it

<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>comunque ne approfitto per installare anche SpywareBlaster visto che Spyware Doctor non mi ha tanto soddisfatto. <hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Ciao , spyware doctor , non puoi sostituirlo con SpywareBlaster ....sono due programmi diversi , e poi sappi che spyware doctor è uno dei migliori antispy in circolazione

<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>comunque ne approfitto per installare anche SpywareBlaster visto che Spyware Doctor non mi ha tanto soddisfatto. <hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Ciao , spyware doctor , non puoi sostituirlo con SpywareBlaster ....sono due programmi diversi , e poi sappi che spyware doctor è uno dei migliori antispy in circolazione
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
Il problema è che mi dà problemi in fase di registrazione e quindi non potendolo registrare mi dice quali sono i file incriminati e non me li fà cancellare e quindi ogni volta devo andare a cercarli uno per uno ed eliminarli manualmente. Comunque la maggior parte delle volte mi segnala gli stessi file di Ad-Aware più qualcun altro.

Dimenticavo un'ultima cosa, dopo aver cancellato il file <b>nciyk1.dll</b> pare funzionare tutto adesso (speriamo che duri).

Edited by - BANDW on 07/08/2006 12:26:06

<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Se il problema continua a presentarsi potrebbe trattarsi di un virus, se ti è possibile prova a fare la scansione on line

i virus non si possono rintracciare dal log perché questi di solito infettano file di sistema legittimi.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Bene ( o quasi) , il problema si è ripresentato e mi ritrovo un file incancellabile sempre sulla cartella c:/windows/programmi/file comuni/ di colore verde (a quanto pare crittografato) che non riesco a cancellare (ma a rinominare si, tanto che l'ho chiamato "virus") neanche da moodalità provvisoria, sempre su strumenti di amministrazione mi ritrovo un servizio alquanto strano che non riesco a disabilitare ed ogni tanto Zone Allarm mi chiede se Nxyz1.exe può collegarsi al server, io non autorizzo ed mi si disconnette l'adsl, dopodichè cerca di far connettere il modem 56 k, e così via come descritto all'inizio del mio post, stavolta però avendo disabilitato precedentemente inavvertitamente il ripristino configurazione non riesco a ripristinare il pc ad un punto in cui lo stesso funzionava, ho anche disabilitato all'avvio, da msconfig, ciò che riconduceva a questi file.
A questo punto la domanda è: " come posso fare a cancellare questo file presente su c:/programmi/file comuni/temp/?.
Dimenticavo un'ultima cosa, ho fatto la scansione online con McAfee, Panda, Stinger, e l'Avast che ho installato (quest'ultimo mi ha trovato invece un Trojan e gli altri online no!!!)ed il log è tale e quale a quello citato sopra cioè senza altri file strani.

Grazie Steven75, nel frattempo che dò un'occhiata al link, (abbastanza dettagliato) ecco tre immagini che sintetizzano da cosa dovrei essere stato infestato:

qui le proprietà del servizio
<img src="http://i61.photobucket.com/albums/h71/BANDW1/WebBku.jpg" border=0>

la connessione che si crea all'occorrenza
<img src="http://i61.photobucket.com/albums/h71/BANDW1/WebBku1.jpg" border=0>

la descrizione del servizio che stranamente è uguale a quella di sotto e che non mi dà la possibilità di selezionare ne su manuale ne ne disabilitarla (accesso negato) e che tra l'altro è l'unica che come connessione mi esce <b>.\YzsVK</b>
<img src="http://i61.photobucket.com/albums/h71/BANDW1/WebBku2.jpg" border=0>

<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
ciao
il servizio prova a farlo saltare con Hijackthis ....
Dalla modalità provvisoria avvia hijackthis,
clicca su <b>Open the misc tools section</b>, seleziona <b>delete an NT service</b> e nello spazio bianco inserisci il nome del servizio <b>WebBku</b> dai l'ok e riavvia il sistema ...

PS__Comunque segui le procedure indicate nel link

Edited by - steven75 on 08/18/2006 22:51:42
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
Adesso provo dalla modalità provvisoria, ma da misc tools c'è soltando "DELETE A FILE ON REBOOT"

Allora prova in questo modo anche se non capisco come mai non hai tutte le opzioni in hijackthis .....che versione hai?
Vai su start -> esegui -> digita <b>sc stop WebBku</b> e dai l'ok
poi digita <b>sc delete WebBku</b> e dai l'ok

EDIT__Ah ok

Edited by - steven75 on 08/18/2006 23:07:45

intanto GMER su "Autostart" nel log mi dice:

WebBku /*WebBku*/@ = "C:\Programmi\File comuni\System\thX.exe" /*file not found*/

Quanto tempo ho per rispondere? Aspetta che mi metto la cuffia!!
1- HiJack non me lo fà vedere nella modalita di avvio normale e facendo come dicevi tu non lo trova e cioe da <b>delete an NT service</b>, invece da <b>delete file on rebbot</b>non lo cancella al successivo riavvio.
2 la procedura è un pochino complessa, e da ieri sera faccio scansioni online con tutti i virus possibili ed immaginabile ed ognuno trova sempre qualcosa che quello di prima non ha trovato (a proposito dal link del tuo sito http://steven.altervista.org/files/scan.html non funziona l'unltimo antivirus in basso)
Ora comunque devo spegnere che mi vado a fare un week end fuori, lunedì se ne parla! Buon fine settimana a tutti!<img src=icon_smile_wink.gif border=0 align=middle><img src=icon_smile_wink.gif border=0 align=middle><img src=icon_smile_wink.gif border=0 align=middle>