File Navprotect.exe

[alice]

Ciao a tutti,

ho un piccolo problem: dopo aver giocato (maledetta questa idea) con i servizi per le reti domestiche di windowsxp l'antivirus (antivir) mi continua a dare worning su un file che si chiama navprotect.exe (e anche su winmeplay.exe e un altro ma non ricordo il nome).

I problemi sono due:

- il file dovrebbe essere locato dentro system32 ma non c'è (visualizzo anche file nascosti e di sistema). Anche quando process explorer mi dice che è in esecuzione nella cartella non lo trovo, e nemmeno in altri posti

- i woring si susseguono ininterrottamente, a prescindere dall'azione che descidero fare: bloccare l'accesso, metterlo in quarantena, rinominarlo,...

Qualcuno sa a cosa serve questo file o se è un file di windowsxp???

Thanks

Alice

[alice]

Dimenticavo, non ho mai installato il norton!

[dav78]

WORM!!!

http://www.trendmicro.com/vinfo/virusencyc...%2EAXF&VSect=Sn

[Angelo]

Ciao Alice, grazie ancora x l'upload dei drivers, funziona tutto a meraviglia.

x il tuo problema, le soluzioni migliori le hai sul link postato da Dav78, se pero' hai problemi con il registro prova anche:

se hai l'adsl tramite ethernet prova a partire in modalita' provvisoria con supporto di rete cosi puoi navigare.

e fare uno scan online qui

oppure scarica questo antivirus, masterizzalo e fai il boot da cd x eliminare i files infetti

poi fai lo scan online x pulire il registro.

a volte la robaccia ritorna se e' nei files temporanei di ie

usa disk cleaner x rimuoverli

prova anche questo f-bot cleaner

hijackthis.de clicca download, open fai lo scan con log, salva log, copia incolla (la parte dopo running processes) nella finestra della pagina, clicca analyze ..

sembra installi anche come servizio, se da' problemi x rimuoverlo perche' e' attivo

fai start>>esegui >> services.msc invio e aspetta un po', nella finestra guarda se lo vedi, doppio click e controlla il file ed il percorso, una volta trovato ferma il servizio e disabilitalo.

in bocca al lupo.

[alice]

Grazie mille!

Domanica quando torno a casa proverò tutto:-)

Vi farò sapere!

Alice

[alice]

Allora,

quei file di cui vi ho parlato sono riuscita e eliminarli, ora c'è un altro problema: un worm penso che replica il file rant.exe e vuole collegarsi in rete.

Ho usato tutti gli strumenti possibili e immaginabili, ma ora da amministratore non lo vedo +, però se vado su utenti limitati è li che gira in background.....

Help me!!!!

Alice

[dav78]

hijackthis.de clicca download, open fai lo scan con log, salva log, copia incolla (la parte dopo running processes) nella finestra della pagina, clicca analyze ..

Posta il log come dice Angelo!

[alice]

Già fatto,

l'ho contrassegnato, ho fatto fix.

Ho disconnesso l'utente, mi sono riconnessa, ed era di nuovo in esecuzione!

[dany]

No alice! dopo che hai fatto scansionare il computer clikka su "save log" dopo copialo e postacelo!

Così:

gfile of HijackThis v1.97.7

Scan saved at 18.09.24, on 14/02/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\essspk.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Programmi\Logitech\iTouch\iTouch.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Programmi\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\SYSTEM32\SWEEPER.EXE

C:\Programmi\Logitech\iTouch\kbdtray.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Daniele\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe //ICWLaunch

O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [internet Sweeper] C:\WINDOWS\SYSTEM32\SWEEPER.EXE /Q

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [internet Sweeper] C:\WINDOWS\SYSTEM32\SWEEPER.EXE /Q

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{1ED55C2F-CB1A-4E9D-AEB0-631080198EEE}: NameServer =

O17 - HKLM\System\CS1\Services\Tcpip\..\{1ED55C2F-CB1A-4E9D-AEB0-631080198EEE}: NameServer =

[dany]

Ragazzi sapete cosa è questo? :mah1:

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

Grazie anticipate! :ciao1:

[dav78]

Non dovrebbe essere niente di grave.

SiS USB Registry Patch File - fixes the undetectable problem with SiS USB controller on Windows XP :mah1:

:ciao1:

http://www.auditmypc.com/process/sisusbrg.asp

Modificato February 15, 2005 da dav78

[alice]

Ok, porò devo aspettare di tornare a casa, ve lo posto ven sera!

intanto thanks:-)

alice

[Angelo]

Non dovrebbe essere niente di grave.

SiS USB Registry Patch File - fixes the undetectable problem with SiS USB controller on Windows XP :mah1:

:ciao1:

http://www.auditmypc.com/process/sisusbrg.asp

chi ha chipset via o sis puo' avere problemi con le porte usb e ci sono delle patch x questo.

[Angelo]

Alice, x il tuo rant.exe (w32/rbot-vn)sembra sia nuovissimo e x ora non ci sia un fix.

controlla se questo riesce a rimuoverlo

prova anche a vedere se e' installato come servizio.....(se c'e' disabilitalo)

x il resto faccio copia/incolla alla risposta che ho dato a Dany su un altro post:

installa spybot 1.3 incluso Teatimer ( devi spuntare l'opzione durante l'installazione. Teatimer tiene sotto controllo cosa viene aggiunto/rimosso dall'autostart di windows e ti da' la possibilta' di bloccare l'operazione.

prima di fare la pulizia rimuovi tutti i files temporanei + firefox e internet explorer

Disk Cleaner

a volte invece di chiudere windows e' necessario togliere la 220 perche' dei virus/malware cambiano nome ai loro files quando windows fa' shutdown.

( alcuni files "in uso" non possono essere eliminati e vengono marcati x eliminazione al reboot dai programmi antivirus/antispy cosi se questi cambiano nome ai files proprio quando windows chiude al riavvio riappaiono di nuovo.

ps: togliere la corrente puo' causare danni a windows, controlla che il led del hdd non lampeggi quando lo fai.

inoltre fai lo scan dalla modalita' provvisoria

[Angelo]

se hai piu' di un pc in rete locale disconnettili ( oppure solo uno acceso alla volta )fino a quando sono tutti puliti.

[alice]

Ho rifatto scansioni con antivirus, e fissato i processi strani con HijackThis. Questo è il log dopo la pulizia, ci sono ancora processi strani?

Logfile of HijackThis v1.99.1

Scan saved at 9.02.20, on 19/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\AVPersonal\AVGUARD.EXE

C:\WINDOWS\System32\Ati2evxx.exe

C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe

C:\Programmi\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\Explorer.EXE

C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Programmi\Analog Devices\SoundMAX\Smax4.exe

C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programmi\ASUS\Probe\AsusProb.exe

C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\rundll32.exe

C:\Programmi\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Programmi\Nikon\NkView5\NkvMon.exe

C:\WINDOWS\system32\cmd.exe

C:\Programmi\Active SMART\ActiveSMART.exe

C:\WINDOWS\explorer.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Programmi\Analog Devices\SoundMAX\Smax4.exe

C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\Documents and Settings\Alice\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Programmi\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [Windows System32] winsystem32.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunServices: [Windows System32] winsystem32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows System32] winsystem32.exe

O4 - Startup: Active SMART.lnk = C:\Programmi\Active SMART\ActiveSMART.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView5\NkvMon.exe

O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm

O8 - Extra context menu item: E&sporta in Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser -

C:\Programmi\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{601F0EB9-9010-48E2-931A-186B9B48A9C7}: NameServer =

85.37.17.14 151.99.125.1

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\Programmi\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programmi\File

comuni\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programmi\AVPersonal\AVWUPSRV.EXE

O23 - Service: CTI Central Management (CTIMngr) - Unknown owner - C:\WINDOWS\cti.exe

O23 - Service: Ipswitch WS_FTP Queue (ftpqueue) - Ipswitch, Inc., 81 Hartwell Ave, Lexington

MA 02421 - C:\Programmi\WS_FTP Pro\ftpsched.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. -

C:\Programmi\Sygate\SPF\smc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices,

Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[Angelo]

dal log:

O4 - HKLM\..\RunServices: [Windows System32] winsystem32.exe

sembra ci sia ancora un worm rbot ....winsystem32.exe ( credo si installi come servizio quindi il service andrebbe stoppato x eliminare il file )

start>>esegui services.msc, guarda se riesci a vederlo

oppure usa sysinternals process explorer ( puoi kill il service/process )

guarda nel ftp, ho messo un file xcleaner_micro che dovrebbe rimuovere l'rbot ma purtroppo di quel worm ce ne sono un sacco di versioni diverse e ne continuano ad uscire sempre di nuove.

se xcleaner non lo trova ferma prima il processo poi trova il file winsystem32.exe e rinominalo/eliminalo.

ps: attenta che se usi piu' di un utente sullo stesso pc il worm inserisce il nome del file sulle chiavi winows/run etc di tutti gli utenti. ( ma se elimini il file dovresti gia' essere ok )

[Angelo]

dimenticavo, prova anche a fare uno scan online

su trendmicro

e se non se ne vuole proprio andare a fare il tutto da modalita' provvisoria.

[alice]

Grazie mille Angelo,

cmq i file rant.exe e windll32.exe l'antivirus con gli ultimi (di ieri aggiornamenti dovrebbe averli eliminati del tutto, non li trovo + nemmeno nelle chiavi di registro. Ora mi occuperò seguendo i tuoi consigli dell'altro ch emi hai segnalato!

Ti farò sapere!

Grazie!

Alice