Condividi:        

che diavolo succede

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

che diavolo succede

Postdi dimage » 26/09/07 10:15

Buon giorno e grazie di averi accolto nel forum...
Tanto per iniziare a conoscerci devo dire che ho un problema :lol:
allora cerco di essere breve.....Mi si è infestato il pc di virus...dopo una serie di scansioni con vari antivirus...ativir....avg e simili sono finalmente riuscito ad eliminarli....Ora però accade una cosa strana aperto windows xp la clessidra del cursore continua imperterrita a girare....ho letto altri post e vedo che vi è necessario il log di hijackthis che vi rimando subito


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.34.30, on 25/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\igiac\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [SYSTEM] winmgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [SYSTEM] winmgrd.exe (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documenti\Settings\bot.dll
O21 - SSODL: gRuAJXLkTps - {F0A2C1EF-5A08-6B45-7410-F40EC1E763C9} - C:\WINDOWS\system32\eyu.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

--
End of file - 3766 bytes

vi prego aiutatemi nn voglio riformattare tutto :roll:
grazie anticipato
dimage
Newbie
 
Post: 2
Iscritto il: 26/09/07 09:59

Sponsor
 

Re: che diavolo succede

Postdi SkunkWorks 68 » 26/09/07 11:30

dimage ha scritto:Mi si è infestato il pc di virus...

Platform: WindowsXP SP 1 (WinNT 5.01.2600)

Non ne avevo dubbi...
Lo sai che sono quasi 2 anni che è uscito il SP 2(e tra un po' si vocifera esca il 3) ?
Perchè non hai aggiornato?
Molto sospetti questi 2:
"O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing"
"O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documenti\Settings\bot.dll"
Questa non ho capito a cosa si riferisca:
"Unknown O4 - HKUS\S-1-5-18\..\RunServices: [SYSTEM] winmgrd.exe (User 'SYSTEM')"
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi SkunkWorks 68 » 26/09/07 12:08

Prova a ripetere tutte le scansioni con il ripristino disabilitato e da modalità provvisoria.Io al posto di AVG metterei Antivir.Dai una passata anche con Superantispyware.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi Luke57 » 26/09/07 12:40

Ciao, Scarica SdFix
http://downloads.andymanchesta.com/Remo ... /SDFix.exe
Avvia il pc in modalità provvisoria (premi ripetutamente il tasto f8 all'accensione del computer, prima che si carichi windows; nella schermata grigia che apare scegli modalità provvisoria spostandoti con le freccette e confermando con Invio).
Esegui il file sdfix.exe
Apri c:\ e troverai la cartella sdfix
Apri la cartella sdfix ed esegui il file runthis.bat
Digita Y e dai l'invio
Attendi la fine della "scansione"
Premi un pulsante qualsiasi quando ti viene chiesto di riavviare
Al riavvio, continuerà la scansione, quando visualizzerai il messaggio "Finished" premi un pulsante qualsiasi e si caricherà il desktop e le relative icone.
Finito il caricamento si aprirà il block notes, chiudilo, portati nella cartella c:\Sdfix e troverai il file report.txt , a questo posta il contenuto del file + un altro log di hijackthis, eseguito ovviamnete dopo la scansione.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi dimage » 27/09/07 08:00

come consigliatomi ho scaricato sdfix e seguito la procedura indicata allego i report di sdfix e il log di hijackthis...
attendo consigli :roll:

SDFix: Version 1.107

Run by Administrator on 27/09/2007 at 08.45

Microsoft Windows XP [Versione 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
ICF
ldrsvc
MSN RAV
NtmlSvc

ImagePath:
C:\WINDOWS\System32\svchost.exe:exe.exe
%SystemRoot%\System32\svchost.exe -k netsvcs
"C:\WINDOWS\system\msnrav.exe"
%SystemRoot%\System32\svchost.exe -k netsvcs

ICF - Deleted
ldrsvc - Deleted
MSN RAV - Deleted
NtmlSvc - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Service asc3550u - Deleted after Reboot

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\SYSTEM32\CMMGR32.EXE - Deleted
C:\WINDOWS\SYSTEM32\DLLH8J~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
C:\WINDOWS\SYSTEM32\PF5607~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PF9452~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFB0E0~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFCA7F~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~2.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~3.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~4.DLL - Deleted
C:\-25776~1 - Deleted
C:\WINDOWS\SYSTEM32\817225~1.DLL - Deleted
C:\Documents and Settings\Alex\Impostazioni locali\Temp\2.dllb - Deleted
C:\Documents and Settings\Alex\Impostazioni locali\Temp\5.dllb - Deleted
C:\Documents and Settings\Alex\Impostazioni locali\Temp\6.dllb - Deleted
C:\Documents and Settings\Alex\Impostazioni locali\Temp\7.dllb - Deleted
C:\WINDOWS\system32\gmc.exe.exe - Deleted
C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00001.dll - Deleted
C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00002.dll - Deleted
C:\WINDOWS\deskcfg.dat - Deleted
C:\WINDOWS\retadpu444.exe - Deleted
C:\WINDOWS\services.dll - Deleted
C:\WINDOWS\spooldr.exe - Deleted
C:\WINDOWS\system\msnrav.exe - Deleted
C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\system32\dllh8jkd1q2.exe - Deleted
C:\WINDOWS\system32\dllh8jkd1q5.exe - Deleted
C:\WINDOWS\system32\dllh8jkd1q6.exe - Deleted
C:\WINDOWS\system32\dllh8jkd1q7.exe - Deleted
C:\WINDOWS\system32\dllh8jkd1q8.exe - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\kr_done1 - Deleted
C:\WINDOWS\system32\o - Deleted
C:\WINDOWS\system32\spooldr.sys - Deleted
C:\WINDOWS\system32\spoolsvv.exe - Deleted
C:\WINDOWS\system32\svcp.csv - Deleted
C:\WINDOWS\system32\vedxg4am1et2.exe - Deleted
C:\WINDOWS\system32\vedxg6ame4.exe - Deleted
C:\WINDOWS\system32\vedxga4m1et4.exe - Deleted
C:\WINDOWS\system32\vx.tll - Deleted
C:\WINDOWS\system32\winsub.xml - Deleted
C:\WINDOWS\Temp\$_2341233.TMP - Deleted
C:\WINDOWS\Temp\$_2341234.TMP - Deleted
C:\WINDOWS\Temp\$b17a2e8.tmp - Deleted
C:\WINDOWS\wr.txt - Deleted
C:\WINDOWS\xpupdate.exe - Deleted
C:\WINDOWS\system32\drivers\asc3550u.sys - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 8 Aug 2006 12,579 ..SH. --- "C:\Documents and Settings\All Users\Documenti\Settings\bot.dll"

Finished!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.55.50, on 27/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\igiac\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [SYSTEM] winmgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [SYSTEM] winmgrd.exe (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documenti\Settings\bot.dll
O21 - SSODL: gRuAJXLkTps - {F0A2C1EF-5A08-6B45-7410-F40EC1E763C9} - C:\WINDOWS\system32\eyu.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe

--
End of file - 3568 bytes

GRAZIE... :)
dimage
Newbie
 
Post: 2
Iscritto il: 26/09/07 09:59

Postdi Luke57 » 27/09/07 18:20

Ciao, Scarica LSpfix da qui:
http://www.cexx.org/lspfix.zip


Poi scaricA The Avenger
http://swandog46.geekstogo.com/avenger.zip


Poi avvia il file Avenger.exe. (applicazioni chiuse e antivirus disattivato)
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno dello spazio bianco copia ed incolla questo script:


Files to delete:
C:\Documents and Settings\All Users\Documenti\Settings\bot.dll
C:\WINDOWS\system32\eyu.dll
C:\WINDOWS\system32\winmgrd.exe



Clicca sul pulsante Done
Adesso clicca sul semaforo con la luce verde
Rispondi Yes 2 volte
Il pc si dovrebbe riavviare,se non si riavvia,riavvialo manualmente

Al riavvio collegati e allega il file C:\Avenger.txt

Poi apri hijackthis, premi "do a system scdan only",cerca e spunta le voci seguenti, se presenti:
O4 - HKUS\S-1-5-18\..\RunServices: [SYSTEM] winmgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunServices: [SYSTEM] winmgrd.exe (User 'Default user')
O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documenti\Settings\bot.dll
O21 - SSODL: gRuAJXLkTps - {F0A2C1EF-5A08-6B45-7410-F40EC1E763C9} - C:\WINDOWS\system32\eyu.dll

premi fix checked.


Poi apri lspfix ,nella schermata che appare metti il flag nella casella I know what I’m doing , e sposta, se presente, utilizzando le doppie frecce il file rsvp322.dll
nella casella a destra e premi finish.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "che diavolo succede":


Chi c’è in linea

Visitano il forum: Nessuno e 43 ospiti