Condividi:        

virus che non riesco a eliminare

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

virus che non riesco a eliminare

Postdi janlubelf » 03/06/09 17:10

Ciao a tutti,sono un nuovo utente
Vi scrivo per cercare di risolvere un problema con il pc
L'antivirus mi segnala dei virus,ma non riesce a eliminarli.
Ho provato prima con avast e mi diceva impossibile rimuovere il virus il file è una bomba a decompressione
Dopo ho provato anche con kaspersky che me lo segnala come very dangerous e dice che è un virus di java,per esattezza java JRE1 5.0_02 E java JRE 6.0_03
Ho fatto una scansione con hijackthis che vi posto qua sotto
Spero che riusciate a darmi una mano
Ciao e Grazie!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:45:53 PM, on 6/3/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\HPQ\shared\hpqwmi.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\stickies\stickies.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\JANLUB~1\IMPOST~1\Temp\Rar$EX01.875\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programmi\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [VoipStunt] "C:\Programmi\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SYS32DLL] SYS32DLL
O4 - Startup: Stickies.lnk = C:\Programmi\stickies\stickies.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\shared\hpqwmi.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

--
End of file - 8589 bytes
janlubelf
Newbie
 
Post: 6
Iscritto il: 03/06/09 16:59

Sponsor
 

Re: virus che non riesco a eliminare

Postdi janlubelf » 03/06/09 17:15

Ahh ragazzi se vi puo servire vi invio anche il link della pagina di viruslist che viene fuori dopo la scansione con kaspersky
http://www.viruslist.com/en/advisories/29239
janlubelf
Newbie
 
Post: 6
Iscritto il: 03/06/09 16:59

Re: virus che non riesco a eliminare

Postdi shel » 03/06/09 17:42

ciao

per eliminare a fondo, fai una scansione con http://downloads1.kaspersky-labs.com/devbuilds/AVPTool/

disattiva il tuo antivirus
seleziona la partizione da scansionare e clicca su Scan per avviare la scansione
terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
si apriranno dei popup dove potrai scegliere se cancellare o disinfettare l'oggetto: metti la spunta su Apply to all e clicca su Quarantine

per salvare il Report che verrà rilasciato, clicca sul tasto Reports - salvalo ed allega solo le infezioni trovate
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: virus che non riesco a eliminare

Postdi -> EleKtrA <- » 03/06/09 18:17

Ciao janlubelf,
la scansione con il tool Kaspersky consigliata da shel mi pare superflua visto che hai già Kaspersky 2009 installato sul pc.
(scusa shel ;))
Io farei in questo modo, fixamo le voci inutili in avvio, insieme a quelle sospette, poi utilizzeremo dei programmi di pulizia, in seguito faremo un pò di manutenzione.

1) Ricordati di mettere Hijackthis.exe in una cartella a lui dedicata in Programmi o Documenti, è importante se vuoi salvare i backup

2) Con tutte le applicazioni chiuse e disconnesso da internet
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [VeohPlugin] "C:\Programmi\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [SYS32DLL] SYS32DLL

3) Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.

4) Scarica Malwarebytes, installa il programma ed aggiorna le firme.
http://www.download.com/Malwarebytes-An ... 04572.html
Nella scheda scansione, seleziona "scansione completa"
Allega il rapporto.
“Ieri è storia, domani è mistero, ma oggi è un dono... per questo si chiama presente!”.
Avatar utente
-> EleKtrA <-
Moderatore
 
Post: 436
Iscritto il: 11/12/08 12:50

Re: virus che non riesco a eliminare

Postdi janlubelf » 03/06/09 19:27

Allora ho fatto come mi hai detto.
Prima la scansione con hijackthis e ho spuntato tutte quelle voci
Poi ho fatto la scansione con combofix e questo è il rapporto:
ComboFix 09-06-01.03 - Janlu B 06/03/2009 20:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1040.18.382.127 [GMT 2:00]
Eseguito da: c:\documents and settings\Janlu B\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Janlu B\Dati applicazioni\PCenter
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\cg.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\mw.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\rd.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\sc.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\sm.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\sp.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\keys\cg.key
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\keys\rd.key
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\keys\sc.key
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\keys\sp.key
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\temp\settings.ini
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\temp\spfilter
c:\windows\9g2234wesdf3dfgjf23
c:\windows\system32\digiwet.dll

.
((((((((((((((((((((((((( Files Creati Da 2009-05-03 al 2009-06-03 )))))))))))))))))))))))))))))))))))
.

2009-05-24 19:55 . 2009-05-24 19:55 96645 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-24 19:55 . 2009-05-24 19:55 87941 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-24 19:52 . 2009-06-03 18:13 393248 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-05-24 19:52 . 2009-06-03 18:10 2695200 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-05-24 19:52 . 2009-05-24 19:52 -------- d-----w- c:\programmi\Kaspersky Lab
2009-05-24 19:52 . 2009-06-03 13:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2009-05-22 23:30 . 2009-05-23 22:58 -------- d-----w- c:\programmi\ewido anti-spyware 4.0
2009-05-22 23:18 . 2009-05-22 23:22 -------- d-----w- C:\!KillBox
2009-05-19 13:22 . 2009-05-19 13:22 -------- d-----w- c:\programmi\CCleaner
2009-05-18 23:03 . 2009-05-18 23:03 2 ---h--w- c:\windows\sto453190.dat
2009-05-18 23:03 . 2009-05-20 00:38 -------- d-----w- c:\windows\system32\790151
2009-05-18 23:01 . 2009-05-18 23:01 32 --s-a-w- c:\windows\system32\1345901888.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-03 18:13 . 2009-05-24 19:52 2424 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-03 18:10 . 2009-05-24 19:52 23184 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-05-24 19:28 . 2008-05-17 17:54 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab Setup Files
2009-05-22 16:13 . 2009-04-22 21:36 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-05-12 00:42 . 2008-10-28 15:38 -------- d-----w- c:\documents and settings\Janlu B\Dati applicazioni\Skype
2009-05-11 22:40 . 2008-10-28 15:41 -------- d-----w- c:\documents and settings\Janlu B\Dati applicazioni\skypePM
2009-04-23 01:23 . 2007-11-07 21:24 -------- d-----w- c:\programmi\Java
2009-04-23 01:22 . 2004-08-19 12:00 74630 ----a-w- c:\windows\system32\perfc010.dat
2009-04-23 01:22 . 2004-08-19 12:00 448112 ----a-w- c:\windows\system32\perfh010.dat
2009-04-23 01:21 . 2009-04-23 01:21 152576 ----a-w- c:\documents and settings\Janlu B\Dati applicazioni\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-22 21:42 . 2009-04-22 21:21 3324 ----a-w- c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg.dat.vir
2009-04-22 21:42 . 2009-04-22 21:21 683 ----a-w- c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg_navps.dat.vir
2009-04-22 21:21 . 2009-04-22 21:21 260096 ----a-w- c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg.exe
2009-04-22 21:21 . 2009-04-22 21:21 296391 ----a-w- c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg_nav.dat.vir
2009-03-09 03:19 . 2009-03-05 12:47 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-03-08 01:49 . 2009-03-08 01:49 310272 ----a-w- c:\documents and settings\Janlu B\Dati applicazioni\Cedelia\StreamPlug\StreamPlug.exe
2009-03-08 01:41 . 2009-03-08 01:41 70766 ----a-w- c:\documents and settings\Janlu B\Dati applicazioni\Cedelia\Uninstall Streamplug Player.exe
2009-03-06 14:19 . 2004-08-19 12:00 286208 ----a-w- c:\windows\system32\pdh.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 339968]
"Cpqset"="c:\programmi\HPQ\Default Settings\cpqset.exe" [2005-02-17 233534]
"SynTPLpr"="c:\programmi\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"eabconfg.cpl"="c:\programmi\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"hpWirelessAssistant"="c:\programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-11 794624]
"!ewido"="c:\programmi\ewido anti-spyware 4.0\ewido.exe" [2006-06-16 6283264]
"AVP"="c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 201992]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

c:\documents and settings\Janlu B\Menu Avvio\Programmi\Esecuzione automatica\
Stickies.lnk - c:\programmi\stickies\stickies.exe [2006-3-29 348160]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
BTTray.lnk - c:\programmi\WIDCOMM\Software Bluetooth\BTTray.exe [2004-10-1 565309]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Documents and Settings\\All Users\\Dati applicazioni\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.325\\Italian\\setup.exe"=
"c:\\Programmi\\stickies\\stickies.exe"=
"c:\\Programmi\\eMule AdunanzA\\eMule_AdnzA.exe"=
"c:\\Programmi\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"d:\\SopCast\\adv\\SopAdver.exe"=
"d:\\SopCast\\SopCast.exe"=
"c:\\Programmi\\PPStream\\PPStream.exe"=
"c:\\Programmi\\PPStream\\PPSAP.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Documents and Settings\\All Users\\Dati applicazioni\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\English\\setup.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [1/29/2008 6:29 PM 32784]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [11/7/2007 10:58 PM 200192]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [3/13/2008 7:02 PM 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [3/25/2008 8:07 PM 24592]
S2 srserviceSCardSvr;Servizio Ripristino configurazione di sistema srserviceSCardSvr; [x]
.
Contenuto della cartella 'Scheduled Tasks'

2009-05-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-VoipStunt - c:\programmi\VoipStunt.com\VoipStunt\VoipStunt.exe
SafeBoot-procexp90.Sys


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
uInternet Settings,ProxyServer = http=localhost:7171
uInternet Settings,ProxyOverride = *.local;<local>
IE: Add to Banner Ad Blocker - c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
IE: Invia a &Bluetooth - c:\programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\Janlu B\Dati applicazioni\Mozilla\Firefox\Profiles\q5tvilhk.default\
FF - prefs.js: browser.startup.homepage - hxxp://it.start2.mozilla.com/firefox?cl ... t:official
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 7171
FF - prefs.js: network.proxy.type - 4
FF - component: c:\programmi\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\NPStreamPlug.dll
FF - plugin: c:\programmi\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-03 20:13
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programmi\HPQ\Default Settings\cpqset.exe????????????2?2?1?7??????? ???B?????????????hLC????????

Scansione files nascosti ...


**************************************************************************
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
c:\programmi\ewido anti-spyware 4.0\guard.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\programmi\HPQ\shared\hpqwmi.exe
.
**************************************************************************
.
Ora fine scansione: 2009-06-03 20:19 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-06-03 18:19

Pre-Run: 3,424,632,832 byte disponibili
Post-Run: 4,505,587,712 byte disponibili

WindowsXP-KB310994-SP2-Home-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

174 --- E O F --- 2009-05-13 01:03
janlubelf
Newbie
 
Post: 6
Iscritto il: 03/06/09 16:59

Re: virus che non riesco a eliminare

Postdi janlubelf » 03/06/09 20:45

janlubelf ha scritto:Allora ho fatto come mi hai detto.
Prima la scansione con hijackthis e ho spuntato tutte quelle voci
Poi ho fatto la scansione con combofix e questo è il rapporto:
ComboFix 09-06-01.03 - Janlu B 06/03/2009 20:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1040.18.382.127 [GMT 2:00]
Eseguito da: c:\documents and settings\Janlu B\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Janlu B\Dati applicazioni\PCenter
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\cg.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\mw.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\rd.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\sc.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\sm.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\dbases\sp.dat
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\keys\cg.key
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\keys\rd.key
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\keys\sc.key
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\keys\sp.key
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\temp\settings.ini
c:\documents and settings\Janlu B\Dati applicazioni\PCenter\temp\spfilter
c:\windows\9g2234wesdf3dfgjf23
c:\windows\system32\digiwet.dll

.
((((((((((((((((((((((((( Files Creati Da 2009-05-03 al 2009-06-03 )))))))))))))))))))))))))))))))))))
.

2009-05-24 19:55 . 2009-05-24 19:55 96645 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-24 19:55 . 2009-05-24 19:55 87941 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-24 19:52 . 2009-06-03 18:13 393248 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-05-24 19:52 . 2009-06-03 18:10 2695200 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-05-24 19:52 . 2009-05-24 19:52 -------- d-----w- c:\programmi\Kaspersky Lab
2009-05-24 19:52 . 2009-06-03 13:33 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab
2009-05-22 23:30 . 2009-05-23 22:58 -------- d-----w- c:\programmi\ewido anti-spyware 4.0
2009-05-22 23:18 . 2009-05-22 23:22 -------- d-----w- C:\!KillBox
2009-05-19 13:22 . 2009-05-19 13:22 -------- d-----w- c:\programmi\CCleaner
2009-05-18 23:03 . 2009-05-18 23:03 2 ---h--w- c:\windows\sto453190.dat
2009-05-18 23:03 . 2009-05-20 00:38 -------- d-----w- c:\windows\system32\790151
2009-05-18 23:01 . 2009-05-18 23:01 32 --s-a-w- c:\windows\system32\1345901888.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-03 18:13 . 2009-05-24 19:52 2424 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-03 18:10 . 2009-05-24 19:52 23184 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-05-24 19:28 . 2008-05-17 17:54 -------- d-----w- c:\documents and settings\All Users\Dati applicazioni\Kaspersky Lab Setup Files
2009-05-22 16:13 . 2009-04-22 21:36 -------- d---a-w- c:\documents and settings\All Users\Dati applicazioni\TEMP
2009-05-12 00:42 . 2008-10-28 15:38 -------- d-----w- c:\documents and settings\Janlu B\Dati applicazioni\Skype
2009-05-11 22:40 . 2008-10-28 15:41 -------- d-----w- c:\documents and settings\Janlu B\Dati applicazioni\skypePM
2009-04-23 01:23 . 2007-11-07 21:24 -------- d-----w- c:\programmi\Java
2009-04-23 01:22 . 2004-08-19 12:00 74630 ----a-w- c:\windows\system32\perfc010.dat
2009-04-23 01:22 . 2004-08-19 12:00 448112 ----a-w- c:\windows\system32\perfh010.dat
2009-04-23 01:21 . 2009-04-23 01:21 152576 ----a-w- c:\documents and settings\Janlu B\Dati applicazioni\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-22 21:42 . 2009-04-22 21:21 3324 ----a-w- c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg.dat.vir
2009-04-22 21:42 . 2009-04-22 21:21 683 ----a-w- c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg_navps.dat.vir
2009-04-22 21:21 . 2009-04-22 21:21 260096 ----a-w- c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg.exe
2009-04-22 21:21 . 2009-04-22 21:21 296391 ----a-w- c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg_nav.dat.vir
2009-03-09 03:19 . 2009-03-05 12:47 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-03-08 01:49 . 2009-03-08 01:49 310272 ----a-w- c:\documents and settings\Janlu B\Dati applicazioni\Cedelia\StreamPlug\StreamPlug.exe
2009-03-08 01:41 . 2009-03-08 01:41 70766 ----a-w- c:\documents and settings\Janlu B\Dati applicazioni\Cedelia\Uninstall Streamplug Player.exe
2009-03-06 14:19 . 2004-08-19 12:00 286208 ----a-w- c:\windows\system32\pdh.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 339968]
"Cpqset"="c:\programmi\HPQ\Default Settings\cpqset.exe" [2005-02-17 233534]
"SynTPLpr"="c:\programmi\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"eabconfg.cpl"="c:\programmi\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"hpWirelessAssistant"="c:\programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-11 794624]
"!ewido"="c:\programmi\ewido anti-spyware 4.0\ewido.exe" [2006-06-16 6283264]
"AVP"="c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 201992]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

c:\documents and settings\Janlu B\Menu Avvio\Programmi\Esecuzione automatica\
Stickies.lnk - c:\programmi\stickies\stickies.exe [2006-3-29 348160]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - c:\programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
BTTray.lnk - c:\programmi\WIDCOMM\Software Bluetooth\BTTray.exe [2004-10-1 565309]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Documents and Settings\\All Users\\Dati applicazioni\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.325\\Italian\\setup.exe"=
"c:\\Programmi\\stickies\\stickies.exe"=
"c:\\Programmi\\eMule AdunanzA\\eMule_AdnzA.exe"=
"c:\\Programmi\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"d:\\SopCast\\adv\\SopAdver.exe"=
"d:\\SopCast\\SopCast.exe"=
"c:\\Programmi\\PPStream\\PPStream.exe"=
"c:\\Programmi\\PPStream\\PPSAP.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=
"c:\\Documents and Settings\\All Users\\Dati applicazioni\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\English\\setup.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [1/29/2008 6:29 PM 32784]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [11/7/2007 10:58 PM 200192]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [3/13/2008 7:02 PM 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [3/25/2008 8:07 PM 24592]
S2 srserviceSCardSvr;Servizio Ripristino configurazione di sistema srserviceSCardSvr; [x]
.
Contenuto della cartella 'Scheduled Tasks'

2009-05-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKCU-Run-VoipStunt - c:\programmi\VoipStunt.com\VoipStunt\VoipStunt.exe
SafeBoot-procexp90.Sys


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
uInternet Settings,ProxyServer = http=localhost:7171
uInternet Settings,ProxyOverride = *.local;<local>
IE: Add to Banner Ad Blocker - c:\programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
IE: Invia a &Bluetooth - c:\programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\Janlu B\Dati applicazioni\Mozilla\Firefox\Profiles\q5tvilhk.default\
FF - prefs.js: browser.startup.homepage - hxxp://it.start2.mozilla.com/firefox?cl ... t:official
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 7171
FF - prefs.js: network.proxy.type - 4
FF - component: c:\programmi\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\programmi\Mozilla Firefox\plugins\NPStreamPlug.dll
FF - plugin: c:\programmi\Windows Live\Photo Gallery\NPWLPG.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-03 20:13
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programmi\HPQ\Default Settings\cpqset.exe????????????2?2?1?7??????? ???B?????????????hLC????????

Scansione files nascosti ...


**************************************************************************
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
c:\programmi\ewido anti-spyware 4.0\guard.exe
c:\programmi\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\programmi\HPQ\shared\hpqwmi.exe
.
**************************************************************************
.
Ora fine scansione: 2009-06-03 20:19 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-06-03 18:19

Pre-Run: 3,424,632,832 byte disponibili
Post-Run: 4,505,587,712 byte disponibili

WindowsXP-KB310994-SP2-Home-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

174 --- E O F --- 2009-05-13 01:03




Mentre questo è il rapporto di Malwarebyte:
Malwarebytes' Anti-Malware 1.37
Versione del database: 2224
Windows 5.1.2600 Service Pack 3

6/3/2009 9:40:58 PM
mbam-log-2009-06-03 (21-40-45).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 142573
Tempo trascorso: 1 hour(s), 5 minute(s), 3 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 0
Elementi dato del registro infetti: 2
Cartelle infette: 1
File infetti: 5

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\it123.it123mgr (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\it123.it123mgr.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\setup.player (Spyware.MarketScore) -> No action taken.
HKEY_CLASSES_ROOT\setup.player.2k2 (Spyware.MarketScore) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
C:\WINDOWS\system32\790151 (Trojan.BHO) -> No action taken.

File infetti:
c:\Qoobox\quarantine\C\WINDOWS\system32\digiwet.dll.vir (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{70100810-3e4a-4578-9656-96e5815785d5}\RP335\A0053778.exe (Rogue.PCenter) -> No action taken.
c:\system volume information\_restore{70100810-3e4a-4578-9656-96e5815785d5}\RP335\A0053776.exe (Rogue.Installer) -> No action taken.
c:\system volume information\_restore{70100810-3e4a-4578-9656-96e5815785d5}\rp344\A0055178.dll (Trojan.Agent) -> No action taken.
c:\WINDOWS\sto453190.dat (Worm.KoobFace) -> No action taken.
janlubelf
Newbie
 
Post: 6
Iscritto il: 03/06/09 16:59

Re: virus che non riesco a eliminare

Postdi -> EleKtrA <- » 04/06/09 09:10

Ciao janlubelf, ripeti la scansione completa con Malwarebytes e rimuovi ciò che trova il programma.

Scarica the Avenger
http://swandog46.geekstogo.com/avenger.zip
Lo salvi in una cartella, scompatti il file .zip
Individua avenger.exe, lo avvii
Inserisci questo script nel box bianco

Codice: Seleziona tutto
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
c:\windows\sto453190.dat
c:\windows\system32\790151
c:\windows\system32\1345901888.dat
c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg.dat.vir
c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg_navps.dat.vir
c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg.exe
c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg_nav.dat.vir

folders to delete:
C:\WINDOWS\temp
C:\WINDOWS\Tasks


Clicca su Execute
Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

Scarica Ccleaner ed esegui una pulizia del sistema
http://www.ccleaner.com/download

Se dovessi ancora avere problemi con Java, prova a disinstallarlo
http://www.java.com/it/download/help/uninstall_java.xml
ed installa la versione più aggiornata
http://java.com/it/download/manual.jsp
“Ieri è storia, domani è mistero, ma oggi è un dono... per questo si chiama presente!”.
Avatar utente
-> EleKtrA <-
Moderatore
 
Post: 436
Iscritto il: 11/12/08 12:50

Re: virus che non riesco a eliminare

Postdi janlubelf » 04/06/09 11:38

HO ELIMINATO I 12 FILE CHE RISULTAVANO INFETTI DALLA SCANSIONE CON MALWAREBYTES E TI ALLEGO IL RAPPORTO


Malwarebytes' Anti-Malware 1.37
Versione del database: 2224
Windows 5.1.2600 Service Pack 3

6/4/2009 1:13:14 AM
mbam-log-2009-06-04 (01-13-14).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 142573
Tempo trascorso: 1 hour(s), 5 minute(s), 3 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 0
Elementi dato del registro infetti: 2
Cartelle infette: 1
File infetti: 5

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\it123.it123mgr (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\it123.it123mgr.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\setup.player (Spyware.MarketScore) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\setup.player.2k2 (Spyware.MarketScore) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
C:\WINDOWS\system32\790151 (Trojan.BHO) -> Quarantined and deleted successfully.

File infetti:
c:\Qoobox\quarantine\C\WINDOWS\system32\digiwet.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{70100810-3e4a-4578-9656-96e5815785d5}\RP335\A0053778.exe (Rogue.PCenter) -> Quarantined and deleted successfully.
c:\system volume information\_restore{70100810-3e4a-4578-9656-96e5815785d5}\RP335\A0053776.exe (Rogue.Installer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{70100810-3e4a-4578-9656-96e5815785d5}\rp344\A0055178.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\sto453190.dat (Worm.KoobFace) -> Quarantined and deleted successfully.


ADESSO PROVO A FARE ANCHE UNA SCANSIONE CON THE AVENGER E TI POSTO IL RAPPORTO
GRAZIE MILLE ELEKTRA
CIAO
janlubelf
Newbie
 
Post: 6
Iscritto il: 03/06/09 16:59

Re: virus che non riesco a eliminare

Postdi janlubelf » 04/06/09 11:53

janlubelf ha scritto:HO ELIMINATO I 12 FILE CHE RISULTAVANO INFETTI DALLA SCANSIONE CON MALWAREBYTES E TI ALLEGO IL RAPPORTO


Malwarebytes' Anti-Malware 1.37
Versione del database: 2224
Windows 5.1.2600 Service Pack 3

6/4/2009 1:13:14 AM
mbam-log-2009-06-04 (01-13-14).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 142573
Tempo trascorso: 1 hour(s), 5 minute(s), 3 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 4
Valori di registro infetti: 0
Elementi dato del registro infetti: 2
Cartelle infette: 1
File infetti: 5

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_CLASSES_ROOT\it123.it123mgr (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\it123.it123mgr.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\setup.player (Spyware.MarketScore) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\setup.player.2k2 (Spyware.MarketScore) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
C:\WINDOWS\system32\790151 (Trojan.BHO) -> Quarantined and deleted successfully.

File infetti:
c:\Qoobox\quarantine\C\WINDOWS\system32\digiwet.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{70100810-3e4a-4578-9656-96e5815785d5}\RP335\A0053778.exe (Rogue.PCenter) -> Quarantined and deleted successfully.
c:\system volume information\_restore{70100810-3e4a-4578-9656-96e5815785d5}\RP335\A0053776.exe (Rogue.Installer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{70100810-3e4a-4578-9656-96e5815785d5}\rp344\A0055178.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\sto453190.dat (Worm.KoobFace) -> Quarantined and deleted successfully.


ADESSO PROVO A FARE ANCHE UNA SCANSIONE CON THE AVENGER E TI POSTO IL RAPPORTO
GRAZIE MILLE ELEKTRA
CIAO


ECCO I RISULTATI DELLA SCANSIONE CON AVENGER:
latform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\windows\sto453190.dat" not found!
Deletion of file "c:\windows\sto453190.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\790151" not found!
Deletion of file "c:\windows\system32\790151" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\system32\1345901888.dat" deleted successfully.
File "c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg.dat.vir" deleted successfully.
File "c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg_navps.dat.vir" deleted successfully.
File "c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg.exe" deleted successfully.
File "c:\documents and settings\Janlu B\Impostazioni locali\Dati applicazioni\skiyg_nav.dat.vir" deleted successfully.
Folder "C:\WINDOWS\temp" deleted successfully.
Folder "C:\WINDOWS\Tasks" deleted successfully.

Error: could not query size of registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs"
Replacement with dummy of registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************
janlubelf
Newbie
 
Post: 6
Iscritto il: 03/06/09 16:59

Re: virus che non riesco a eliminare

Postdi -> EleKtrA <- » 04/06/09 12:47

Ok, ora dai una ripulita al sistema con Ccleaner
scheda pulizia / avvia pulizia
scheda registro / trova problemi / ripara selezionati.

Esegui una Defremmentazione ed uno Scandisk

La deframmentazione è un'operazione informatica che consiste nel ristrutturare l'allocazione dei files presenti su un hard disk facendo in modo che ciascun file risulti memorizzato in zone contigue dal punto di vista fisico; questo diminuisce drasticamente i tempi di accesso ai file.
Ci sono molti software che effettuano la deframmentazione dell'hard-disk, i migliori sono JkDefrag, Auslogics Disk Defrag e IObit SmartDefrag.
Tutti i sistemi operativi Windows hanno comunque una utility interna per deframmentare il disco rigido, per accedervi bisogna seguire il percorso:
Start / Programmi / Accessori / Utilità di sistema / Utilità di deframmentazione dischi.

Lo Scandisk è un programma che controlla e ripara file system e cluster danneggiati nell'hard disk.
Tutti i sistemi operati Windows hanno questa utility che permette di controllare ed eventualmente riparare la presenza di errori contenuti nel disco fisso, per accedervi bisogna seguire il percorso:
Aprite Risorse del computer / Tasto destro sul disco fisso / proprietà / Strumenti / Esegui Scandisk
Selezionate entrambe le opzioni: correggi automaticamente gli errori del File system, cerca i settori danneggiati e tenta il ripristino.
Si aprirà una finestra di avvertimento: Impossibile ottenere accesso esclusivo ad alcuni file di Windows...
Cliccate su "SI" per pianificare l'operazione al prossimo avvio.

Un consiglio da forummista :)
E' inutile ripetere o citare completamente un messaggio precedente. ;)
“Ieri è storia, domani è mistero, ma oggi è un dono... per questo si chiama presente!”.
Avatar utente
-> EleKtrA <-
Moderatore
 
Post: 436
Iscritto il: 11/12/08 12:50


Torna a Sicurezza e Privacy


Topic correlati a "virus che non riesco a eliminare":


Chi c’è in linea

Visitano il forum: Nessuno e 37 ospiti