Cari amici,
ho un problema con uno di quei virus che ti cambiano l'immagine del desktop con un messaggio che ti dice che il tuo PC è infestato da spyware ecc ecc.
Quando vado in control panel\display\desktop, non è possibile cliccare su niente. Nella lista di file di immagine utilizzabile come sfondo compare un file denominato "desktop.html" ma quando vado per inserire una nuova immagine come sfondo il pulsante "browser"non ècliccabile.
Inoltre nel menù del tasto destro è scomparsa la voce relativa ad active desktop.
IL nod32 rileva ad ogni avvio e ad ogni apertura di internet explorer il probabile virus $_2341233
e visualizza tale messaggio:
Evento occorso su un nuovo file creato da un'applicazione: E:\WINDOWS\explorer.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.
Ho lanciato HijackThis in modalità provvisoria con il system restore disabilitato e cancellato un paio di robe segnate in giallo come sconosciute ma nulla è cambiato. AIUTOOOOOOOOOO!!!!!!
eccovi il log file:
Logfile of HijackThis v1.99.1
Scan saved at 21.16.02, on 05/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
E:\Program Files\Eset\nod32krn.exe
E:\WINDOWS\explorer.exe
E:\WINDOWS\System32\NWTRAY.EXE
E:\Program Files\QuickTime\qttask.exe
E:\Program Files\Eset\nod32kui.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
E:\Program Files\HijackThis\HijackThis.exe
E:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.psy.unipd.it/
F2 - REG:system.ini: Shell=explorer.exe "E:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00013.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "E:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [nod32kui] "E:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O20 - Winlogon Notify: NavLogon - E:\WINDOWS\System32\NavLogon.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - E:\WINDOWS\sdkyz32.exe (file missing)
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - E:\WINDOWS\System32\cusrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - E:\Program Files\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
Registrazione
)
