Il PC di una mia amica era pieno di virus che non facevano più caricare il processo explorer.exe e si poteva utilizzare solamente il task manager (in modalità provvisoria tutto ok), ho tolto tutti i virus tranne uno che ha infettato wininet.dll (in system32) che ovviamente non si può eliminare e anche se l'antivirus (kaspersky e antivir) dicono che al riavvio la dll sarà disinfettata, il virus rimane... (anche dalla modalità provvisoria)... Ho letto un po' su internet e sembra che nessuno sia riuscito ad eliminarlo tramite anti virus... vi posto il log:

Logfile of HijackThis v1.99.1
Scan saved at 14.33.39, on 26/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\VALENT~1\IMPOST~1\Temp\Rar$EX00.219\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-6D-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\HP\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\HP\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WinHound] C:\Programmi\WinHound\WinHound.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe
O4 - HKLM\..\Run: [kav] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AntiVirusPro] "C:\Programmi\AntiVirusPro\App.exe" hide
O4 - HKCU\..\RunOnce: [CleanUp!] C:\PROGRA~1\CleanUp!\CleanUp.exe /WindowsRestart
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearch.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm119YYIT
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O15 - Trusted Zone: www.master70.biz
O15 - Trusted Zone: www.master71.biz
O15 - Trusted Zone: www.realarea.biz
O15 - Trusted Zone: www.sfonditalia.biz
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108231396906
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVP - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Provvedere al Servizio Sicurezza (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

che faccio?

prima di riavviare hai disattivato il ripristino della configurazione di sistema?
E' l'unica cosa che mi viene in mente, non sono esperto...vedi un po' cosa ti dicono gli altri che credo a breve ti daranno consigli più autorevoli di questo:)

ciao

Sì!
Quasi dimenticavo... il virus è il seguente: w32/nsag.B
:sofico:

Sì!
Quasi dimenticavo... il virus è il seguente: w32/nsag.B
:sofico:


Ma Winhound l'hai installato tu? cmq aspetta andorra che ti sistema lei :)

Ma Winhound l'hai installato tu? cmq aspetta andorra che ti sistema lei :)
No, il pc non è mio...

Io farei cosi':

dalla modalità provvisoria cancellerei il dll infetto... e lo sostituirei con quello sano...

http://www.dlldump.com/download-dll-files_new.php/dllfiles/W/wininet.dll/6.00.2900.2518/download.html


;)

Io farei cosi':

dalla modalità provvisoria cancellerei il dll infetto... e lo sostituirei con quello sano...

http://www.dlldump.com/download-dll-files_new.php/dllfiles/W/wininet.dll/6.00.2900.2518/download.html


;)
sarabbe fantastico! :sofico:
Mi sembra troppo semplice come soluzione dato che nei post che ho letto su internet ho trovato solo spiegazioni lunghe e complicate (tutto tramite il log)...

Io farei come ti ho detto, spesso la strada piu' semplice è quella piu' corretta.

Cancella il file dll infetto dalla modalità provvisoria, poi fai una scansione approfondita con il Kaspersky (sempre dalla modalità provvisoria)...

e se non trova niente... sostituisci il dll cancellato con uno sano


questo è il mio dll

http://www.mytempdir.com/479281


:)

Dal log vanno fixate:

O4 - HKLM\..\Run: [WinHound] C:\Programmi\WinHound\WinHound.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe
O4 - HKCU\..\Run: [AntiVirusPro] "C:\Programmi\AntiVirusPro\App.exe" hide
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZNxdm119YYIT
O15 - Trusted Zone: www.master70.biz
O15 - Trusted Zone: www.master71.biz
O15 - Trusted Zone: www.realarea.biz
O15 - Trusted Zone: www.sfonditalia.biz

Bisogna anche aggiornare java sun e mettere l'ultima versione.

Dal log vanno fixate:

O4 - HKLM\..\Run: [WinHound] C:\Programmi\WinHound\WinHound.exe
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe
O4 - HKCU\..\Run: [AntiVirusPro] "C:\Programmi\AntiVirusPro\App.exe" hide
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZNxdm119YYIT
O15 - Trusted Zone: www.master70.biz
O15 - Trusted Zone: www.master71.biz
O15 - Trusted Zone: www.realarea.biz
O15 - Trusted Zone: www.sfonditalia.biz

Bisogna anche aggiornare java sun e mettere l'ultima versione.
ok, provo... l'ultima cosa non l'ho capita... p.s. tieni conto che con quel pc non si riesce ad accedere al web... funzia solo il task manager

Andorra ma per quel winhound non hai nessun tool? :D

Fixa questi:
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZNxdm119YYIT
O15 - Trusted Zone: www.master70.biz
O15 - Trusted Zone: www.master71.biz
O15 - Trusted Zone: www.realarea.biz
O15 - Trusted Zone: www.sfonditalia.biz
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVP - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

Disinstalla Alfacleaner se possibile, poi fixa le voci che eventualmente troverai in hijakcthis.

Installa sul pc della tua amica Firefox e Opera e dille di usarne uno dei 2 al posto di IE.
Inoltre scarica e installa i software 1-3-6-7 di questa pagina:
http://www.filehippo.com/software/antispyware/

in ultimo installa questo che protegge in real time:
http://www.arovaxantispyware.com/

Andorra ma per quel winhound non hai nessun tool? :D
Si ce l'ho il tool. Per togliere winhound si devono seguire le istruzioni del link:
http://www.bleepingcomputer.com/forums/topic37384.html

Installa sul pc della tua amica Firefox e Opera e dille di usarne uno dei 2 al posto di IE.
Inoltre scarica e installa i software 1-3-6-7 di questa pagina:
http://www.filehippo.com/software/antispyware/

in ultimo installa questo che protegge in real time:
http://www.arovaxantispyware.com/
Tranquillo! ;)
Il problema è toglierlo!
Cmq adesso mi metto a fixare... :sofico:

Si ce l'ho il tool. Per togliere winhound si devono seguire le istruzioni del link:
http://www.bleepingcomputer.com/forums/topic37384.html

Ci stavo rimanendo male... :p

Ora ho fixato quelle voce... che devo fare?
Devo anche seguire le istruzioni di quel winhoud?

Ora ho fixato quelle voce... che devo fare?
Devo anche seguire le istruzioni di quel winhoud?
Se winhound e' ancora presente devi seguire le istruzioni del link postato precedentemente.

ok, ho riavviato ma mi dà sempre un errore in explorer.exe e non me lo fa caricare... ora?

no, winhoud non c'è più facendo il log

quindi mi sconsigliate di sostituire la libreria infetta? :confused:

quindi mi sconsigliate di sostituire la libreria infetta? :confused:

sostituisci sostituisci come ti avevo detto io

:)

sostituisci sostituisci come ti avevo detto io

:)
non è che non mi fido ma vorrei essere proprio sicurissimo dato che il pc non è mio... andorra che dici? :D

non è che non mi fido ma vorrei essere proprio sicurissimo dato che il pc non è mio... andorra che dici? :D

giusto!

aspettiamo il parere di Andorra.... :)

tutti a vedere il derby? :cry: :D

Il mio consiglio e' di usare innanzitutto questo piccolo tool smitrem seguendo le istruzioni dettagliatamente:http://www.bleepingcomputer.com/files/smitRem.php

Se anche lui non sortisce l'effetto sperato puoi provare a sostituire wininet.dll come detto in precedenza da svetonio.

Il mio consiglio e' di usare innanzitutto questo piccolo tool smitrem seguendo le istruzioni dettagliatamente:http://www.bleepingcomputer.com/files/smitRem.php

Se anche lui non sortisce l'effetto sperato puoi provare a sostituire wininet.dll come detto in precedenza da svetonio.
sto usando il bat... mi sa che ha trovato un po' di roba! :sofico:

miticiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii!!!!!!!
sembra esser ok...
farò un bel figurone cn la mia amica! :sofico:

sì ma sii onesto: di che ti ha aiutato andorra, poi ricamaci sopra... :Prrr:

Nutrivo molte speranze nel programmino smitrem perche' e' stato fatto per rimuovere winhound e altre infezioni simili e di solito si comporta molto bene. :)