Ciao a tutti vi prego aiutatemi xkè sono a dir poco disperato!!!E' da circa una settimana che ho preso ( non so neanche come ) un virus o un dialer (non so precisamente cosa sia).In pratica compaiono sul desktop 5 collegamenti ad internet del tipo suonerie,trova il vero amore e vinci un computer e altri 5 collegamenti nei preferiti.Ho fatto la scansione con kaspersky e con ad-aware (entrambi aggiornati),ma non vedono niente.Aiutatemi per favore,grazie

Che computer vinceresti? :stordita: Fai una scansione con ewido e poi posta un log di hijackthis

Hijack this nn parte xke dice che manca una dll e la scansione con ewido nn ha trovato file infetti o infezioni

Prova con a - squared

Ho fatto ma nn so come si fa a postare!!!

Va be posto così:


ewido anti-malware - Rapporto processi
---------------------------------------------------------

+ Creato il: 15.18.04, 21/04/2006
+ Report-Checksum: B2383A4E

0: System Process
4: System Process
424: \SystemRoot\System32\smss.exe
480: \??\C:\WINDOWS\system32\csrss.exe
512: \??\C:\WINDOWS\system32\winlogon.exe
556: C:\WINDOWS\system32\services.exe
568: C:\WINDOWS\system32\lsass.exe
716: C:\WINDOWS\system32\Ati2evxx.exe
728: C:\WINDOWS\system32\svchost.exe
824: C:\WINDOWS\system32\svchost.exe
864: C:\WINDOWS\System32\svchost.exe
904: C:\WINDOWS\system32\svchost.exe
992: C:\WINDOWS\System32\alg.exe
1008: C:\WINDOWS\system32\svchost.exe
1084: C:\WINDOWS\system32\Ati2evxx.exe
1152: C:\WINDOWS\Explorer.EXE
1224: C:\Programmi\ewido anti-malware\SecuritySuite.exe
1276: C:\WINDOWS\system32\spoolsv.exe
1464: C:\Programmi\ewido anti-malware\ewidoctrl.exe
1492: C:\WINDOWS\system32\ntvdm.exe
1516: C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
1600: C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
1636: C:\WINDOWS\sm56hlpr.exe
1724: C:\WINDOWS\system32\wdfmgr.exe
1740: C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
1828: C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
1844: C:\WINDOWS\system32\ctfmon.exe
1864: C:\WINDOWS\svchost.exe
2056: C:\WINDOWS\system32\svchost.exe
3512: System Process
3516: C:\Programmi\Internet Explorer\iexplore.exe
3628: System Process

cos'e' quel lavoro qua??? :confused: :mbe: :confused:

il log di hijackthis.....

scarica hijackthis
scompattalo in una cartella
lancia l'eseguibile premi il primo bottone
e copia e incolla il risultato

Se leggi sopra ho già scritto che hijack nn mi parte xkè manca una dll del s.o.

Se leggi sopra ho già scritto che hijack nn mi parte xkè manca una dll del s.o.

Ciao,

se hai il cd di win xp, inseriscilo e da start -> esegui digita sfc /scannow così ti ripristina le dll principali del S.O.
Altrimenti specifica esattamente quale dll ti manca che te la spediamo ;)

Grazie mille.Il nome della dll è:
MSVBVM60.dll

Ok ho scaricato la dll da dll-files.com e l'ho ripristinata.Ora hijack funziona e posto i risultati:

Logfile of HijackThis v1.99.1
Scan saved at 19.19.48, on 21/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\svchost.exe
D:\Programmi\Hijack This\Hijack This 1.99\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load= C:\TCWIN45\PIPELINE\remind.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it/
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BF341BA-C492-49CE-BEEB-16F78F8F774A}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BF341BA-C492-49CE-BEEB-16F78F8F774A}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CS2\Services\Tcpip\..\{1BF341BA-C492-49CE-BEEB-16F78F8F774A}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Prime95 Service - Unknown owner - C:\DOCUME~1\Alessio\IMPOST~1\Temp\Rar$EX00.893\PRIME95.EXE (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

OK, eccola:

http://wgator.dyndns.org/ftp/Msvbvm60.zip

Ciao,

il problema principale proviene da C:\WINDOWS\svchost.exe
Localizzalo e cancellalo, magari da mod. provvisoria ippure con killbox.

Fixa queste voci:

C:\WINDOWS\svchost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe


Facoltativamente puoi fixare anche questa:

O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm

Se non sai cos'è fixa anche questa:

O23 - Service: Prime95 Service - Unknown owner - C:\DOCUME~1\Alessio\IMPOST~1\Temp\Rar$EX00.893\PRIME95.EXE (file missing)

Ok fatto.Scusa ma svchost che si trova in system 32 devo lasciarlo o devo eliminarlo???

Ciao,

se hai il cd di win xp, inseriscilo e da start -> esegui digita sfc /scannow così ti ripristina le dll principali del S.O.
Altrimenti specifica esattamente quale dll ti manca che te la spediamo ;)
c'e' un modo per evitare che richieda conferma di continuo?
o è meglio farlo da modalità provvisoria?

devi aggiornare java runtime anche

Ok fatto.Scusa ma svchost che si trova in system 32 devo lasciarlo o devo eliminarlo???
no quello è regolare, è quello in \windows da togliere

e aggiorna java

Ok fatto.Scusa ma svchost che si trova in system 32 devo lasciarlo o devo eliminarlo???
io direi di fixarlo solamente con hijackthis :)

c'e' un modo per evitare che richieda conferma di continuo?
o è meglio farlo da modalità provvisoria?

Ciao,

di solito chiede conferma in continuazione (parlo di sfc /scannow) se il cd non viene inserito nell'esatta unità dalla quale si era installato originariamente il sistema operativo. Per esempio se, dopo l'installazione del S.O. si è partizionato l'hard disk e il lettore CD dall'originaria lettera "D:" è diventato "E:" si verifica quell'inconveniente.
Da qualche parte ho un "tip" su come modificare una chiave di registro per "far credere" a Windows di essere stato installato da un'altra unità. Se ricordo bene, tale modifica può essere fatta anche con "Tweak-UI"

io direi di fixarlo solamente con hijackthis :)

Ciao,

l'eseguibile svchost.exe contenuto in c:\windows non può essere fissato con HJT... dev'essere per forza eliminato manualmente

Se metti la spunta su
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe
lo togli dall'esecuzione automatica, ovvero non viene più avviato automaticamente dal sistema ma il virus resta...

P.S.

i svchost.exe presenti in system32 e in system32\dllcache sono legittimi e non vanno cancellati ;)

Ciao,

di solito chiede conferma in continuazione (parlo di sfc /scannow) se il cd non viene inserito nell'esatta unità dalla quale si era installato originariamente il sistema operativo. Per esempio se, dopo l'installazione del S.O. si è partizionato l'hard disk e il lettore CD dall'originaria lettera "D:" è diventato "E:" si verifica quell'inconveniente.
Da qualche parte ho un "tip" su come modificare una chiave di registro per "far credere" a Windows di essere stato installato da un'altra unità. Se ricordo bene, tale modifica può essere fatta anche con "Tweak-UI"
la cosa strana è che si trattava di un portatile e quindi con un solo lettore cd...
nessuna partizione presente ne prima ne mai...
boh...
forse da modalità provvisoria senza il file protection :mbe:

Ciao,

l'eseguibile svchost.exe contenuto in c:\windows non può essere fissato con HJT... dev'essere per forza eliminato manualmente

Se metti la spunta su
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe
lo togli dall'esecuzione automatica, ovvero non viene più avviato automaticamente dal sistema ma il virus resta...

P.S.

i svchost.exe presenti in system32 e in system32\dllcache sono legittimi e non vanno cancellati ;)
devi eliminare quello in c:\windows\ prova casomai con killbox

Ho usato la funzione shred file di dap 8 e il virus se ne è andato.Grazie come al solito siete mitici

bene