Ragazzi un mio amico è sicuro di essere stato infetto da un virus...ha continui problemi di disconnessione da internet....ha fatto la scansione con avast e ne ha trovato uno (di cui non ricordo il nome! :stordita:) che non riesce a rimuovere.....
Vi posto il suo log file di hijackthis :read: ....speriamo bene! :rolleyes:
GRAZIE!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.32.29, on 25/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\MSN Messenger\usnsvc.exe
D:\FastMobileModem\MMModem.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\Rar$EX00.250\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [zocraa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zocraa.exe
O4 - HKLM\..\Run: [winvpdbs] "c:\windows\system32\winvpdbs.exe"
O4 - HKLM\..\Run: [zztjfa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zztjfa.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [lsaipjce] "c:\windows\system32\lsaipjce.exe"
O4 - HKLM\..\Run: [xdptea.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\xdptea.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: http://www.happyfile.net
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: *.whatsnew.name
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7C40F2C-DB2A-4D86-B9B9-6E5872B123CB}: NameServer = 62.13.171.1 62.13.171.2
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7857 bytes

disabilita il system restore
fixa
O4 - HKLM\..\Run: [xdptea.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\xdptea.exe
O4 - HKLM\..\Run: [lsaipjce] "c:\windows\system32\lsaipjce.exe"
O4 - HKLM\..\Run: [zztjfa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zztjfa.exe
O4 - HKLM\..\Run: [winvpdbs] "c:\windows\system32\winvpdbs.exe"
O4 - HKLM\..\Run: [zocraa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zocraa.exe

e fai una scan online con ewido e a asquared

Aggiungerei di fixare tutte le O15:

O15 - Trusted Zone: h**p://www.archiviosex.net
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: h**p://www.happyfile.net
O15 - Trusted Zone: h**p://www.otherchance.com
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: *.whatsnew.name

Fai una scansione anche con bit defender io avevo lo stesso problema e me l'ha risolto

siccome si connette con l'UMTS tramite cell ed ha MB limitati, avete un buon antivirus gratuito da consigliargli per rimuovere definitivamente quei maledetti virus? :O

active virus shield/antivir

siccome si connette con l'UMTS tramite cell ed ha MB limitati, avete un buon antivirus gratuito da consigliargli per rimuovere definitivamente quei maledetti virus? :O

io ti dirò: scaricare l'eseguibile per la scan onlie più archivio sono 5mb avs sono 20 antivir mi pare 18...; non so te ma visto che paga a mb

a proposito AVAST gli segnala questo virus:
il file infetto è spoolsv32.exe[UPX] dal malware Win32:Agent-CPG [Trj]

Poi salta la connessione internet e gli appare questo avviso:
si è verificato un errore con atiptaxx.exe

Ora la definizione del virus ce l'abbiamo ma non sappiamo come eliminarlo....non va via nemmeno in modalità provvisoria....Vi prego aiutateci! HELP! :confused:

io ti dico una cosa; mossa tanto geniale da mettere sue link che puntano a trojan non l'avevo mai vista

io ti dico una cosa; mossa tanto geniale da mettere sue link che puntano a trojan non l'avevo mai vista
scusa ho corretto....cmnq nessuno mi sa dire niente?

se avast te li blocca vuol dire che non son o entrati

se avast te li blocca vuol dire che non son o entrati
io non so adesso se il virus è già entrato o vuole entrare ma sta di fatto che il mio amico ha problemi con la connessione...ha già fixato tutte le voci di hijackthis tranne una (di cui non ricordo il nome) che non vuole saperne di andarsene....qualche suggerimento?

io non so adesso se il virus è già entrato o vuole entrare ma sta di fatto che il mio amico ha problemi con la connessione...ha già fixato tutte le voci di hijackthis tranne una (di cui non ricordo il nome) che non vuole saperne di andarsene....qualche suggerimento?

una scansione con gmer e system restore disattivato

una scansione con gmer e system restore disattivato

grazie riferirò e poi vi comunicherò i risultati! ;)

scusate la domanda ma GMER ha la stessa funzione di hijackthis?

no. gmer rileva files e processi nascosti che hijackthis non può vedere

no. gmer rileva files e processi nascosti che hijackthis non può vedere
quindi ha le stesse funzioni di hijack più quella di poter rilevare i processi nascosti...giusto?

no. hijachthis rileva tutti i processi visibili,più le chiavi di registro che vengono modificate da malware ecc.

gmer trova anche files e processi nascosti ma non le chiavi.

no. hijachthis rileva tutti i processi visibili,più le chiavi di registro che vengono modificate da malware ecc.

gmer trova i files ed anche processi nascosti.

ah grazie....ascoltate il mio amico ha trovato dei processi segnalati con il colore rosso "services.exe".....come può eliminarli?

allora segui questo articolo
http://www.megalab.it/articoli.php?id=903&pagina=1

e esegui questo fix
http://wwwlasa.mi.infn.it/Servizio-di-Calcolo/sicurezza-e-protezione/rustbfix.exe