Ho un virus sul pc ma dopo aver provato sia con avenger che con HijackThis non riesco ad eliminare.

Eccovi il log di HijackThis (ho evidenziato in grassetto i processi sospetti):

-----------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 12:41:07, on 01/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Administrator\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {D8A6DA82-4DDA-4E90-A58F-D7702D9EBC0F} - c:\windows\system32\nppanpp.dll
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: enogksnd - C:\WINDOWS\SYSTEM32\nppanpp.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

-----------------------------------------------------------

Active virus shield mi trova questo trojan:

Trojan-Clicker.Win32.Delf.hi -> c:\windows\system32\nppanpp.dll.bak
Trojan-Clicker.Win32.Delf.zj -> c:\windows\system32\nppanpp.dll.bak

Come faccio ad eliminarlo?

Fixa le voci che hai detto e inserisci in avenger questo script:

Files to delete:
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\SYSTEM32\nppanpp.dll

Fixa le voci che hai detto e inserisci in avenger questo script:

Files to delete:
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\SYSTEM32\nppanpp.dll

Già provato, nulla da fare...ritrovo i file in esecuzione (un paio di processi per ogni eseguibile)

hai disabilitato il system restore?

hai disabilitato il system restore?

no, dopo tento disabilitando, speriamo bene!!!

Sto uscendo pazzo!!!

Ciao io ho lo stesso problema....!!! non riesco ad eliminare un Trojan program Trojan-Clicker.Win32.Delf.hi....il mio antivirus lo ha individuato nel seguente file e pertanto ineliminabile perchè entra in uso con altri programmi. Il file dove è insinuato il virus è File: C:\WINDOWS\system32\boeaboe.dll

COME FACCIO A LIBERARMENE??
tu sei riuscito a eliminarlo?? se si come???
grazie mille ....fammi sapere per favore

Ciao io ho lo stesso problema....!!! non riesco ad eliminare un Trojan program Trojan-Clicker.Win32.Delf.hi....il mio antivirus lo ha individuato nel seguente file e pertanto ineliminabile perchè entra in uso con altri programmi. Il file dove è insinuato il virus è File: C:\WINDOWS\system32\boeaboe.dll

COME FACCIO A LIBERARMENE??
tu sei riuscito a eliminarlo?? se si come???
grazie mille ....fammi sapere per favore

Ciao, ora sto a napoli e il virus ce l'ho sul pc al paese.
Appena torno provo a disabilitare il ripristino di sistema ed eseguire la procedura che ho utilizzato...sperando di risolvere il problema questa volta.

ma vi appare kme processo nel task manager??io avevo un virus piu o meno kme il vostro e mi e bastato andare nel task e terminare la struttura dei processi del exe.in questo modo lo potuto eliminare tranquillamente senza dover bestemmiare kme starete facendo voi:P

ma vi appare kme processo nel task manager??io avevo un virus piu o meno kme il vostro e mi e bastato andare nel task e terminare la struttura dei processi del exe.in questo modo lo potuto eliminare tranquillamente senza dover bestemmiare kme starete facendo voi:P

Non me lo fa terminare dal task manager..anzi, se ci provo avvia un'altra sessione del processo...che stress!!!

mmmm hai provato a far una ricerca con google mettendo il nomedel virus??magari salta subito il rimedio!kme e succexo a me
kmnque konsolati ankio ho un grattakapo ke mi rompe i bip:P

mmmm hai provato a far una ricerca con google mettendo il nomedel virus??magari salta subito il rimedio!kme e succexo a me
kmnque konsolati ankio ho un grattakapo ke mi rompe i bip:P

non trovo nulla con google

Confermo!
Su google...non c'è nulla...so solo che sui Trojan Clicker come questo virus , consigliano di disabilitare il ripristino di sistema e di eliminare il virus in modalità ridotta....ma sinceramente io non ho la piu pallida idea di come si fa!!

mi sto stressando con qualsiasi procedimento!!!

Confermo!
Su google...non c'è nulla...so solo che sui Trojan Clicker come questo virus , consigliano di disabilitare il ripristino di sistema e di eliminare il virus in modalità ridotta....ma sinceramente io non ho la piu pallida idea di come si fa!!

mi sto stressando con qualsiasi procedimento!!!

Click destro su risorse del computer -> proprietà -> Ripristino di configurazione di sistema -> disattiva ripristino...

Riavvii e premi F8 per avviare in modalità provvisoria

Grazie shumy!!! Ci provo ma dubito che funzionerà ....sto virus è tosto!!!

Intanto nella speranza che qualcuno mi aiuti...allego i risultati che mi hadato la scansione con HIJACKTHIS 2.0:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.43.47, on 16/06/2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TOSHIBA\TouchPadNF\TPTray.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\Programmi\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\File comuni\System\MSASP32.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\regedit.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Alfio\Impostazioni locali\Temp\Directory temporanea 1 per HijackThis2.0.0.zip\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: XBTP06568 - {311F9DE8-6126-4EEE-B15F-65CBB3B4F9F6} - C:\Programmi\AOL Security Toolbar\AOL_security_toolbar.dll
O2 - BHO: (no name) - {701707F5-BC9F-40CA-AFBA-FBDC5CE6FC37} - c:\windows\system32\boeaboe.dll
O2 - BHO: (no name) - {84041FE4-33AB-42A8-89A9-1DDA72916D7B} - c:\windows\system32\eciegxia.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: AOL Security Toolbar - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - C:\Programmi\AOL Security Toolbar\AOL_security_toolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwaprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPadNF\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [CeEKey.exe] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunServices: [SYSTEM] winmgrd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [SYSTEM] winmgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [SYSTEM] winmgrd.exe (User 'Default user')
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178649282904
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1178649263135
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3623098-E0F0-48F5-B9B4-83CE77F255AA}: NameServer = 85.37.17.42 85.38.28.87
O20 - Winlogon Notify: ukqckiiy - C:\WINDOWS\SYSTEM32\boeaboe.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Advance Service Process - Unknown owner - C:\Programmi\File comuni\System\MSASP32.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Programmi\AOL\Active Virus Shield\avp.exe

--
End of file - 5258 bytes

Vedi stesso sul sito l'analisi del tuo log:

http://www.hijackthis.de/

Hai molte cose sospette da eliminare

Si....ma il trojan che ci accomuna, è stato individuato da AVS in c:\windows\system32\boeaboe.dll

Ho letto di usare AVENGER però non ho capito cosa mettere come stringhe e soprattutto quale chiave di registro mettere su AVENGER prima del file .dll da eliminare!!!

Si....ma il trojan che ci accomuna, è stato individuato da AVS in c:\windows\system32\boeaboe.dll

Ho letto di usare AVENGER però non ho capito cosa mettere come stringhe e soprattutto quale chiave di registro mettere su AVENGER prima del file .dll da eliminare!!!

Su avenger devi scrivere:

Files to delete:
c:\windows\system32\boeaboe.dll

Ovviamente anche tutti gli altri file collegati e ritenuti pericolosi da avs

aiutamiii fast, nemmeno il cd di ripristino del toshiba non si avvia piu'!!!!
Che devo fare???

Aiutoooooooo

Shumy hai trovato qualche soluzione peri il virus che ci attanaglia??

O2 - BHO: (no name) - {701707F5-BC9F-40CA-AFBA-FBDC5CE6FC37} - c:\windows\system32\boeaboe.dll

O2 - BHO: (no name) - {84041FE4-33AB-42A8-89A9-1DDA72916D7B} - c:\windows\system32\eciegxia.dll

comincia col fixare questi eppoi usa avenger:
Files to delete:
c:\windows\system32\boeaboe.dll
Files to delete:
c:\windows\system32\eciegxia.dll

vedi se risolvi:

http://forum.html.it/forum/showthread.php?threadid=1137876&highlight=spoolw.exe

Le chiavi nel registro non me le fa fixare, nè eliminare a mano.

Ho disabilitato il ripristino di sistema ma niente da fare.

Rimangono i file C:\WINDOWS\SYSTEM32\nppanpp.dll e C:\WINDOWS\SYSTEM32\nppanpp.dll.bak

Non c'è verso di eliminarli.

L'unica soluzione (evitando la formattazione) è di montare il disco su un altro pc e cancellare i due file (sperando di non passare il virus anche all'altro pc e che mi permetta di cancellarli) :)

ecco un utente con lo stesso problema:

Ciao..mi intrometto così perkè l'avevo preso ankio..
adesso vi dico com'è realmente (oppure dipende forse io ne avevo anke due cmq adesso vi spiego):
Intanto spoowl.exe e hvja ecc.ecc.(nn mi ricordo e sto scrivendo in modalità avanzata) sn sl 2 applicazioni ma nn sono i virus!!(asp forse qst l'avevate capito)
cmq i veri virus sn 3 e dovrebbero girare in combutta, e sono:
PRIMO: U.exe
SECONDO: w32dgb.exe (mi sembra)
ed infine quelli ke li fà creare!: iexplorer.exe!! (ke sia maledetto!!! )
ATTENZIONE: la i nn mi ricordo se è maiuscola (potrebbe nn mi ricordo+) ma attenti c'è ne un'altra di applicazione con lo stesso nome però tutta maiuscola (IEXPLORER.exe) ke è Internet explorer!!Quel file nn toccatelo!!è polleg!
cmq tornando a iexplorer. exe dovreste sapere prima di continuare ke nei file windows vi è un file ke si chiama appunto explorer.exe (senza i!) ke in pratica è il desktop, infatti quando vi si blocca l'immagine sul monitor se caricate il task manager e chiudete il processo explorer.exe e poi andando su file\nuova operazione e digitate explorer.exe ritornerà a funzionare l'immagine.
DETTO QUESTO cosa succede:
quando venite infettati da iexplorer.exe questo si sostituisce a explorer.exe nella cartella di windows!QUINDI COSA SUCCEDE?
ke voi utilizzerete il desktop attraverso il virus e da qui entrano in gioco
gli altri 2 virus(ke vengono subito creati) e poi i file spoowl.exe quell'altro ecc. ecc. e poi dttk ecc ecc (ke nn mi ricordco neanke questo) .exe
il punto è questo:
le tre applicazioni (spoowl ecc.ecc.!) sono difatto immunizzabili inquanto sygate personal firewall ad esempio le blocca e voi dovete solo ribloccarle ogni volta ke si ricreano, SOLO ke per gli altri virus è un problema inquanto:
siccome questa combo di virus dipende da explorer. exe bisognerebbe eliminare quello(DICENDOLA FACILE!!), inquanto ke kosa fa sto cazzo di virus? ECCO lui ogni volta ke creerete un icona o una cartella o vi connetterete ad internet manderà un segnale a u32dbg.exe ke creerà ste kazzo di applicazioni!!!(spoowl ecc.ecc.!)
allora il problema è sempliceii BATTUTONA!!)
con avg anti virus voi troverete quei virus (con nod32 no ma è meglio così!!!) e li eliminerete come o fatto io il problema dove sta:
se cerkerete di eliminare u32dbg.exe entrerà in funzione U.exe ke manderà un segnale a iexplorer.exe per ricrearlo ma poi mister "U" cazzierà subito antivirus e firewall e sarete fregati fintanto ke non li reinstallerete al volo!
Uno dice bè allora eliminiamo subito iexplorer!?!?(Come ho fatto io! )
Il punto dove sta?? il punto è semplice (altra battutona ): quando l'eliminate, essendo esso il sostituto del file di sistema operativo windows quando l'eliminate (anke insieme agli altri virus tutti assieme) avrete vinto la battaglia certo ma cè un problemino: il desktop non va + perkè non cè + il file!!!
IN CONCLUSIONE potete fare solo due semplici cose:
1_Salvare i file ke vi servono su dvd o su un hardisk esterno (senza paura di passare il virus e lui infatti ha solo qst combo non è un worm ke si riproduce) e poi resettare tutto e bona lè!! (FATERISPARMIERETE UN SACCO DI PROBLEMI!!)
oppure
2_ Cancellare i file con avg o karpreski e poi quando riavviate molto con buona voglia reinstallerete windows sempre nella stessa cartella non cancellando i vostri documenti, poi con buona lena vi metterete li e sposterete le aplicazioni dalle vecchie cartelle alle nuove e mettendo poi apposto tutto il registro di sistema col comando REGEDIT salvandovi così le chiappe..(sempre se siete buoni perkè cmq lo vedo complicatissimissimissimo!!)
A questo punto detto tutto ciò facciamo applausi insieme al fottutissimo creatore di qst virus ke mi ha fatto perdere 460 gb di roba ma ke bisogna ammettere è un XXXXXXXXXX!!
applause applause applause
(dopo please urlategli anke in coro anke XXXXXXXXXx!!!)