Ciao a tutti...mi sono accorto che nel task manager di windows ci sono questi processi dannosi:igfxsvc.exe e lo spoolw.exe.
Ho tentato ad eliminarli ma non ci sono riuscito.
Inizialmente ho provato a fixarli in modalità provvisoria con hijackthis, poi ho provato ad inserire uno script con the avanger
(Files to delete: c:\WINDOWs\system32\spoolw.exe e: Files to delete:
c:\WINDOWs\system32\igfxsvc.exe) infine ho provato a disabilitare il ripristino di sistema e eseguire una scansione in modalità provvisoria.
Aiutatemi!!!!

Ecco il log di hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.40.17, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\Programmi\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.ex e
C:\Programmi\3\FastMobileModem\MMModem.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\x\Desktop\cancellazione\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.0.2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P33 "EPSON Stylus C42 Series (Copia 1)" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [E07IXLRD_8171734] "C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{64B8D88A-4E02-4C11-A33E-241899ABDA97}: NameServer = 62.13.171.1 62.13.171.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

DA FIXARE:

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe

O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe

Proprio non riesci a fixarli??

No,non riesco a fixarli.
Come posso fare??

Prima di fixare le voci che ti ha detto oasis90 disabilita il ripristino configurazione di sistema (tasto destro su risorse del computer, proprietà, scheda rip. conf di sis, checka la spunta, ok.)

e poi ecco una descrizione del malware che ti sei preso: Clicca qui (http://virusinfo.prevx.com/pxparall.asp?PX5=c285d55700b2f58b0ebe0016e6decc00b79bcd14)

Infatti non ci sono solo quei 2 file infetti... svuota la cache di explorer, poi scarica avenger cliccando >QUI (http://swandog46.geekstogo.com/avenger.zip)<

e inserisci questo script:

Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\U.exe

Poi controlla nel menu avvio se hai un certo file Imfe.exe e se si, eliminalo o manualmente o aggiungendo il suo percorso in coda allo script di avenger...

No,non riesco a fixarli.
Come posso fare??

non saprei..nel primo messaggio hai detto di aver già fatto tutto il possibile..ed in effetti è vero..:confused: ...

edit: Grande Tidus Strife...sempre presente...;)

Se uso il ripristino delle onfigurazioni non risolvo il problema,vero?

perspicace il nostro utente, una volta tanto

Prima di fixare le voci che ti ha detto oasis90 disabilita il ripristino configurazione di sistema (tasto destro su risorse del computer, proprietà, scheda rip. conf di sis, checka la spunta, ok.)

e poi ecco una descrizione del malware che ti sei preso: Clicca qui (http://virusinfo.prevx.com/pxparall.asp?PX5=c285d55700b2f58b0ebe0016e6decc00b79bcd14)

Infatti non ci sono solo quei 2 file infetti... svuota la cache di explorer, poi scarica avenger cliccando >QUI (http://swandog46.geekstogo.com/avenger.zip)<

e inserisci questo script:

Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\U.exe

Poi controlla nel menu avvio se hai un certo file Imfe.exe e se si, eliminalo o manualmente o aggiungendo il suo percorso in coda allo script di avenger...

Il problema è che non mi fà fixare le voci:

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

perchè nel file log.txt compaiono,ma nella lista scansione NO,cioè dove selezionare e fare fixa!
Come faccio?
Poi il file Imfe.exe è in un percorso particolare?

provato avenger

Prima di fixare le voci che ti ha detto oasis90 disabilita il ripristino configurazione di sistema (tasto destro su risorse del computer, proprietà, scheda rip. conf di sis, checka la spunta, ok.)

e poi ecco una descrizione del malware che ti sei preso: Clicca qui (http://virusinfo.prevx.com/pxparall.asp?PX5=c285d55700b2f58b0ebe0016e6decc00b79bcd14)

Infatti non ci sono solo quei 2 file infetti... svuota la cache di explorer, poi scarica avenger cliccando >QUI (http://swandog46.geekstogo.com/avenger.zip)<

e inserisci questo script:

Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\U.exe

Poi controlla nel menu avvio se hai un certo file Imfe.exe e se si, eliminalo o manualmente o aggiungendo il suo percorso in coda allo script di avenger...
Il problema è che non mi fà fixare le voci:

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

perchè nel figle log.txt compagiono,ma nella lista scansione NO,cioè dove selezionare e fare fixa!
Come faccio?
Poi il file Imfe.exe in un percorso particolare?

sei ripetitivo

ops ho inviato per sbaglio lo stesso messaggio....scusate!

Scansionare con VIRIT debitamente aggiornato: rimuoverà alcuni files (spoolw.exe, igfxsvc.exe, w32dbg.exe, iexplore_32.exe ed altri .exe e .dll) infetti da Trojan.Win32.Agent.AXN e Trojan.Win32.Small.LQ ed eventualmente farà riavviare se i files saranno in esecuzione.

Al riavvio il desktop sarà vuoto e potrete usare solo TASK MANAGER (da qui non potrete lanciare nemmeno internet explorer in quanto non funzionante) quindi scegliete FILE > NUOVA OPERAZIONE > (scrivete) regedit (+ INVIO)
andate a cercare ed eliminate queste 2 voci dal registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (che fa riferimento al file c:\windows\w32dbg.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (che fa riferimento al file C:\windows\iexplore_32.exe)

Chiudete il registro, tornate in TASK MANAGER e scegliete FILE > NUOVA OPERAZIONE > (scrivete) explorer.exe (+ INVIO)

CIAO

Scansionare con VIRIT debitamente aggiornato: rimuoverà alcuni files (spoolw.exe, igfxsvc.exe, w32dbg.exe, iexplore_32.exe ed altri .exe e .dll) infetti da Trojan.Win32.Agent.AXN e Trojan.Win32.Small.LQ ed eventualmente farà riavviare se i files saranno in esecuzione.

Al riavvio il desktop sarà vuoto e potrete usare solo TASK MANAGER (da qui non potrete lanciare nemmeno internet explorer in quanto non funzionante) quindi scegliete FILE > NUOVA OPERAZIONE > (scrivete) regedit (+ INVIO)
andate a cercare ed eliminate queste 2 voci dal registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (che fa riferimento al file c:\windows\w32dbg.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (che fa riferimento al file C:\windows\iexplore_32.exe)

Chiudete il registro, tornate in TASK MANAGER e scegliete FILE > NUOVA OPERAZIONE > (scrivete) explorer.exe (+ INVIO)

CIAO

Quoto tutto con piccola aggiunta: clic con destro su "explorer.exe" seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella "controllo completo" nella colonna "consenti".
poi clic con destro sulla chiave ("explorer.exe" e successivamente,rifacendo la procedura, l'altra chiave "iexplore.exe") e scegli elimina.

Saluti :cool:

Ciao..mi intrometto così perkè l'avevo preso ankio..
adesso vi dico com'è realmente (oppure dipende forse io ne avevo anke due cmq adesso vi spiego):
Intanto spoowl.exe e hvja ecc.ecc.(nn mi ricordo e sto scrivendo in modalità avanzata) sn sl 2 applicazioni ma nn sono i virus!!(asp forse qst l'avevate capito)
cmq i veri virus sn 3 e dovrebbero girare in combutta, e sono:
PRIMO: U.exe
SECONDO: w32dgb.exe (mi sembra)
ed infine quelli ke li fà creare!: iexplorer.exe!! (ke sia maledetto!!! )
ATTENZIONE: la i nn mi ricordo se è maiuscola (potrebbe nn mi ricordo+) ma attenti c'è ne un'altra di applicazione con lo stesso nome però tutta maiuscola (IEXPLORER.exe) ke è Internet explorer!!Quel file nn toccatelo!!è polleg!
cmq tornando a iexplorer. exe dovreste sapere prima di continuare ke nei file windows vi è un file ke si chiama appunto explorer.exe (senza i!) ke in pratica è il desktop, infatti quando vi si blocca l'immagine sul monitor se caricate il task manager e chiudete il processo explorer.exe e poi andando su file\nuova operazione e digitate explorer.exe ritornerà a funzionare l'immagine.
DETTO QUESTO cosa succede:
quando venite infettati da iexplorer.exe questo si sostituisce a explorer.exe nella cartella di windows!QUINDI COSA SUCCEDE?
ke voi utilizzerete il desktop attraverso il virus e da qui entrano in gioco
gli altri 2 virus(ke vengono subito creati) e poi i file spoowl.exe quell'altro ecc. ecc. e poi dttk ecc ecc (ke nn mi ricordco neanke questo) .exe
il punto è questo:
le tre applicazioni (spoowl ecc.ecc.!) sono difatto immunizzabili inquanto sygate personal firewall ad esempio le blocca e voi dovete solo ribloccarle ogni volta ke si ricreano, SOLO ke per gli altri virus è un problema inquanto:
siccome questa combo di virus dipende da explorer. exe bisognerebbe eliminare quello(DICENDOLA FACILE!!), inquanto ke kosa fa sto cazzo di virus? ECCO lui ogni volta ke creerete un icona o una cartella o vi connetterete ad internet manderà un segnale a u32dbg.exe ke creerà ste kazzo di applicazioni!!!(spoowl ecc.ecc.!)
allora il problema è sempliceii BATTUTONA!!)
con avg anti virus voi troverete quei virus (con nod32 no ma è meglio così!!!) e li eliminerete come o fatto io il problema dove sta:
se cerkerete di eliminare u32dbg.exe entrerà in funzione U.exe ke manderà un segnale a iexplorer.exe per ricrearlo ma poi mister "U" cazzierà subito antivirus e firewall e sarete fregati fintanto ke non li reinstallerete al volo!
Uno dice bè allora eliminiamo subito iexplorer!?!?(Come ho fatto io! )
Il punto dove sta?? il punto è semplice (altra battutona ): quando l'eliminate, essendo esso il sostituto del file di sistema operativo windows quando l'eliminate (anke insieme agli altri virus tutti assieme) avrete vinto la battaglia certo ma cè un problemino: il desktop non va + perkè non cè + il file!!!
IN CONCLUSIONE potete fare solo due semplici cose:
1_Salvare i file ke vi servono su dvd o su un hardisk esterno (senza paura di passare il virus e lui infatti ha solo qst combo non è un worm ke si riproduce) e poi resettare tutto e bona lè!! (FATERISPARMIERETE UN SACCO DI PROBLEMI!!)
oppure
2_ Cancellare i file con avg o karpreski e poi quando riavviate molto con buona voglia reinstallerete windows sempre nella stessa cartella non cancellando i vostri documenti, poi con buona lena vi metterete li e sposterete le aplicazioni dalle vecchie cartelle alle nuove e mettendo poi apposto tutto il registro di sistema col comando REGEDIT salvandovi così le chiappe..(sempre se siete buoni perkè cmq lo vedo complicatissimissimissimo!!)
A questo punto detto tutto ciò facciamo applausi insieme al fottutissimo creatore di qst virus ke mi ha fatto perdere 460 gb di roba ma ke bisogna ammettere è un XXXXXXXXXX!!
applause applause applause
(dopo please urlategli anke in coro anke XXXXXXXXXx!!!)

Grazie per la spiegazione ...... ma era necessario riesumare due discussioni definite da mesi? :mbe: :confused:

ottimo post,fosse stato scritto in italiano sarebbe stato meglio :D
comunque io ho preso la variante senza quel U.exe...per curiosità,in che cartella si trovava?
altra cosa....il dialcall(nome del virus)creava anche numerosi dialer nella cartella :\Windows che per nome avevano una serie random di 6 cifre...dico,te ne sei accorto vero?:D

ciao a tutti mi sono iscritto ora perchè anche io ho questo problema...
tutto è iniziato con il fatto che quando mi connettevo ad internet,dopo un po la linea si disconnetteva da sola,ho cercato in giro nelle cartelle è ho scoperto che la disconnessione è causata da un dialer russo che genera dei file eseguibili con nomi tutti diversi e rigorosamente con caratteri numerici come per esempio:


54443109.exe

58489453.exe

58491656.exe

62511718.exe

4933796.exe

9978578.exe

ho visto che sul task manager ci sono anche spollw.exe e igfxsvc.exe i quali sono praticamente impossibili da levare,sono riuscito a cancellarli un po di volte semplicemente bloccando il processo e spostandolo nel cestino ma poi il processo ricominciava,o provato anche a modificare il file spollw.exe con il blocco note pensando che magari cambiamdo un po di comandi all'interno il file potesse bloccarsi,ma niente...
ho modificato le voci nel registro ma sono ancora alla stesso punto di prima...

ti sei preso la variante che beccai pure io mesi addietro,se può esserti di conforto.
dunque...quei file con caratteri numerici sono sicuramente sotto la directory c:\windows,mentre spoolw e igfxsvc se non ricordo male eran sotto system32.
dovresti avere anche altri due eseguibili,sempre sotto c:\windows...qualcosa tip w32dbg.exe e iexplorer_32.exe.
in ogni caso posta:
1)log di hijackthis
2)log di gmer,con spunte su system,registry e e files

ciao a tutti mi sono iscritto ora perchè anche io ho questo problema...
tutto è iniziato con il fatto che quando mi connettevo ad internet,dopo un po la linea si disconnetteva da sola,ho cercato in giro nelle cartelle è ho scoperto che la disconnessione è causata da un dialer russo che genera dei file eseguibili con nomi tutti diversi e rigorosamente con caratteri numerici come per esempio:

ho visto che sul task manager ci sono anche spollw.exe e igfxsvc.exe i quali sono praticamente impossibili da levare,sono riuscito a cancellarli un po di volte semplicemente bloccando il processo e spostandolo nel cestino ma poi il processo ricominciava,o provato anche a modificare il file spollw.exe con il blocco note pensando che magari cambiamdo un po di comandi all'interno il file potesse bloccarsi,ma niente...
ho modificato le voci nel registro ma sono ancora alla stesso punto di prima...

Per caso hai anche i file iexplore_32.exe e w32dbg.exe?

In caso affermativo c'è da lavorare con il registro alle chiavi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

Buongiorno

relativamente a questa discussione io mi ritrovo sul pc tutte le fattispecie descritte dagli altri utenti a causa del virus song.exe

la rimozione di questo virus, che mi pare di capire sia una variante del virus u.exe . ufo.exe ecc ecc, ha poi avuto una procedura vincente?

Buongiorno

relativamente a questa discussione io mi ritrovo sul pc tutte le fattispecie descritte dagli altri utenti a causa del virus song.exe

la rimozione di questo virus, che mi pare di capire sia una variante del virus u.exe . ufo.exe ecc ecc, ha poi avuto una procedura vincente?

Procedi con la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione


MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP (http://www.fileup.itadib.com/index.php), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

questo ci consente di fare una diagnosi ed escludere altre eventuali infezioni, nel frattempo potresti fare questo controllo clicca su una cartella qualsiasi Strumenti - Opzioni - Visualizzazione e metti il segno di spunta su Visualizza file e cartelle nascoste / togli il segno di spunta da Nascondi file protetti di sistema e vedi se è presente il file in grassetto in questo percorso C:\WINDOWS\system32\secpol.exe

grazie per l'immediata risposta

ora eseguo la procedura segnalata

relativamente al file secpol.exe non è presente nella cartella system32

grazie ancora

grazie per l'immediata risposta

ora eseguo la procedura segnalata

relativamente al file secpol.exe non è presente nella cartella system32

grazie ancora

Attendiamo i log

allego il log di hijackthis

allegando i log prodotti in un'unico :)

Inteso come in un unico messaggio :p
cercate di essere meno criptici :D

si l'indicazione l'avevo comunque capita, ma non avevo avuto modo di completare i vari controlli
a breve posterò tutti i log che ho ricavato

intanto sempre grazie per l'attenzione!!!

per pulire i pc da quei virus bastano pochi passi...
ne ho già puliti parecchi...

installate antivir, nelle impostazioni abilitate il controllo di tutti i tipi di file e mettete l'euristica su high; poi installate anche ewido (o avg antispyware come dir si voglia)... li aggiornate e riavviate in mod provvisoria...

lì fate le seguenti cose:

1) dal task manager terminate i processi in questione (spoolw e l'altro) con click destro e "termina struttura processo"
2) abilitate la visualizzazione dei file nascosti e di quelli protetti e di sistema in risorse del computer
3) fate una scansione completa sia con antivir che con ewido ed eliminate tutto quello che trovano
4) andate nella cartella windows e system32 ed eliminate tutti i file che trovate con nomi fatti di solinumeri.exe (tipo ad esempio 347829.exe)
5) poi fate start -> esegui -> msconfig e dalla scheda avvio eliminate la spunta dalle voci riferite a quei processi (spoolw.exe, igfxcoso.exe, solonumeri.exe)
6) start -> esegui -> regedit andate al percorso HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options e se ci sono le sottocartelle explorer e iexplore, click destro -> vi date tutti diritti e poi le eliminate

A questo punto riavviate e dovreste aver pulito il computer :D

grazie intanto di questa segnalazione

ho avuto problemi e non ho potuto completare tutti i passi della procedura

proverò eventualmente a seguire le indicazioni del gentilissimo blue_tech

però approfitto anche per aggiungere una richiesta correlata

il virus ha infettato tutte le pen drive che ho
in effetti sulle stesse l'antivirus riconosce il file song.exe
è sufficiente eliminare detto file o occorre formattarle?

bah direi che se si può è meglio salvare i propri dati e poi formattarle...
almeno si va sul sicuro :)

per pulire i pc da quei virus bastano pochi passi...
ne ho già puliti parecchi...

bah direi che se si può è meglio salvare i propri dati e poi formattarle...
almeno si va sul sicuro

direi che ci passa una bella differenza :)

direi che ci passa una bella differenza :)

sui pc li pulisci eliminando le voci come ho indicato perchè è sempre preferibile tenersi buoni SO e prog vari :asd: ; con una chiavetta perdonami ma non ha senso fare tutta sta fatica...

elimini il file virale, salvi i tuoi dati e formatti -> rapido e sicuro al 100% :asd:

sui pc li pulisci eliminando le voci come ho indicato perchè è sempre preferibile tenersi buoni SO e prog vari :asd: ; con una chiavetta perdonami ma non ha senso fare tutta sta fatica...

elimini il file virale, salvi i tuoi dati e formatti -> rapido e sicuro al 100% :asd:

dipende dai punti di vista, preferisco le sfide :asd: o io o il virus se vince lui formatto :cool:

sui pc li pulisci eliminando le voci come ho indicato perchè è sempre preferibile tenersi buoni SO e prog vari :asd: ; con una chiavetta perdonami ma non ha senso fare tutta sta fatica...

elimini il file virale, salvi i tuoi dati e formatti -> rapido e sicuro al 100% :asd:

manco fosse impossibile da rimuovere,non mi sembra questo il caso

Ciao ragazzi, ho bisogno di aiuto urgente...

ho seguito la vostra procedura,

ho eliminato:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (che fa riferimento al file C:\windows\iexplore_32.exe)

dopo con avenger eliminando:

Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\U.exe


il problema è che da dopo che ho fatto questa modifica con avenger e mi ha fatto riavviare il pc, quando si è riavviato arrivava fino alla schermata del desktop e non mi caricava più nè le icone, nè la barra di windows. :eek:

Il pc si avvia anche in modalità provvisoria, ma ugualmente non fa vedere nè le icone, nè la barra di windows.

Mi permette solo di aprire il task.

Ho anche provato a far riavviare l'ultima configuarazione funzionante, ma non è cambiato niente.

Cosa posso fare per resuscitare il morto?
Per favore non consigliatemi di reinstallare windows che questo so anche da solo come farlo. :help:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (che fa riferimento al file c:\windows\w32dbg.exe)

se presente hai provveduto ad eliminarla?