I virus mi invadono!!! [Archivio] - Hardware Upgrade Forum

View Full Version : I virus mi invadono!!!

ApoInChaos

12-10-2008, 02:50

Salve, vorrei dei consigli su come uscire da questa situazione...cerco d'essere quanto piu chiaro possibile..dunque:
qualche giorno fa ho trovato un virus sulla mia penna usb (mah) e quindi per eliminare la faccenda senza troppi intoppi ho disattivato l'autorun ( il virus era il fun.qualcosa) e ho formattato la penna..da li sono nati tantissimi problemi..Avast innanzitutto non aggiornava piu l'archivio e sembrava avesse dimezzato le sue potenzialità..ho disistallato e reistallato Avast e ho fatto una scansione generale e ho trovato un virus nell'autorun di Emule, alcuni nei file di sistema di windows e altri nei browser..ora il programma mi chiede che fare con questie scelgo l'azione raccomandata "sposta nel cestino"..da li altri guai :( pagine che si aprono all'improvviso, siti a pagamento, malware, trojans, worm e chi più ne ha piu ne metta...fortunatamente con Spybot riesco a salvare qualcosa..posto qui l'analisi di Hijack sperando possa esservi utile...sinceramente non so come uscirne e non vorrei riformattare il pc perchè 90 gb di roba sono difficili da trasferire in tempi brevi..:( :( :(

aiutatemi vi prego:cry: :cry:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2.49.47, on 12/10/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\HPQ\shared\hpqwmi.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "C:\WINDOWS\TEMP\E_S88.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] doskeys.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q305&bd=pavilion&pf=laptop
O20 - AppInit_DLLs: wiflfx.dll jwfxpf.dll kieoay.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\shared\hpqwmi.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

--
End of file - 6302 bytes

Chill-Out

12-10-2008, 15:51

Segui la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

ApoInChaos

14-10-2008, 20:28

Ho seguito le istruzioni da te indicatemi: riporto il tutto.

Attendo il vostro parere:fagiano: :fagiano: :sob:

http://www.fileqube.com/shared/kwONa133719 drweb
http://www.fileqube.com/shared/xvBXiz133797 A-Squared
http://www.fileqube.com/shared/itTgRai133798 MalwareBytes
http://www.fileqube.com/shared/ZtTBuR133801 Sys Inspector
http://www.fileqube.com/shared/EBzWsf133803 Hijack
http://www.fileqube.com/shared/Dboglme133805 F-Secure

poi volevo sapere come devo comportarmi quando avast individua un virus ma soprattutto cosa succede, dato che non so cosa possa cambiare tra l'opzione "sposta nel cestino" e l'opzione "eliminare"..

Grazie per il vostro aiuto

:D

wjmat

14-10-2008, 20:37

fsecure su txt please, docx è pure di word2007 che non hanno tutti
cureit non riesci a passarlo nel parser
prevx?

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ecc.) e non le usi disinstallale pure.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O2 - BHO: (no name) - {12F259F2-B5CB-4191-ABAC-8002AE38BEFA} - (no file)
O2 - BHO: (no name) - {310dceab-0d01-4383-b9b9-ad85f45f5f2c} - (no file)
O2 - BHO: (no name) - {413827D8-FC30-4472-BA51-1EFCD25E62DE} - (no file)
O2 - BHO: (no name) - {6502BAEB-C970-4E86-B9EB-00266F748290} - (no file)
O2 - BHO: (no name) - {CC4E1943-A969-4E91-AAC9-2809CA2EAC8B} - (no file)
O2 - BHO: (no name) - {DCC776FD-4D4C-4842-9606-B01DE198B83F} - (no file)
O2 - BHO: (no name) - {EA6841C1-8C0E-45C8-AECA-B12647C5569C} - (no file)
O2 - BHO: (no name) - {F4C14BCD-6580-422F-84D1-90DAFAB71D99} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O20 - AppInit_DLLs: jwfxpf.dll kieoay.dll xwdwvp.dll
O16 - tutte le voci

ApoInChaos

14-10-2008, 21:12

http://www.fileqube.com/shared/ewObaaS133827

eccolo dopo aver seguito le istruzioni suggerite.
Fammi sapere come va ora

wjmat

15-10-2008, 00:16

carica il log di prevx

per il resto mi sembri ok

ApoInChaos

15-10-2008, 14:44

http://www.fileqube.com/shared/wispYnN134696

Log di Prevx

Lo status era clean:D

Un'altra cosa se è tutto risolto: vorrei capire come far funzionare avast al meglio nelle scelte di come comportarmi coi virus, e con Spybot circa il permettere o meno delle modifiche a file sconosciuti.

wjmat

15-10-2008, 14:55

se ti sembra di essere a posto (dai log vedo questo, ma potrebbe esserci altro che puoi vedere solo tu)
leggi bene il trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide

importante:
aggiornare win a sp3 e IE alla 7

avast non lo rimpiazzaremmo con antivir
anche spybot sarebbe da rimpiazzare

ApoInChaos

15-10-2008, 16:56

spybot dovrei sempre rimpiazzarlo con antivir?

scusa l'ignoranza ...ma cosa intendi per aggiornare alla sp3 win?

wjmat

15-10-2008, 17:00

di antispyware metti malwarebytes e asquared per scansioni manuali
se ti serve il realtime metti spyware terminator invece di spybot

sp3 = service pack 3

ApoInChaos

15-10-2008, 17:11

so che sono logoroico ma cerco di evitare quanti piu problemi:p .per quanto riguarda l'aggiornamento di Win per caso sono quegli aggiornamenti automatici regolabili in pannello di controllo?
Se la risposta è affermativa ti faccio presente che non si attivano più..dice che dovrei selezionare l'opzione citata, ma la tale opzione è già selezionta, quindi ho provato a disabilitare e riabilitare ma niente lo stesso...:stordita:

wjmat

15-10-2008, 17:26

Usando internet explorer, fai validare la tua copia qui
http://www.microsoft.com/genuine/downloads/Validate.aspx