|
|||||||
|
|
|
 |
|
|
Strumenti |
26-02-2006, 18:16
|
#1 |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 2389
|
Se mi riuscite ad eliminare questo virus siete mitici!
Il PC di una mia amica era pieno di virus che non facevano più caricare il processo explorer.exe e si poteva utilizzare solamente il task manager (in modalità provvisoria tutto ok), ho tolto tutti i virus tranne uno che ha infettato wininet.dll (in system32) che ovviamente non si può eliminare e anche se l'antivirus (kaspersky e antivir) dicono che al riavvio la dll sarà disinfettata, il virus rimane... (anche dalla modalità provvisoria)... Ho letto un po' su internet e sembra che nessuno sia riuscito ad eliminarlo tramite anti virus... vi posto il log:
Logfile of HijackThis v1.99.1 Scan saved at 14.33.39, on 26/02/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\System32\gearsec.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\taskmgr.exe C:\Programmi\WinRAR\WinRAR.exe C:\DOCUME~1\VALENT~1\IMPOST~1\Temp\Rar$EX00.219\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-6D-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\HP\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\HP\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [WinHound] C:\Programmi\WinHound\WinHound.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe O4 - HKLM\..\Run: [kav] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AntiVirusPro] "C:\Programmi\AntiVirusPro\App.exe" hide O4 - HKCU\..\RunOnce: [CleanUp!] C:\PROGRA~1\CleanUp!\CleanUp.exe /WindowsRestart O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearch.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearc...p=ZNxdm119YYIT O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Script Checker - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: www.master70.biz O15 - Trusted Zone: www.master71.biz O15 - Trusted Zone: www.realarea.biz O15 - Trusted Zone: www.sfonditalia.biz O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108231396906 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O23 - Service: AVP - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: Provvedere al Servizio Sicurezza (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe che faccio? |
|
|
|
26-02-2006, 18:22
|
#2 |
|
Senior Member
Iscritto dal: Jul 2001
Messaggi: 2502
|
prima di riavviare hai disattivato il ripristino della configurazione di sistema?
E' l'unica cosa che mi viene in mente, non sono esperto...vedi un po' cosa ti dicono gli altri che credo a breve ti daranno consigli più autorevoli di questo  ciao |
|
|
|
|
26-02-2006, 18:25
|
#3 |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 2389
|
Sì!
Quasi dimenticavo... il virus è il seguente: w32/nsag.B 
|
|
|
|
|
26-02-2006, 18:31
|
#4 | |
|
Bannato
Iscritto dal: Jan 2006
Città: Non sono stato bannato... ho semplicemente chiesto di poter correggere il mio nick che ora è Teliqalipukt
Messaggi: 433
|
Quote:
Ma Winhound l'hai installato tu? cmq aspetta andorra che ti sistema lei
Ultima modifica di Telikalikput : 26-02-2006 alle 18:34. |
|
|
|
|
|
26-02-2006, 18:39
|
#5 | |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 2389
|
Quote:
|
|
|
|
|
|
26-02-2006, 18:41
|
#6 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 158
|
Io farei cosi':
dalla modalità provvisoria cancellerei il dll infetto... e lo sostituirei con quello sano... http://www.dlldump.com/download-dll-.../download.html 
|
|
|
|
|
26-02-2006, 18:47
|
#7 | |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 2389
|
Quote:
Mi sembra troppo semplice come soluzione dato che nei post che ho letto su internet ho trovato solo spiegazioni lunghe e complicate (tutto tramite il log)... |
|
|
|
|
|
26-02-2006, 18:47
|
#8 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 158
|
Io farei come ti ho detto, spesso la strada piu' semplice è quella piu' corretta.
Cancella il file dll infetto dalla modalità provvisoria, poi fai una scansione approfondita con il Kaspersky (sempre dalla modalità provvisoria)... e se non trova niente... sostituisci il dll cancellato con uno sano questo è il mio dll http://www.mytempdir.com/479281
|
|
|
|
|
26-02-2006, 18:54
|
#9 |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Dal log vanno fixate:
O4 - HKLM\..\Run: [WinHound] C:\Programmi\WinHound\WinHound.exe O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe O4 - HKCU\..\Run: [AntiVirusPro] "C:\Programmi\AntiVirusPro\App.exe" hide O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZNxdm119YYIT O15 - Trusted Zone: www.master70.biz O15 - Trusted Zone: www.master71.biz O15 - Trusted Zone: www.realarea.biz O15 - Trusted Zone: www.sfonditalia.biz Bisogna anche aggiornare java sun e mettere l'ultima versione. |
|
|
|
|
26-02-2006, 18:57
|
#10 | |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 2389
|
Quote:
|
|
|
|
|
|
26-02-2006, 18:57
|
#11 |
|
Bannato
Iscritto dal: Jan 2006
Città: Non sono stato bannato... ho semplicemente chiesto di poter correggere il mio nick che ora è Teliqalipukt
Messaggi: 433
|
Andorra ma per quel winhound non hai nessun tool?
|
|
|
|
|
26-02-2006, 18:57
|
#12 |
|
Member
Iscritto dal: Nov 2001
Messaggi: 226
|
Fixa questi:
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZNxdm119YYIT O15 - Trusted Zone: www.master70.biz O15 - Trusted Zone: www.master71.biz O15 - Trusted Zone: www.realarea.biz O15 - Trusted Zone: www.sfonditalia.biz O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AVP - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) Disinstalla Alfacleaner se possibile, poi fixa le voci che eventualmente troverai in hijakcthis. |
|
|
|
|
26-02-2006, 18:58
|
#13 |
|
Senior Member
Iscritto dal: Jun 2005
Città: in lombardia
Messaggi: 8414
|
Installa sul pc della tua amica Firefox e Opera e dille di usarne uno dei 2 al posto di IE.
Inoltre scarica e installa i software 1-3-6-7 di questa pagina: http://www.filehippo.com/software/antispyware/ in ultimo installa questo che protegge in real time: http://www.arovaxantispyware.com/
__________________
Asrock z170m, i7 6700k, 8GB Kingston ddr4 2666, sandisk ssd120GB, Segate 4TB, XFX Radeon RX 480 RS 8GB |
|
|
|
|
26-02-2006, 19:03
|
#14 | |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Quote:
http://www.bleepingcomputer.com/forums/topic37384.html |
|
|
|
|
|
26-02-2006, 19:04
|
#15 | |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 2389
|
Quote:
Il problema è toglierlo! Cmq adesso mi metto a fixare...
|
|
|
|
|
|
26-02-2006, 19:04
|
#16 | |
|
Bannato
Iscritto dal: Jan 2006
Città: Non sono stato bannato... ho semplicemente chiesto di poter correggere il mio nick che ora è Teliqalipukt
Messaggi: 433
|
Quote:
|
|
|
|
|
|
26-02-2006, 19:11
|
#17 |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 2389
|
Ora ho fixato quelle voce... che devo fare?
Devo anche seguire le istruzioni di quel winhoud? |
|
|
|
|
26-02-2006, 19:13
|
#18 | |
|
Senior Member
Iscritto dal: May 2005
Città: Palermo
Messaggi: 6390
|
Quote:
|
|
|
|
|
|
26-02-2006, 19:13
|
#19 |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 2389
|
ok, ho riavviato ma mi dà sempre un errore in explorer.exe e non me lo fa caricare... ora?
|
|
|
|
|
26-02-2006, 19:15
|
#20 |
|
Senior Member
Iscritto dal: Jun 2005
Messaggi: 2389
|
no, winhoud non c'è più facendo il log
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 11:00.
