Virus Paypal!!

[palfon]

salve, ho un problema, il mio notebook non riesce a collegarsi ad internet, ogni qualvolta tento la connessione il browser mi da sempre pagina bianca e in più compare un simbolo di connessione diverso, ho provato a fare il taskmanager e mi compare un'applicazione "paypal" che non riesco a cancellare compreso il suo processo. Ho utilizzato hyjackthis e porgo a voi la visione del risultato, sperando che qualcuno possa aiutarmi. Grazie


Logfile of HijackThis v1.99.1
Scan saved at 16.48.15, on 25/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\acs.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\QKeys\QKeys.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\l?ass.exe
C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
C:\Programmi\108Mbps Wireless Network USB Dongle\WLANPRO.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINDOWS\AppCheck.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wmupdmgr.exe
C:\WINDOWS\System32\msiexec.exe
C:\DOCUME~1\gericom\IMPOST~1\Temp\ose00000.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Documents and Settings\gericom\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.excite.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {15689CC9-0671-27AF-2FE0-0295CED680BF} - (no file)
O2 - BHO: (no name) - {708A0B5F-E1A1-F064-02AC-20302F224263} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E813D1B2-0975-10E6-DF5F-A723797D7679} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [QKeys] C:\Programmi\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Media Player Update Manager /background] wmupdmgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [ccApp] C:\Programmi\File comuni\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Yahoo Update] Yahoo.exe
O4 - HKCU\..\Run: [NvCplScan] winasp.exe
O4 - HKCU\..\Run: [Internet Content Publisher] icp.exe
O4 - HKCU\..\Run: [NAV Auto Updates] navwindows.exe
O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programmi\SurfSideKick 2\Ssk.exe
O4 - HKCU\..\Run: [Regmgr] scvhost.exe
O4 - HKCU\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe
O4 - HKCU\..\Run: [Lujz] C:\WINDOWS\System32\l?ass.exe
O4 - HKCU\..\Run: [snapple] snapple.exe
O4 - HKCU\..\Run: [MS Unix Binary] dmgmvrofzobtpx.exe
O4 - HKCU\..\RunServices: [Regmgr] scvhost.exe
O4 - Global Startup: 108Mbps Wireless Network USB Dongle Configuration Utility.lnk = ?
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Reg.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\aklsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FA180F9-45B5-400C-8744-9347A88354E4}: NameServer = 85.37.17.9 85.38.28.69
O18 - Filter: text/html - {15B2F790-FC0B-4663-98F7-A782E5FCA523} - (no file)
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\azau05j9e.dll (file missing)
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\guard.tmp (file missing)
O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\kt8ul7l91.dll (file missing)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AppCheck - Unknown owner - C:\WINDOWS\AppCheck.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: NvCplScan - Unknown owner - C:\WINDOWS\System32\winasp.exe" -netsvcs (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: qwftujogaptz (yeyqbqen6) - Unknown owner - C:\WINDOWS\System32\ybnryhiw6.exe (file missing)

[juninho85]

Quote:

Originariamente inviato da palfon

C:\WINDOWS\System32\l?ass.exe
C:\WINDOWS\wmupdmgr.exe
C:\DOCUME~1\gericom\IMPOST~1\Temp\ose00000.exe
O2 - BHO: (no name) - {15689CC9-0671-27AF-2FE0-0295CED680BF} - (no file)
O2 - BHO: (no name) - {708A0B5F-E1A1-F064-02AC-20302F224263} - (no file)
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Yahoo Update] Yahoo.exe
O4 - HKCU\..\Run: [NvCplScan] winasp.exe
O4 - HKCU\..\Run: [Internet Content Publisher] icp.exe
O4 - HKCU\..\Run: [NAV Auto Updates] navwindows.exe
O4 - HKCU\..\Run: [SurfSideKick 2] C:\Programmi\SurfSideKick 2\Ssk.exe
O4 - HKCU\..\Run: [Regmgr] scvhost.exe
O4 - HKCU\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe
O4 - HKCU\..\Run: [Lujz] C:\WINDOWS\System32\l?ass.exe
O4 - HKCU\..\Run: [snapple] snapple.exe
O4 - HKCU\..\Run: [MS Unix Binary] dmgmvrofzobtpx.exe
O4 - HKCU\..\RunServices: [Regmgr] scvhost.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\aklsp.dll' missing
O18 - Filter: text/html - {15B2F790-FC0B-4663-98F7-A782E5FCA523} - (no file)
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\azau05j9e.dll (file missing)
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\guard.tmp (file missing)
O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\kt8ul7l91.dll (file missing)
O23 - Service: NvCplScan - Unknown owner - C:\WINDOWS\System32\winasp.exe" -netsvcs (file missing)
O23 - Service: qwftujogaptz (yeyqbqen6) - Unknown owner - C:\WINDOWS\System32\ybnryhiw6.exe (file missing)

aggiorna la java machine e sceglitene uno tra avira e norton
in bocca al lupo

[palfon]

grazie, ma tu pensi ke possa risolvere il problema del virus così?, sai ho provato anche a disinstallare norton ma non me lo fa disinstallare!!

[juninho85]

Quote:

Originariamente inviato da palfon

grazie, ma tu pensi ke possa risolvere il problema del virus così?, sai ho provato anche a disinstallare norton ma non me lo fa disinstallare!!

provaci,tanto penso che danni peggiori di quelli che già ci sono non si possano fare

[palfon]

incoraggiante e come si aggiorna la java machine? , e il norton come si disinstalla se nn mi compare nemmeno nell'elenco di "installazione applicazioni"? grazie

[juninho85]

Quote:

Originariamente inviato da palfon

incoraggiante e come si aggiorna la java machine? , e il norton come si disinstalla se nn mi compare nemmeno nell'elenco di "installazione applicazioni"? grazie

per java,vai sul sito javasun e ti scarichi/installi l'ultima versione,per symantec vai sui servizi di windows e disabiliti tutti i servizi che a esso fanno riferimento,almeno non te lo ritrovi in avvio automatico

[palfon]

grazie mille, scusami l'ignoranza , ma se non posso collegarmi come vado su javasun?e per i servizi windows dove devo andare?scusa e grazie

[juninho85]

Quote:

Originariamente inviato da palfon

grazie mille, scusami l'ignoranza , ma se non posso collegarmi come vado su javasun?e per i servizi windows dove devo andare?scusa e grazie

scusa ma almeno hai provato a fixare cinb hijackthis?!
per disabilitare norton vai su pannello di controllo/strumenti di amministrazione/servizi e disabiliti tutte le voci che iniziano per symantec/norton

[palfon]

ti richiedo scusa x l'ignoranza, ma che significa fixare con...?etc..

[juninho85]

Quote:

Originariamente inviato da palfon

ti richiedo scusa x l'ignoranza, ma che significa fixare con...?etc..

il log di hijackthis l'hai postato per risolvere il problema no?ora seleziona le voci che ti ho indicato poi clicca su "fix checked items"

[palfon]

ma le voci ke mi hai indicato sono quelle comprese nel riquadro blu?

[juninho85]

si!

[palfon]

ho fatto come hai detto..adesso sto riavviando

[palfon]

rieccomi...ti sto scrivendo dal mio notebook finalmente si collega ad internet....anke se xò quell'applicazione "paypal" resta e anke il suo processo...poi ho notato un'altra cosa....i file word ed excel non me li apre più, ad ogni file ke apro mi esce un mex ke dice il file non è disponibile, ma se lo passo su un altro pc funziona, come mai secondo te, potrebbe sempre essere il virus?..e per quell'applicazione paypal ke non vuole scomparire ke mi consigli di fare?...grazie mille

[juninho85]

fai una scansione con avira da modalità provvisoria,dopo aver disabilitato il ripristino configurazione di sistema