Virus col numero..

[Stratokamos]

Ciao a tutti...Dunque come antivirus ho nod 32..ho fatto parecchie scansioni sul disco dove cè il sistema ma non ho mai trovato nulla..
Ma il problema cè..diciamo più o meno ogni ora..o più frequentemente internet mi si disconnette...e se provo a riconnetermi mi dice impossibile perchè il modem è in utilizzo da un altra periferica..Inizialmente riavviavo il pc..poi ho scoperto che ogni volta che succede così se avvio task manager trovo dei processi che sono numeri...tipo quello di prima era..834171..se chiudo il processo, stacco e riattacco il modem funziona tutto e posso riconnettermi ,ma è molto fastidioso..

Inoltre nella cartella windows sono presenti tutti i file con i numeri..ogni volta diversi..io li cancello sempre senza problemi ma ogni volta che cè la nuova disconnessione se ne crea un altro..sono degli .exe e se ci vado col mouse sopra mi dice
descrizione: dial
società: Dialer
Messaggio eloquente!!! ma per nod è tutto apposto...che posso fare..???Grazie ciau..

[Stratokamos]

Mi hanno detto di postare qui la discussione..e di inviare i log di hijackthis e gmer..ma non li ho mai usati..Sono un po inesperto...devo fare la "scansione" in una situazione di normalità tipo adesso..oppure quando cè il problema quindi quando non mi fa connettere???

[Stratokamos]

ok...In questo caso il pc funge e non cè nesun disturbo apparente...riposterò il file log non appena si presenta la disconnessione...tanto me lo aspetto sarà da un momento all'altro..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.29.18, on 12/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\GlobespanVirata\Adsl\dslstat.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\windows\system32\winlogon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programmi\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\uTorrent\utorrent.exe
C:\Documents and Settings\Alessandro\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Alessandro\81015189.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=081307 serial=DR12WEX-1504397-KTY lang=IT
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [drvpwyqs] "c:\windows\system32\drvpwyqs.exe"
O4 - HKLM\..\Run: [ctfgrbjc] "c:\windows\system32\ctfgrbjc.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\Shared Files\CamTray.exe
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe
O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\csrs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: cgoi.exe
O4 - Startup: imfe.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EFA33A2-221D-4A16-8C81-6FEEAAD91849}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6321 bytes

[Stratokamos]

Ecco manco in tempo a dirlo che mi si è disconnesso..Infatti vedete il terzultimo processo è lui...Quindi adesso scatta la mia procedura..: termino il processo..stacco l'usb del modem(lo spengo)..la riattacco..(lo accendo)..elimino il file creato nella directory di windows..aspetto che ritrova la linea..ed eccomi riconnesso..!!!Oramai mi succede 6-7 volte al giorno..

Comunque ecco il log..
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.35.26, on 12/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\GlobespanVirata\Adsl\dslstat.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\windows\system32\winlogon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programmi\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\uTorrent\utorrent.exe
C:\WINDOWS\1132281.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Alessandro\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Alessandro\81015189.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=081307 serial=DR12WEX-1504397-KTY lang=IT
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [drvpwyqs] "c:\windows\system32\drvpwyqs.exe"
O4 - HKLM\..\Run: [ctfgrbjc] "c:\windows\system32\ctfgrbjc.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\Shared Files\CamTray.exe
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe
O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\csrs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: cgoi.exe
O4 - Startup: imfe.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6256 bytes

[oasis90]

DA FIXARE:

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

C:\WINDOWS\1132281.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist

O4 - HKLM\..\Run: [drvpwyqs] "c:\windows\system32\drvpwyqs.exe"

O4 - HKLM\..\Run: [ctfgrbjc] "c:\windows\system32\ctfgrbjc.exe"

O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe

O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe

O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe

O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\csrs.exe

O4 - Startup: cgoi.exe

O4 - Startup: imfe.exe


Per fixare: fatta la scansione, selezioni i quadratini alla sinistra delle stringhe che ho indicato e premi il tasto "Fix Checked"

[Stratokamos]

Dunque...
Elimino le voci..e passo l'anti rootkit consigliato il quale scansiona e non trova nulla..Poi sono costretto a spegnere..
Lo riaccendo poco fa..mi connetto e dopo 1 min mi disconnetto..causa sempre i soliti virus coi numeri...., allora faccio un altra scansione con hijackthis e le "voci" eliminate non ci sono più tranne 2 che sono ancora attive insieme ai loro rispettivi processi:

O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe

O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe

Potrebbero essere loro la causa di questo fastidioso problema ma come faccio ad eliminarle..Posso chiudere il loro processo e eliminare fisicamente da system 32..???
Poi un ultma cosa il rispisino della config di sistema non lo mai utilizzato conviene disattivarlo comunque..???

[yanoama]

Quote:

Originariamente inviato da Stratokamos

Dunque...
Elimino le voci..e passo l'anti rootkit consigliato il quale scansiona e non trova nulla..Poi sono costretto a spegnere..
Lo riaccendo poco fa..mi connetto e dopo 1 min mi disconnetto..causa sempre i soliti virus coi numeri...., allora faccio un altra scansione con hijackthis e le "voci" eliminate non ci sono più tranne 2 che sono ancora attive insieme ai loro rispettivi processi:

O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe

O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe

Potrebbero essere loro la causa di questo fastidioso problema ma come faccio ad eliminarle..Posso chiudere il loro processo e eliminare fisicamente da system 32..???
Poi un ultma cosa il rispisino della config di sistema non lo mai utilizzato conviene disattivarlo comunque..???

Per eliminare quei file, usa avenger, lo scarichi da qui
http://swandog46.geekstogo.com/avenger.zip
e lo estrai in una cartella a lui dedicata
disattiva l'antivirus e lancia avenger.
seleziona Input Script Manually, clicca sul pulsante con la lente e copiaincolla dentro alla finestra che ti si aprirà

Files to delete:
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe

Fatto questo clicka sul pulsante Done, poi su quello col semaforo, e dai il consenso alle domande che ti verranno poste subito dopo; il pc si riavvierà automaticamente ( se non dovesse farlo riavvialo manualmente ).

[lancetta]

hum..ma il nod è aggiornato? poichè mi sembra strano che non rilevi l'infezione
comunque scarica virit aggiornalo e fai una scansione molto probabilmente alla pulitura ti ritroverai senza desktop....neinte paura fai così:
usa solo TASK MANAGER quindi scegli FILE > NUOVA OPERAZIONE > scrivi regedit + INVIO
andate a cercare ed eliminate queste 2 voci dal registro:

navighi fino alla chiave in questione se c'è HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
clic con destro su explorer.exe seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella controllo completo nella colonna "consenti".Vedi se c'è anche "iexplorer.exe" stesso procedimento
poi dal task manager file->nuova operazione (esegui) digiti explorer.exe e dovrebbero apparire le icone

[Stratokamos]

PANICO TOTALE...!!!
Allora ho fatto una scansione con A-squared..lo preso da qui..http://www.emsisoft.com/en/software/free/

scarico,aggiorno,disattivo nod e scansiono..
Mi trova 201 tra minacce varie anche se la maggior parte erano cookie e file di game spy..comunque per sicurezza elimino tutto...Al riavvio come previsto sono senza deskop..Allora uso la procedura di Lancetta,autorizzo sia explorer che iexplorer ma quando vado per eseguire explorer.exe mi viene un messaggio che dice explorer.exe non trovato ..il file potrebbe essere stato spostato o eliminato ecc. ecc...allora faccio esegui e poi sfoglia....e scopro che explorer.exe cè eccome ed è li tranquillo nella sua cartella di windows...!!! ma non me lo fa avviare mi da sempre lo stesso messaggio...Sono senza deskop e non posso fare nulla...
oltretutto ho l'ansia adosso perche in quel pc non ho fatto molti backup..
ovviamente per ora sn da un altro pc...vi prego aiutatemi please..non è che cè qualche chiave di registro da eliminare???

[Stratokamos]

Mah ho ripetuto la procedura più volte..ma niente..
Avvio regedit vado a cercarmi quella voce,sulla destra della schermata che corrisponde alla cartella explorer.exe ci sono 2 voci..: Predefinito e debugger...e le stesse due voci valgono anche per la cartella iexplorer.exe(tutte le altre cartelle non hanno la voce debugger)..Io clicco col destro do tutte le autorizzazioni del caso ma quando avvio explorer.exe nell'istante immediatamemte successivo(quindi senza cercare nulla) mi appare il messaggio file non trovato verificare che il percorso sia corretto ecc. ecc..Ho provato ad avviare qualsiasi altro processo tipo mediaplayer,word,excel e funziona tutto alla perfezione...solo explorer e iexplorer non funzionano..Sbaglio percaso qualcosa? Ho cercato su google ci sono un po di informazioni controverse e confuse ma alcuni dicono di eliminare certe voci..solo che non vorrei combinare ancora più casini..
Comunque i file infetti li avevo direttamente eliminati..NO quarantena..

[Stratokamos]

OK...ho di nuovo il mio deskop ed il mio computer..Per quanto riguarda il mio virus mi sono rassegnato a formattare..Grazie a tutti per il vostro aiuto..

[lancetta]

niente di grave non è compromesso nulla purtroppo non ti ho messo nella procedura che devi eliminare le chiavi in questione (era anche la stanchezza dell'orario) poi il giorno dopo sono partito per le canarie e non ho seguito il 3d mi scuso con Stratokamos comunque non sò se hai risolto spero di sì.

Saluti

edit: no... avevo messo di eliminare le chiavi

Quote:

Originariamente inviato da lancetta

andate a cercare ed eliminate queste 2 voci dal registro

allora strano che non hai risolto vorrei solo comprendere i passaggi,mi sembra di aver capito che non avevi eliminato i valori indicati....

[lancetta]

Quote:

Originariamente inviato da HIRO

Di eliminare le chiavi era descritto nel blog suggerito ,ma mi è sembrato abbastanza scorato ,in effetti mi domando il perche della scarsa performance del nod Ciao

Effettivamente è un malware MOLTO BASTARDO,comunque ne avrò fatte una buona ventina di interventi così sui pc che mi hanno portato ed ho sempre risolto..più quelli qui...penso che da quello che ho letto non aveva cancellato i files in prima battuta.Di solito sono gli antispyware che cominciano la pulizia però poi si rimane col pc in quelle condizioni,ed effettuando la procedura postata si risolve.

Saluti