Aiuto virus?

lukel · 21-04-2006, 00:38

Ho tra le mani un pc di un mio amico (del figlio che ha 14 anni)..aveva dei problemi di virus.... ho formattato per evitare il tutto ,re-installato xp professional,poi subito installato modem per adsl.Neanche un minuto e mi è uscita la schermata di un dialer (adult key) .... allora la formattazione non ha avuto nessun effetto? Ho fatto scansione con spybot e mi ha trovato degli errori che ha corretto dopo un riavvio.Poi La schermata di adult key è riuscita.... fatto scansione con hijackthis... se qualcuno puo' aiutarmi ah.... mi si disconnette anche da internet...e sento un tic tipo relè che viene dal pc ....ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 0.31.54, on 21/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\system32\wssec.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\Documents and Settings\LocalService\Dati applicazioni\sgrunt\IE4321.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\cmd.exe
c:\countrydial.exe
c:\countrydial.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\lfji.exe
C:\WINDOWS\system32\bitsec.exe
c:\countrydial.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Documents and Settings\Marco\Documenti\programmi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00009.exe"
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\LocalService\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [Msn Messenger] lfji.exe
O4 - HKLM\..\RunServices: [Msn Messenger] lfji.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: www.sgrunt.biz
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

Grazie a tutti

Stev-O · 21-04-2006, 00:52

devi chiudere i processi e distruggere i seguenti files:

C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\Documents and Settings\LocalService\Dati applicazioni\sgrunt\IE4321.exe
c:\countrydial.exe
c:\countrydial.exe
C:\WINDOWS\System32\lfji.exe
C:\WINDOWS\system32\bitsec.exe
c:\countrydial.exe
C:\WINDOWS\System32\dcomcfg.exe

e poi fixa:

F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00009.exe"
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\LocalService\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [Msn Messenger] lfji.exe
O4 - HKLM\..\RunServices: [Msn Messenger] lfji.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: www.sgrunt.biz
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe

cioè... non si salva praticamente niente...

hai preso tra l'altro il killsgrunt
guarda qui se può aiutare
http://www.francydelorenzi.it/killsgrunt/51/

se alcune voci non vanno via o alcuni files non si chiudono cancellano disabilita il ripristino conf di sistema e riavvia in modalità provvisoria
oppure prova a eliminarli (solo per i files questo) con killbox

fai anche una scansione con ewido può esserci dell'altro

e metti subito il service pack 2
e fai navigare con firefox

ATi7500 · 21-04-2006, 01:36

sarebbe bastato installare un firewall prima di connettersi
ormai fai prima a formattare di nuovo e installare direttamente xp+sp2

bYeZ!

lukel · 21-04-2006, 08:51

Grazie a tutti.... sto provando,ho provato a scaricare killsgrunt ,a quando lo lancio mi da errore mscomctl.ocx ... poi anche se formatto di nuovo,risolvo? Dite che il virus l'ho beccato appena connesso o è rimasto li nonostante il format?

Stev-O · 21-04-2006, 12:00

e è di queli che va in avvio era rimasto altrimenti lo hai ripreso
o formatti o fai come scritto sopra
vedi tu

lukel · 21-04-2006, 12:38

Grazie mille stev-o.... ho ri formattato,installato winxp home (originale)... subito installato NIS2004,poi creato connessione per adsl,fatto aggiornamento NIS,fatto win update.Pare che ora è tutto regolare.Grazie di nuovo

Stev-O · 21-04-2006, 12:54

bene

21-04-2006, 00:38	#1
lukel Senior Member Iscritto dal: May 2003 Messaggi: 349	Aiuto virus? Ho tra le mani un pc di un mio amico (del figlio che ha 14 anni)..aveva dei problemi di virus.... ho formattato per evitare il tutto ,re-installato xp professional,poi subito installato modem per adsl.Neanche un minuto e mi è uscita la schermata di un dialer (adult key) .... allora la formattazione non ha avuto nessun effetto? Ho fatto scansione con spybot e mi ha trovato degli errori che ha corretto dopo un riavvio.Poi La schermata di adult key è riuscita.... fatto scansione con hijackthis... se qualcuno puo' aiutarmi ah.... mi si disconnette anche da internet...e sento un tic tipo relè che viene dal pc ....ecco il log: Logfile of HijackThis v1.99.1 Scan saved at 0.31.54, on 21/04/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\update\updmgr.exe C:\WINDOWS\system32\wssec.exe C:\WINDOWS\System32\spoolsvc.exe C:\Documents and Settings\LocalService\Dati applicazioni\sgrunt\IE4321.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\System32\cmd.exe c:\countrydial.exe c:\countrydial.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\lfji.exe C:\WINDOWS\system32\bitsec.exe c:\countrydial.exe C:\WINDOWS\System32\dcomcfg.exe C:\Documents and Settings\Marco\Documenti\programmi\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00009.exe" O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\spoolsvc.exe O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\LocalService\Dati applicazioni\sgrunt\IE4321.exe O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe O4 - HKLM\..\Run: [Msn Messenger] lfji.exe O4 - HKLM\..\RunServices: [Msn Messenger] lfji.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: www.sgrunt.biz O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe Grazie a tutti

21-04-2006, 00:52	#2
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	devi chiudere i processi e distruggere i seguenti files: C:\WINDOWS\update\updmgr.exe C:\WINDOWS\System32\spoolsvc.exe C:\Documents and Settings\LocalService\Dati applicazioni\sgrunt\IE4321.exe c:\countrydial.exe c:\countrydial.exe C:\WINDOWS\System32\lfji.exe C:\WINDOWS\system32\bitsec.exe c:\countrydial.exe C:\WINDOWS\System32\dcomcfg.exe e poi fixa: F2 - REG:system.ini: Shell=explorer.exe "C:\Programmi\File comuni\Microsoft Shared\Web Folders\ibm00009.exe" O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\spoolsvc.exe O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\LocalService\Dati applicazioni\sgrunt\IE4321.exe O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe O4 - HKLM\..\Run: [Msn Messenger] lfji.exe O4 - HKLM\..\RunServices: [Msn Messenger] lfji.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: www.sgrunt.biz O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe cioè... non si salva praticamente niente... hai preso tra l'altro il killsgrunt guarda qui se può aiutare http://www.francydelorenzi.it/killsgrunt/51/ se alcune voci non vanno via o alcuni files non si chiudono cancellano disabilita il ripristino conf di sistema e riavvia in modalità provvisoria oppure prova a eliminarli (solo per i files questo) con killbox fai anche una scansione con ewido può esserci dell'altro e metti subito il service pack 2 e fai navigare con firefox __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK* Ultima modifica di Stev-O : 21-04-2006 alle 00:59.

21-04-2006, 01:36	#3
ATi7500 Senior Member Iscritto dal: Nov 2002 Città: Budapest Messaggi: 19133	sarebbe bastato installare un firewall prima di connettersi ormai fai prima a formattare di nuovo e installare direttamente xp+sp2 bYeZ! __________________ Improvise, adapt, overcome.

21-04-2006, 12:00	#5
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	e è di queli che va in avvio era rimasto altrimenti lo hai ripreso o formatti o fai come scritto sopra vedi tu __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

21-04-2006, 12:54	#7
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	bene __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

21-04-2006, 08:51	#4
lukel Senior Member Iscritto dal: May 2003 Messaggi: 349	Grazie a tutti.... sto provando,ho provato a scaricare killsgrunt ,a quando lo lancio mi da errore mscomctl.ocx ... poi anche se formatto di nuovo,risolvo? Dite che il virus l'ho beccato appena connesso o è rimasto li nonostante il format?

21-04-2006, 12:38	#6
lukel Senior Member Iscritto dal: May 2003 Messaggi: 349	Grazie mille stev-o.... ho ri formattato,installato winxp home (originale)... subito installato NIS2004,poi creato connessione per adsl,fatto aggiornamento NIS,fatto win update.Pare che ora è tutto regolare.Grazie di nuovo

Strumenti
Mostra una versione stampabile Invia questa pagina per email