Virus pesante.. (post lungo)

[shonik3]

Allora,mi so beccato un virus di quelli tosti...
e penso di sapere come (sapete...qualche sitino ).
Però c è un dubbio, non so da quanto ho questo virus,può darsi da mesi , e vi spiego perchè..
Il pc va tutto ok, liscio come sempre nonostante lo abbia da diversi mesi senza formattare, perchè faccio spesso scansioni e agiornamenti per tenere il sistema stabile.
Ieri però ...dopo diverso tempo che non facevo ciò: aggiorno spyware blaster ed enablo le nuove protezioni, lancio adaware, aggiorno pure quello, lo metto a scannare e gioco a wc3...dopo poco viene una scnasione che aveva trovato un file (penso virus o cmq unwanted program) in un file che credo di aver scaricato da emule o da qualche sito (un programmino freeware per la psp e che non ho mai usato ne unzippato).
Io metto DELETE all avviso, e vado avanti,dopo poco si riavvia e qui il punto cruciale..

al riavvio provo a scannare conl' antivirus e mi chiede (il firewall) di sostituire i file dell' antivirus, nel senso ogni piccola applicazione dell' antivirus quando si avvia ti dice che è stata modificata (mi è successo spesso anche quando lo aggiorno e poi non lo fai più partire, quando lo rilanci ti avvisa dei file che sono cambiati, ovviamente..)..da quel momento a ogni scansione che faccio il pc si riavvia dopo 1 tot di minuti che lavora..con qualsiasi programma, adaware, a2, spybot e antivir..

Ho provato a m,ettere la modalità provvisoria, ma o si riavvia pure quella prima di partire oppure se mi accede vedo che all' account administrator è stata messa la PASS!!
(c è una prob anche ce l abbia messa io e non la ricordi, ma in effetti...)

Cmq, torno a windows normale, msconfig e ho tolto tutte le spunte a "servizi" e "avvio", risultato, sono entrato in modalità provvisoria e ho fatto una scan con un programma e non mi ha trovato niente...
sono tornato a win normale,riattivato tutti i servizi e stavo scannando coll antivirus, ma era troppo tardi e sono andato a ninna, però non si era bloccato e continuava a scannare...

Le password di email forum eccetra sono sempre le stessa, acquisti in rete le faccio con postepay che tengo sempre con poco credito, i curriculum li ho cancellati (per dove abito..) alla fine non rischio niente ma mi scoccia formattare..che mi consigliate?

(scusate il post lungo ma così sapete tutto)

[naso]

hai letto i 3d in rilievo?
poi scusa, ma sai cosa vuol dire trovare un file e leggerlo dentro un hd?
fai attenzione al coockie di google, che ti legge nel pensiero...
lo sai che basta andare in comune x avere tutti i dati di tutte le persone che possono votare? o leggere semplicemente l'elenco telefonico o addirittura quello su internet?
poi che il pc vada bene x mesi è il minimo.... io windows xp l'ho su da quasi 3 anni... mai formattato se nn x problemi all'hardware.. rottura dei dischi fissi...
in ogni caso, prima leggiti i 3d in rilievo e dopo si vedrà...

[shonik3]

non ho capito quella parte in cui dici "sai cosa vuol dire trovare un file e leggerlo" e il cookie di google...

Cmq, ora il thread in rilievo lo leggo, solo che sono a lavoro, non posso stare ore su internet, e a casa non volevo collegarmi per questo cercavo aiuto il prima possibile... scusate

[shonik3]

ho letto la prima parte, ok, faccio quel procedimento e vediamo ,se è così importante, però per favore non chiudete il topic (tanto lo riapro in caso no? )

[naso]

Quote:

Originariamente inviato da shonik3

non ho capito quella parte in cui dici "sai cosa vuol dire trovare un file e leggerlo" e il cookie di google...

tu ti sei preoccupato di scrivere che usi carte ricaricabili, e che il curriculum lo hai cancellato... quindi presuppngo che tu abbia paura che un aventuale haker entrando nel tuo pc vada a cercarsi il file che contiene il curriculum e lo legga....
nn è così facile farlo... nn tutti scrivono curriculum nel nome del file... e ci sono metodo molto più efficaci, veloci e pratici come già scritto x prendere i tuoi dati... e x il coockie di google è xchè chi ha paura della privacy (chi ne è terrorizzato) ha paura anche di un cookie... c'era anche un 3d...

[shonik3]

ahhh ecco
no beh alla fine nel pc ho talmente tanta roba che magari ho cose più importanti che neanche ricordo, ma cmq come prima impressione mi sono preoccupato della postepay e del curriculum, tutto qua, la carta di credito l' ho prrovata ad usare recentemente sul sito tim ma non l' accetava (è un bancomat speciale), al massimo controlo quello.
Cmq,
cosa che non c è nel topic toppato e che sicuramente mi interessa è un metodo per recuperare la pass dell' account administrator, che messa da me o da qualcuno, deve essere modificata immediatamente, non so se la mia richiesta sia nel pieno della legalità di questo forum...però fatemi sapere, se ho chiesto una cosa fuori luogo avvisatemi e non porto avanti il discorso, (magari solo per via privata)

[Mirko1986]

Quote:

Originariamente inviato da shonik3

Cmq,
cosa che non c è nel topic toppato e che sicuramente mi interessa è un metodo per recuperare la pass dell' account administrator, che messa da me o da qualcuno, deve essere modificata immediatamente, non so se la mia richiesta sia nel pieno della legalità di questo forum...però fatemi sapere, se ho chiesto una cosa fuori luogo avvisatemi e non porto avanti il discorso, (magari solo per via privata)

Questo thread penso faccia al caso tuo: http://www.hwupgrade.it/forum/showthread.php?t=742725 buona lettura

[shonik3]

NO!!!
AHAH sono felice
perchè ho scoperto che la password l' ho messa io e mi sono anche ricordata quale!!
Ciò non toglie che il virus ce l' abbia ancora, cmq, vi tengo aggiornati, ho rimesso la scansione e quando torno da lavoro vedo che risultati ha, se si è riavviato o se ha finito la scansione in modalità provv!!
la cosa importante è che al max è un virus sega che fa riavviare il pc!!!

fiuuuuuuuuuuu grazie per ora!!

[shonik3]

Allora raga vi chiedo consiglio...
praticamente ho seguito le procedure del post stikkato..
Ma ho incontrato diversi problemi, tutte le volte che lanciavo ewido o adaware il computer dopo pochissimo si riavviava..
E' successo spesso che si riavviava e non si riusciva ad accendere più per qualche minuto perchè le ventole non ripartivano e il pc rimaneva in finta accensione...
io ho pensato, i casi sono due, o il virus rimane in ram per 1 pò, oppure è un problema momentaneo di caldo al pc (dato che le scansioni sono belle pesanti)..

Cmq, ho aperto il case, e fatto scansioni in safe mode anche con cccleaner, ho inserito un certo file di registro hsfix che non so a cosa serva e fatto questo sono riuscito cmq a fare una scansione con ewido (che non ha trovato niente).....

Ho fatto poi un intera giornata di scansioni, firewall, spybot, adaware, bit defender (ci ha messo 3 ore quest ultimo) e tantissimo scanner online ma mi hanno trovato solamente un "2020 search tooblar" ,un doubleclick/mediaplex e non sono sicuro che me li abbiano tolti. in più, quando si riavviava ancora antivir mi trovò un TR.agentvp....

Cmq , la situazione aggiornata è questa, ora non mi si riavvia più, con tutte le scansioni che faccio non mi trova niente...però non sono sicuro al 100% di essere disinfettato..

vi posto log hijack


Logfile of HijackThis v1.99.1
Scan saved at 12.50.33, on 16/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\File comuni\Logitech\KHAL\KHALMNPR.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Alessio\Documenti\hijackthis1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1123597234952
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2004\WinStylerThemeSvc.exe


grazie