Non so più cosa fare!!!

[virus46]

Mi spiego ero invaso dai virus, ho deciso di formattare...prima di farlo ho fatto una scansione completa e non appena è terminata ho cancellato tutto con Fdisk.

Ora ho installato nuovamente XP e ora la connessione dura circa un minuto e poi si scollega da sola...non riesco quiandi ad aggiornare AOL per fare una scansione "aggiornata"...quella che faccio ora non da segni di miglioramento...Ho anche Avast e Ewido che ho provato ma nulla.

Ho usato CCleaner e Winsockfix ma nulla....

Non so più che fare e quando apro explorer in prima pagina mi si apre una schermata blu con questo indirizzo: C:\secure32.html e questo scritto dentro:

"Detected SPYware! System error #384
__________________________________________________________________________

Your IP address is 80.116.4 0.226. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.

__________________________________________________________________________

Your computer is full of evidences!


ISP of transmission: INTERBUSINESS
Your IP address: 80.116.40.226
They know you're using: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Your computer is: Windows XP
Risk status for further investigation: VERY HIGH RISK




To protect from the Spyware - click here
To prevent information transmission - click here
To delete the history of your activity, click here

il file ero riuscito a cancellarlo ma poi risbuca fuori....

ora la novità è che esce la scermata blu dell'errore che comprometterebbe il sistema e si riavvia....

[lester99]

Quote:

Originariamente inviato da virus46

Mi spiego ero invaso dai virus, ho deciso di formattare...prima di farlo ho fatto una scansione completa e non appena è terminata ho cancellato tutto con Fdisk.

Ora ho installato nuovamente XP e ora la connessione dura circa un minuto e poi si scollega da sola...non riesco quiandi ad aggiornare AOL per fare una scansione "aggiornata"...quella che faccio ora non da segni di miglioramento...Ho anche Avast e Ewido che ho provato ma nulla.

Ho usato CCleaner e Winsockfix ma nulla....

Non so più che fare e quando apro explorer in prima pagina mi si apre una schermata blu con questo indirizzo: C:\secure32.html e questo scritto dentro:

"Detected SPYware! System error #384
__________________________________________________________________________

Your IP address is 80.116.4 0.226. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.

__________________________________________________________________________

Your computer is full of evidences!


ISP of transmission: INTERBUSINESS
Your IP address: 80.116.40.226
They know you're using: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Your computer is: Windows XP
Risk status for further investigation: VERY HIGH RISK




To protect from the Spyware - click here
To prevent information transmission - click here
To delete the history of your activity, click here

il file ero riuscito a cancellarlo ma poi risbuca fuori....

ora la novità è che esce la scermata blu dell'errore che comprometterebbe il sistema e si riavvia....

Domanda banale ma d'obbligo: dopo il format al primo collegamento in rete, avevi installato il firewall ?

[FOXYLADY]

Scarica SmitFraudfix e decomprimilo in una cartella
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Riavvia in modalità provvisoria

Apri la cartella che contiene SmitfraudFix, avvia smitfraudfix.cmd
Seleziona opzione #2 - Clean cliccando sul 2 e premi Invio.
Riceverai questo messaggio: Registry cleaning - Do you want to clean the registry ?
Rispondi Sì cliccando Y e premi invio.
Rispondi Sì ( Y) ad eventuali altre domande

eseguita tutta la scansione riavvia il pc normalmente.

Posta poi qui il log di smitfraudfix ed anche un log di hijackthis.

[wizard1993]

e appea collegato hai aggiornato l'av?

[FOXYLADY]

Quote:

Originariamente inviato da lester99

Domanda banale ma d'obbligo: dopo il format al primo collegamento in rete, avevi installato il firewall ?

Evidentemente no

[virus46]

questo il risultato:

SmitFraudFix v2.131

Scan done at 16.46.38,04, 27/12/2006
Run from C:\Documents and Settings\Carlo Lanfredini\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\secure32.html Deleted
C:\uniq Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

[FOXYLADY]

Dimmi se la situazione è migliorata e posta anche il log di hijackthis.

[virus46]

la situazione è peggiorata....di molto!!!

Facendo il BOOT da floppy coi programmi fdisk format ecc...

l'HD con fdisk non riesco manco a formattarlo perchè si blocca il programma non appena digito il 3 per scegliere di eliminare la partizione (è diviso in 2 partizioni). Quando vado sull'unità C: non mi fa fare manco il "DIR" e il "format c:" mi dice che non è possibile formattare...

Facendo il Boot col CD di XP anche li l'unica partizione che vede è piccolissima e non ce ne sono altre... rispristina XP non cambia nulla e reinstall XP si inchioda subito dopo.

Ora vado a prendere un HP da un amico con XP funzionante e vedo se riesco a vedere il mio e da li cerco di pulirlo...

Unica cosa: come faccio quando l'ho formattato a fare in modo che quei virus non ricompaiano come se nulla fosse anche dopo...?? e che programma mi consigliate per proteggermi da sti trojan??!?

GRAZIE!

[FOXYLADY]

La cosa migliore sarebbe installare windows xp con l'Sp2 già integrato, in modo che hai già un firewall attivo alla prima connessione ad internet.
Altrimenti devi abilitare un qualunque firewall prima di connetterti per la prima volta ad internet e scaricare subito tutti gli aggiornamenti di windows.

[virus46]

ho messo l'HD sotto il PC di un amico e lo da tutto vuoto....perso tutto.... ora con PC inspector sto provando a recuperare qualcosa, voi avete qualche altro programma più veloce da consigliare?

[FOXYLADY]

Mi spiace, evidentemente hai fatto qualche pasticcio armeggiando con fdisk, perchè le partizioni non spariscono da sole.
Se non hai effettuato riscritture sul disco in genere si riesce a recuperare gran parte dei dati, dai un occhiata a questo articolo.
http://www.hwupgrade.it/forum/showthread.php?t=623886

[virus46]

grazie, ma non so...era veramente strano come si comportava e sono stato attento a non formattare la partizione...ma secondo me era compromessa anche quella.

Ora sto installando tutto, e sto scrivendo dal mio pc.

Voi per ma max protezione cosa usate come antivirus e firewall (e altro?)

Io usavo solo AVS e mi trovavo molto bene come A.V. ... ma quando ho fatto il pasticcio non riuscivo neanche ad aggiornarlo dato che si scollegava ogni minuto...

[FOXYLADY]

AVS è un ottimo antivirus, però è indispensabile avere perlomeno anche un firewall ed un paio di buoni antispyware.
Se cerchi nei thread ufficiali di questa sezione del forum trovi diversi prodotti.

Ciao

[virus46]

i problemi persistono...novità si è inchiodato nella pagina iniziale dove si sceglie l'accaunt per accedere a XP, se seleziono Administrator o il mio account si connette e disconnette subito senza nessuna possibilità.

Ora ho reinstallato XP dopo aver formattato e ho installato solo AVS e i problemi persistono, il PC viaggia molto lento e infatti mi è uscito un messaggio che "se il pc va piano è perchè è ataccato dai virus e per risolvere il problema devo scaricare un programma antivirus..."che ovviamente non ho scaricato.

Sto scaricando l'aggiornamento di AVS poi rifaccio la scansione. Altri consigli dato che sto c..o di virus non è sull'HD che ho già formattato 100 volte... come cazz lo levo!??

[virus46]

se può essere d'aiuto....questa è una finestra che mi si ampre sempre...e a lato l'elenco dei processi, il file VCMON.EXE è normale!? se lo cancello ritorna dopo 2sec e lavorare sempre la CPU...



ora è molto lento soprattutto per esempio a scorrere le pagine internet...

se avete la pazienza mi mettete 2 o 3 link di firewall e antivirus "potenti" che riescano a eliminare sto virus? io non riesco bene a navigare e ci metto mezz'ora per aprire le pagine.

Grazie...!

[FOXYLADY]

Il tuo problema è dovuto proprio al fatto che ti colleghi ad internet dopo la formattazione senza firewall ed evidentemente anche con il sistema operativo non aggiornato .
vsmon.exe non è normale, è un worm.
A questo punto scarica questo firewall ed installalo
http://www.majorgeeks.com/ZoneAlarm_Free_d388.html
fai scansioni oltre che con l'antivirus anche con questi due software
http://www.superantispyware.com/
http://www.ewido.net/en/
e per ultimo scarica il programmino che trovi qui (hijackthis)
http://www.hwupgrade.it/forum/showthread.php?t=937676
lo estrai in una cartella creata appositamente per lui, lanci l'eseguibile hijackthis e clicchi su "do a system scan and save log file.
Copia ed incolla il testo del log sul forum

[virus46]

questo il log dopo aver installato e fatto la scansione coi programmi che mi dicevi

Logfile of HijackThis v1.99.1
Scan saved at 12.12.14, on 29/12/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\DOCUME~1\xxx\IMPOST~1\Temp\SSUPDATE.EXE
C:\Documents and Settings\xxx\Desktop\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freeforumzone.leonardo.it/vie...px?f=509&jdc=1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: awtuvsq - awtuvsq.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Programmi\AOL\Active Virus Shield\avp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Il pc ora è veloce nel caricare programmi ecc...ma il problema persiste, antispyware ha trovato il vorm vcmon e non appare più ma vsmon continua ad esserci e quando trascino le finestre continuano ad andare lente a scatti.

[FOXYLADY]

Fixa queste
C:\DOCUME~1\xxx\IMPOST~1\Temp\SSUPDATE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O20 - Winlogon Notify: awtuvsq - awtuvsq.dll (file missing)

Scarica atf cleaner
http://www.atribune.org/content/view/19/2/
lancialo, metti la spunta a selectet all e poi toglila da perfecht e clicca sul pulsante empty selected

vsmon è un processo dello zonealarm, non confonderlo con vcmon che adesso non c'è più mi sembra

[virus46]

Quote:

Originariamente inviato da FOXYLADY

Fixa queste
C:\DOCUME~1\xxx\IMPOST~1\Temp\SSUPDATE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O20 - Winlogon Notify: awtuvsq - awtuvsq.dll (file missing)

per fixa...cosa intendi...?!!? ....

[FOXYLADY]

In hijackthis spunti la casellina a fianco a quelle voci e premi il pulsante fix