Problema virus disconnessione

darktosky · 25-04-2007, 15:43

Ragazzi un mio amico è sicuro di essere stato infetto da un virus...ha continui problemi di disconnessione da internet....ha fatto la scansione con avast e ne ha trovato uno (di cui non ricordo il nome!

) che non riesce a rimuovere.....
Vi posto il suo log file di hijackthis

....speriamo bene!

GRAZIE!

Quote:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.32.29, on 25/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\MSN Messenger\usnsvc.exe
D:\FastMobileModem\MMModem.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\Rar$EX00.250\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [zocraa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zocraa.exe
O4 - HKLM\..\Run: [winvpdbs] "c:\windows\system32\winvpdbs.exe"
O4 - HKLM\..\Run: [zztjfa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zztjfa.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [lsaipjce] "c:\windows\system32\lsaipjce.exe"
O4 - HKLM\..\Run: [xdptea.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\xdptea.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: http://www.happyfile.net
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: *.whatsnew.name
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7C40F2C-DB2A-4D86-B9B9-6E5872B123CB}: NameServer = 62.13.171.1 62.13.171.2
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7857 bytes

wizard1993 · 25-04-2007, 16:18

disabilita il system restore
fixa
O4 - HKLM\..\Run: [xdptea.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\xdptea.exe
O4 - HKLM\..\Run: [lsaipjce] "c:\windows\system32\lsaipjce.exe"
O4 - HKLM\..\Run: [zztjfa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zztjfa.exe
O4 - HKLM\..\Run: [winvpdbs] "c:\windows\system32\winvpdbs.exe"
O4 - HKLM\..\Run: [zocraa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zocraa.exe

e fai una scan online con ewido e a asquared

Tidus Strife · 25-04-2007, 19:12

Aggiungerei di fixare tutte le O15:

O15 - Trusted Zone: h**p://www.archiviosex.net
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: h**p://www.happyfile.net
O15 - Trusted Zone: h**p://www.otherchance.com
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: *.whatsnew.name

zorro8247 · 26-04-2007, 10:51

Fai una scansione anche con bit defender io avevo lo stesso problema e me l'ha risolto

darktosky · 26-04-2007, 14:53

siccome si connette con l'UMTS tramite cell ed ha MB limitati, avete un buon antivirus gratuito da consigliargli per rimuovere definitivamente quei maledetti virus?

Bugs Bunny · 26-04-2007, 15:44

active virus shield/antivir

wizard1993 · 26-04-2007, 16:06

Quote:

Originariamente inviato da darktosky

siccome si connette con l'UMTS tramite cell ed ha MB limitati, avete un buon antivirus gratuito da consigliargli per rimuovere definitivamente quei maledetti virus?

io ti dirò: scaricare l'eseguibile per la scan onlie più archivio sono 5mb avs sono 20 antivir mi pare 18...; non so te ma visto che paga a mb

darktosky · 26-04-2007, 16:14

a proposito AVAST gli segnala questo virus:
il file infetto è spoolsv32.exe[UPX] dal malware Win32:Agent-CPG [Trj]

Poi salta la connessione internet e gli appare questo avviso:
si è verificato un errore con atiptaxx.exe

Ora la definizione del virus ce l'abbiamo ma non sappiamo come eliminarlo....non va via nemmeno in modalità provvisoria....Vi prego aiutateci! HELP!

wizard1993 · 26-04-2007, 16:46

io ti dico una cosa; mossa tanto geniale da mettere sue link che puntano a trojan non l'avevo mai vista

darktosky · 26-04-2007, 19:18

Quote:

Originariamente inviato da wizard1993

io ti dico una cosa; mossa tanto geniale da mettere sue link che puntano a trojan non l'avevo mai vista

scusa ho corretto....cmnq nessuno mi sa dire niente?

wizard1993 · 26-04-2007, 19:21

se avast te li blocca vuol dire che non son o entrati

darktosky · 26-04-2007, 19:29

Quote:

Originariamente inviato da wizard1993

se avast te li blocca vuol dire che non son o entrati

io non so adesso se il virus è già entrato o vuole entrare ma sta di fatto che il mio amico ha problemi con la connessione...ha già fixato tutte le voci di hijackthis tranne una (di cui non ricordo il nome) che non vuole saperne di andarsene....qualche suggerimento?

wizard1993 · 27-04-2007, 20:41

Quote:

Originariamente inviato da darktosky

io non so adesso se il virus è già entrato o vuole entrare ma sta di fatto che il mio amico ha problemi con la connessione...ha già fixato tutte le voci di hijackthis tranne una (di cui non ricordo il nome) che non vuole saperne di andarsene....qualche suggerimento?

una scansione con gmer e system restore disattivato

darktosky · 29-04-2007, 12:47

Quote:

Originariamente inviato da wizard1993

una scansione con gmer e system restore disattivato

grazie riferirò e poi vi comunicherò i risultati!

darktosky · 29-04-2007, 16:24

scusate la domanda ma GMER ha la stessa funzione di hijackthis?

Bugs Bunny · 29-04-2007, 16:44

no. gmer rileva files e processi nascosti che hijackthis non può vedere

darktosky · 29-04-2007, 16:48

Quote:

Originariamente inviato da Bugs Bunny

no. gmer rileva files e processi nascosti che hijackthis non può vedere

quindi ha le stesse funzioni di hijack più quella di poter rilevare i processi nascosti...giusto?

Bugs Bunny · 29-04-2007, 17:10

no. hijachthis rileva tutti i processi visibili,più le chiavi di registro che vengono modificate da malware ecc.

gmer trova anche files e processi nascosti ma non le chiavi.

darktosky · 29-04-2007, 17:13

Quote:

Originariamente inviato da Bugs Bunny

no. hijachthis rileva tutti i processi visibili,più le chiavi di registro che vengono modificate da malware ecc.

gmer trova i files ed anche processi nascosti.

ah grazie....ascoltate il mio amico ha trovato dei processi segnalati con il colore rosso "services.exe".....come può eliminarli?

wizard1993 · 29-04-2007, 18:04

allora segui questo articolo
http://www.megalab.it/articoli.php?id=903&pagina=1

e esegui questo fix
http://wwwlasa.mi.infn.it/Servizio-d...e/rustbfix.exe

25-04-2007, 16:18	#2
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	disabilita il system restore fixa O4 - HKLM\..\Run: [xdptea.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\xdptea.exe O4 - HKLM\..\Run: [lsaipjce] "c:\windows\system32\lsaipjce.exe" O4 - HKLM\..\Run: [zztjfa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zztjfa.exe O4 - HKLM\..\Run: [winvpdbs] "c:\windows\system32\winvpdbs.exe" O4 - HKLM\..\Run: [zocraa.exe] C:\DOCUME~1\DOMENI~2.XXX\IMPOST~1\Temp\zocraa.exe e fai una scan online con ewido e a asquared __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

26-04-2007, 14:53	#5
darktosky Member Iscritto dal: Apr 2007 Città: PG o quasi.... Messaggi: 52	siccome si connette con l'UMTS tramite cell ed ha MB limitati, avete un buon antivirus gratuito da consigliargli per rimuovere definitivamente quei maledetti virus? __________________ Solo due cose sono infinite: l'universo e la stupidità umana e non sono sicuro della prima. (A. Einstein)

26-04-2007, 15:44	#6
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	active virus shield/antivir __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

26-04-2007, 16:14	#8
darktosky Member Iscritto dal: Apr 2007 Città: PG o quasi.... Messaggi: 52	a proposito AVAST gli segnala questo virus: il file infetto è spoolsv32.exe[UPX] dal malware Win32:Agent-CPG [Trj] Poi salta la connessione internet e gli appare questo avviso: si è verificato un errore con atiptaxx.exe Ora la definizione del virus ce l'abbiamo ma non sappiamo come eliminarlo....non va via nemmeno in modalità provvisoria....Vi prego aiutateci! HELP! __________________ Solo due cose sono infinite: l'universo e la stupidità umana e non sono sicuro della prima. (A. Einstein) Ultima modifica di darktosky : 26-04-2007 alle 16:51.

26-04-2007, 16:46	#9
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	io ti dico una cosa; mossa tanto geniale da mettere sue link che puntano a trojan non l'avevo mai vista __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

25-04-2007, 19:12	#3
Tidus Strife Senior Member Iscritto dal: Feb 2007 Città: Spira, Zanarkand Messaggi: 394	Aggiungerei di fixare tutte le O15: O15 - Trusted Zone: h*p://www.archiviosex.net O15 - Trusted Zone: .archiviosex.net O15 - Trusted Zone: hp://www.happyfile.net O15 - Trusted Zone: hp://www.otherchance.com O15 - Trusted Zone: .otherchance.com O15 - Trusted Zone: .whatsnew.name

26-04-2007, 10:51	#4
zorro8247 Member Iscritto dal: Dec 2006 Messaggi: 55	Fai una scansione anche con bit defender io avevo lo stesso problema e me l'ha risolto

26-04-2007, 19:21	#11
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	se avast te li blocca vuol dire che non son o entrati __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

29-04-2007, 16:24	#15
darktosky Member Iscritto dal: Apr 2007 Città: PG o quasi.... Messaggi: 52	scusate la domanda ma GMER ha la stessa funzione di hijackthis? __________________ Solo due cose sono infinite: l'universo e la stupidità umana e non sono sicuro della prima. (A. Einstein)

29-04-2007, 16:44	#16
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	no. gmer rileva files e processi nascosti che hijackthis non può vedere __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software

29-04-2007, 17:10	#18
Bugs Bunny Senior Member Iscritto dal: Aug 2005 Città: Genova Messaggi: 3397	no. hijachthis rileva tutti i processi visibili,più le chiavi di registro che vengono modificate da malware ecc. gmer trova anche files e processi nascosti ma non le chiavi. __________________ Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software Ultima modifica di Bugs Bunny : 29-04-2007 alle 17:13.

29-04-2007, 18:04	#20
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	allora segui questo articolo http://www.megalab.it/articoli.php?id=903&pagina=1 e esegui questo fix http://wwwlasa.mi.infn.it/Servizio-d...e/rustbfix.exe __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

Strumenti
Mostra una versione stampabile Invia questa pagina per email