aiuto VIRUS

[Veliero]

SALVE gente confido nella vostra clemenza...
vi prego aiutatemi

sist. operativowin XP
sintomi:
-la mia connessione in adsl è lentissima ( non dipenda da isp)
e spesso devo cambiare ip statico -dinamico per poter navigare
-quando faccio il ping test a volte mi dice che perde tutti e 4 i pacchetti
- qualche giorno fa mi è uscita una scritta RPC remote protocol control..."il sistema sarà riavviato tra 30 secondi"!!!
da qual messaggio le cose peggiorano.
ho provato con molti antivirus..qualcuno ha trovato qualcosa..e l'ha cancellato..altri non trovano nulla....ho fatto lo scan on line...ed un prodotto mi ha detto che avevo mydoom.
felice pensavo di aver risolto..così ho scaricato i 4 tool per rimuoverlo messo in mod.provv.ma nulla di my doom neanche l'ombra.
ora ho esaurito le mie risorse!!!
voi che ne dite???

vi posto quel che vedo nel mio taskmanager
segnalatemi tutto quello che vi sembra sospetto...e
magari anche come fare per rimuoverlo!!!


GRAZIE GRAZIE GRAZIE

psp.exe
iexplore.exe
avguard.exe
svchost.exe
smagent.exe
alg.exe
msmsgs.exe
avgcc.exe
gmc.exe
avgnt.exe
jusched.exe
ccApp.exe
smtray.exe
atiptaxx.exe
smc.exe
npprotect.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
navapsvc.exe
avwupsrv.exe
ccevtmgr.exe
spoolsv.exe
avgamsvr.exe

[Veliero]

.

[The Lenny]

se ti scarici hijackthis vers 1.98.2 e posti il log, magari...

[Veliero]

ciao eccomi con i miei risultati:
per me è arabo...per voi???
il programma mi dice che non devo fixare gli elementi selz. perchè potrebbe causare problemi al sistema....
voi che mi dit edi fare'???

baci grazie

Logfile of HijackThis v1.98.2
Scan saved at 21.35.45, on 15/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\gcm.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\MYDCLEAN.exe
C:\Documents and Settings\Francesco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comunicazione.uniroma1.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RAM Idle] C:\Programmi\RAM Idle Standard\RAM_2K.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] gcm.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [Microsoft Update Machine] gcm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] gcm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\path.mht!http://64.200.25.86/qwrijny/dhntdwx/...::/painter.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095183008703
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABB94A16-1797-4476-B2D8-5B2FF4C94722}: NameServer = 194.20.8.1,194.20.8.4

[The Lenny]

ok..sono da segare:
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/8
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) (per pulizia)
O4 - HKCU\..\Run: [Microsoft Update Machine] gcm.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] gcm.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] gcm.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti (per pulizia)
sono invece sospetti (ergo, fixali se non li conosci):
C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\MYDCLEAN.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comunicazione.uniroma1.i (che bei ricordi alla sapienza! non è da segare, ma volevo spolverare un rancore mai sopito x Gazzo**...)

O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\path.mht!http://64.200.25 (dovrebbe essere il quicktime..)

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABB94A16-1797-4476-B2D8-5B2FF4C94722}: NameServer = 194.20. (questo proprio mi sfugge..penso sia bastardo..a naso..)

good luck!

[Veliero]

ok grazie!!!
ma precisamente tutte quelel cose che sono???
virus?trojan...?
qualcun'altro vede cose sospette????

grazie mille
fra