Help! Ho un virus...

[Amd2+++]

Penso proprio di avere un virus nel pc...

All'inizio ho notato un'applicazione in C:\ denominata SP.EXE che ho cancellato e disattivato dall'esecuzione automatica.

Successivamente ho installato dei programmi per rilevare qualche virus e/o trojan che oggi mi hanno fatto inchiodare il pc più volte.

Disattivando anche quest'ultimi, quando mi connetto mi si bloccano sempre le pagine e msn.

Ricordo che uno di questi programmi, aveva individuato un file di nome "Explorer...ecc" (non ricordo bene).

Inoltre, nell'esecuzione automatica (disattivati) ho, oltre a SP, NWIZ e forse altri programmi "superflui".

Sapete aiutarmi?
Vi ringrazio.

PS. Mi arrivano sempre email delle dimensioni di 40-41kb che non apro mai...

[wgator]

Ciao,

dovrebbe essere Cool Web Search.

Prova a scaricare la trial di
spysweeper e fai un controllo completo del pc. Dovrebbe toglierlo.

Eventualmente riprova anche da mod. provvisoria

[Amd2+++]

ricordo che in un periodo mi metteva i link di alcune parole e mi mandava a ntsseach.com o una cosa del genere.

Io ho paura che non sia solo 1 il virus...

Cmq ora scarico il trial, grazie

[Amd2+++]

Dunque:

Avast ha rilevato:

- Prompt[1].htm JS:ISTBAR [trj]
- DC1022.exe Win32:Trojan-gen. [other]

Mentre Spy Sweeper:

-Adware found: Alexa Toolbar (quello che mi metteva i link...a me pare di averci cliccato una volta...)
-Trojan horse found: Securybanks phishing trojan


Ho aperto i programmi da Win2000 (E:/) ed ho fatto analizzare Win98 (C:/).
Dovrei lanciare i programmi anche sotto Win98?

[Amd2+++]

Ho lanciato il Spy Sweeper anche dal Win98 e mi ha trovato:

- Cool Web Search (CWS)
- Gator (GAIN)
-Websearch toolbar
- 49 cookies

Ora posso stare tranquillo???

[wgator]

Ciao,

per essere sicuri dovresti postare il log di hijackthis solo con quello si può vedere se è rimasto qualcosa

[Amd2+++]

Ecco:

Logfile of HijackThis v1.98.2
Scan saved at 15.22.15, on 31/10/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SM56HLPR.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\PINNACLE\SHARED FILES\FILTER\SERVER.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\SETUP\AVAST.SETUP
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [Initialize8x8] C:\WINDOWS\pinnacle\PCTV\8x8_init.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O16 - DPF: {E0E69D17-EDB3-429B-AEDD-B3708F6F1D67} (MCSI Chart) - http://investor.24oreborsaonline.ils...s/McsItPtf.cab

[wgator]

Ciao,

tutto a posto, è rimasto solo questo rimasuglio ma non è più pericoloso. Puoi selezionarlo con hijackthis e premere FIX:

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

[Amd2+++]

Bene, ti ringrazio tantissimo per l'aiuto

[metteus]

io invece ho un virus che si è infiltrato nella cartella system volume information.... si chiama downloader.small.4.ba.... quella cartella è inaccessibile ... che faccio ???

[wgator]

Quote:

Originariamente inviato da metteus
io invece ho un virus che si è infiltrato nella cartella system volume information.... si chiama downloader.small.4.ba.... quella cartella è inaccessibile ... che faccio ???

Ciao,

quella cartella è quella del system restore (ripristino della configurazione del sistema) Il virus è stato "backuppato" la dentro.

Disattiva il ripristino dal pannello di controllo, riavvia il pc e fai un nuovo controllo con l'antivirus. Vedrai che non c'è più.

Se poi ti interessa tenere attivo il ripristino della configurazione, puoi sempre riattivarlo.

[metteus]

ok grazie .. adesso provo