Situazione disperata+Log hijackthis

[Ciuccellone]

ciao un mio amico ha il pc parecchio impestato!gli ho installato il SygatePersonal e KasperskyAV!
purtroppo ci sono vari processi attivi che non riesco a terminare vi posto un log di hijack mi dite cosa eliminare grazie!(o almeno la apgina per analizzarlo)

Logfile of HijackThis v1.97.7
Scan saved at 22.45.26, on 02/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\scvhosting.exe
C:\WINDOWS\System32\lsess.exe
C:\WINDOWS\System32\pksvc.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\System32\msnst32.exe
C:\WINDOWS\System32\memstat.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\smcc.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Super Ska\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nameless.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programmi\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\qiqks.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [Microsoft MsnST] msnst32.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] smcc.exe
O4 - HKLM\..\Run: [Windows Security Module] wvsvc.exe
O4 - HKLM\..\Run: [Windows Compliant] zuasgl.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\Run: [OEM32 Tools] sres32.exe
O4 - HKLM\..\Run: [Sysino] lsess.exe
O4 - HKLM\..\Run: [PK Services] pksvc.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\..\RunServices: [Microsoft MsnST] msnst32.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] smcc.exe
O4 - HKLM\..\RunServices: [Windows Security Module] wvsvc.exe
O4 - HKLM\..\RunServices: [Windows Compliant] zuasgl.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] memstat.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [OEM32 Tools] sres32.exe
O4 - HKLM\..\RunServices: [Sysino] lsess.exe
O4 - HKLM\..\RunServices: [PK Services] pksvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sygate Personal Firewall] smcc.exe
O4 - HKCU\..\Run: [Windows Security Module] wvsvc.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] memstat.exe
O4 - HKCU\..\Run: [Windows Compliant] zuasgl.exe
O4 - HKCU\..\Run: [starter] scvhosting.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [OEM32 Tools] sres32.exe
O4 - HKCU\..\Run: [Sysino] lsess.exe
O4 - HKCU\..\Run: [PK Services] pksvc.exe
O4 - HKLM\..\RunOnce: [starter] scvhosting.exe
O4 - HKLM\..\RunOnce: [Sysino] lsess.exe
O4 - HKLM\..\RunOnce: [PK Services] pksvc.exe
O4 - HKCU\..\RunOnce: [Sysino] lsess.exe
O4 - HKCU\..\RunOnce: [PK Services] pksvc.exe
O4 - HKCU\..\RunOnce: [starter] scvhosting.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/dial_up
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7163C514-0130-400A-9F01-6AA02B59C074}: NameServer = 80.18.114.155 151.99.125.1


grazie ciao!

[Ciuccellone]

ah prima aveva l'antivir ma si rifiuta di dinstallarsi!

[canapa]

C:\WINDOWS\System32\scvhosting.exe
Hai il WORM_SDBOT.RU
Possibile soluzione:
http://www.trendmicro.com/vinfo/viru...=WORM_SDBOT.RU


C:\WINDOWS\System32\lsess.exe
Questo dovrebbe appartenere a un trojan


E poi ci sono una infinita di chiavi e voci sconosciute molto probabilmente riconducibili a virus o trojan..

Io proverei a fare un scan on-line tipo questo:
http://www.pandasoftware.com/actives..._principal.htm

[wgator]

Ciao,

guarda, quel log è un cimitero, metterlo a posto è un casino... non ho mai visto niente del genere. Comincia con questi, eliminali da modalità provvisoria, poi senza aprire nessun programma, posta un nuovo log di hijackthis ma con questa versione Oltre quello che ti ho detto c'è un casino di altra porcheria.


C:\WINDOWS\System32\scvhosting.exe
C:\WINDOWS\System32\lsess.exe
C:\WINDOWS\System32\pksvc.exe
C:\WINDOWS\System32\msnst32.exe

Questi controllali perchè potrebbero essere legittimi ma anche virus:

C:\WINDOWS\System32\memstat.exe
C:\WINDOWS\System32\smcc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nameless.it/

Questo verificalo:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up

[wgator]

Dimenticavo, quando postate i log, fatelo con tutti i programmi chiusi, altrimenti per leggerli ed interpretarli ci vuole un'ora

Prova anche fare un passaggio con spysweeper che un po' di porcheria la toglie

disattiva il ripristino della configurazione di emergenza e svuota tutte le cartelle temporanee e i temporanei di internet

Ciao

[Ciuccellone]

allora il sygate ha bloccato un bel po di traffico
ho riavviato in provvisoria fixato tutti i prog sospetti(ho trovato anche la pagina che analizza i log) ho dato una bella passata col kaspersky aggiornato!
ha trovato137 file infetti!adesso sembra andare!
manca solo un passatina per gli spyware pensavo con lo spybot è italiano e mi trovo bene!
cmq gli ho consigliato un bel format appena può!
(era quasi tutto chiuso incredibile vero?)
grazie a tutti