Virus MSAOL32.exe come eliminarlo?

[Gooz]

Ho appena formattato e mi è subito entrato sto fottuto virus MSAOL32.exe che Kaspersky riconosce come backdoor.win32.rbot.nt ma non riesce a eliminare (doce che lo eliminerà all'avvio ma invece non accade).
qualcuno puo' aiutarmi o sa come eliminaro anche manualmente?
Grazie

Antivirus: Kaspersky
Firewall: sygate

[bluepix]

posta il log di Hijackthis .....

[Gooz]

Ecco il log...help me

Io non ci capisco na mazza in sto log....quindi se ci fosse altro segnalatemelo plz (credo che anche winsis32.exe sia un virus)

Grazie per il vs aiuto

--------------------------------------------------------------------------



Logfile of HijackThis v1.99.1
Scan saved at 20.06.26, on 16/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\MSAOL32.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\Utility\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Systemboot] msnsngr.exe
O4 - HKLM\..\Run: [Windows_Protect] winregal.exe
O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Systemboot] msnsngr.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winregal.exe
O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Systemboot] msnsngr.exe
O4 - HKCU\..\Run: [Windows_Protect] winregal.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABFA74C1-1BF6-446F-842D-72BFD948703C}: NameServer = 80.17.209.204 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\system32\winsis32.exe (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

[ercolino]

Hai disattivato il ripristino di configurazione di Xp?

[ercolino]

Copia ed incolla il log qui

http://hijackthis.de/index.php?langselect=italian

[ercolino]

Fai anche una scansione qui

http://it.trendmicro-europe.com/cons...all_launch.php

[Gooz]

ho fatto ma ci capisco poco...a me interessa eliminarlo....
secondo voi son messo male??
ho il pc parecchio infetto?

[ercolino]

Hai disattivato il ripristino di Xp?

Rifai la scansione con il tuo antivirus e anche con il link della Trend che ti ho dato

[bluepix]

Disattiva il ripristino di XP.

Fixa le seguenti righe con Hijackthis.

O4 - HKLM\..\Run: [Systemboot] msnsngr.exe
O4 - HKLM\..\Run: [Windows_Protect] winregal.exe
O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe

O4 - HKLM\..\RunServices: [Systemboot] msnsngr.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winregal.exe
O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Systemboot] msnsngr.exe
O4 - HKCU\..\Run: [Windows_Protect] winregal.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6...bridge-c267.cab

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\system32\winsis32.exe (file missing)


poi in modalità provvisoria cancellare i file:

C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\msnsngr.exe
C:\WINDOWS\System32\winregal.exe


ciao

[Gooz]

ok grazie mille....
ho fixato tutto cio' che mi hai detto tranne questi 2 che rimangono:

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\system32\winsis32.exe (file missing)


invece questi
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\msnsngr.exe
C:\WINDOWS\System32\winregal.exe

non ho dovuto rimuoverli manualmente....non ci sono piu' il fix e/o kasper han già provveduto!

Grazie mille!

[tati29268]

stessa situazione..rimane a me solo l'ultimo oggetto..
che fare?

[bluepix]

Questo?

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\system32\winsis32.exe (file missing)

[Gooz]

si, è rimasto secondo il log pero' nn da noia....kasper nn me lo rileva piu' e il pc nn da segni di cedimento alcuno

[bluepix]

E' un servizio di windows.

start-impostazioni-pannello di controllo-strumenti di amministrazione-servizi

Trova il servizio "Smart Card Client" tasto destro-proprietà.

Metti il tipo Avvio in Manuale oppure disabilitato.