Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

PC indemoniato da Virus: aiuto !!!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

PC indemoniato da Virus: aiuto !!!

Postdi Marco83 » 13/01/07 14:45

Ciao a tutti ho un altro problema sul mio secondo
Active Virus shield mi rileva questo virus che non riesce ad eliminare:
- Backdoor.Win32.SdBot.awr
Inoltre rileva ogni volta anche questi che sembrerebbe cancellare anche se al riavvio li ritrovo ugualmente
- Troyan Win32.Dialer.ic
- Troyan Win32.Dialer.qn
- Troyan Win32.Agent.k
- Troyan-clicker Win32.Small.kj
- Troyan-downloader.Win32.Bomka.r
- Troyan-Dropper.Win32.Small.auf

Come posso fare senza formattare?
Grazie mille a chi può essermi di aiuto
Marco83


Logfile of HijackThis v1.99.1
Scan saved at 14.11.13, on 13/01/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\WINDOWS\System32\sescmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\SOPHTEMP\sargui.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://arianna.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\System32\apparat.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {CBD50A0B-1144-4467-9BD0-ED8BD736C02C} - C:\WINDOWS\System32\fccax.dll (file missing)
O2 - BHO: ComCap - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\System32\comcap16.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LDM] C:\Programmi\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programmi\MusicMatch\MusicMatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [GW Port Controller] c:\progra~1\samsung\PORTCTRL.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB002" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmtask] "C:\Programmi\MusicMatch\MusicMatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [Microsoft Windows Update 32] svchost32.exe
O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe
O4 - HKLM\..\Run: [!1_pgaccount] "C:\Programmi\ProcessGuard\pgaccount.exe"
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [sctrlmgr] C:\WINDOWS\System32\sescmgr.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update 32] svchost32.exe
O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe
O4 - HKCU\..\Run: [LDM] C:\Programmi\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"
O4 - HKCU\..\Run: [Microsoft Windows Update 32] svchost32.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O15 - Trusted Zone: *.aflashcounter.com
O20 - Winlogon Notify: fccax - C:\WINDOWS\System32\fccax.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Programmi\AOL\Active Virus Shield\avp.exe
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Programmi\ProcessGuard\dcsuserprot.exe (file missing)
Marco83
Utente Senior
 
Post: 166
Iscritto il: 12/09/06 16:32

Sponsor
 

Postdi Marco83 » 13/01/07 14:49

Dimenticavo: nel Desktop mi è comparso questo "file" Thumbs.dll. Centra qualcosa?
Grazie ancora
Marco83
Marco83
Utente Senior
 
Post: 166
Iscritto il: 12/09/06 16:32

Postdi Luke57 » 13/01/07 16:10

Ciao, ma perchè hai aperto un'altra discussione? Il tuo è il raro caso che dopo operazioni di pulizia, se l'hai fatte, i virus sono lievitati ;) Thumbs.dll non è pericoloso.

Comunque ripeto :
copia l'eseguibile di hijackthis (.exe) in una cartella permanente del disco fisso appositamente creata, tipo C:\HJT, no desktop nè temporanea, altrimenti il programma non può eseguire il backup delle voci rimosse.

Poi apri hijackthis dalla nuova cartella, con tutte le applicazioni chiuse e disconnesso da internet, premi “open the misc tools section”, poi “open process manger”, individua ed evidenzia il processo :
C:\WINDOWS\system32\sescmgr.exe
Premi kill process.

Torni alla pagina principale con back, premi “scan”, cerchi e spunti le seguenti voci (se ci sono tutte):
O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} - C:\WINDOWS\System32\apparat.dll
O2 - BHO: (no name) - {CBD50A0B-1144-4467-9BD0-ED8BD736C02C} - C:\WINDOWS\System32\fccax.dll (file missing)
O2 - BHO: ComCap - {E1B2E864-8BFC-4072-AE11-924E0F8BBA96} - C:\WINDOWS\System32\comcap16.dll
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [Microsoft Windows Update 32] svchost32.exe
O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe
O4 - HKLM\..\Run: [sctrlmgr] C:\WINDOWS\System32\sescmgr.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update 32] svchost32.exe
O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe
O4 - HKCU\..\Run: [Microsoft Windows Update 32] svchost32.exe
O15 - Trusted Zone: *.aflashcounter.com
O20 - Winlogon Notify: fccax - C:\WINDOWS\System32\fccax.dll (file missing)

Premi fix checked

Riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file protetti di sistema (consigliato)
Premi OK

Cerca ed elimina i seguenti file e cartelle ( se ci sono tutti):
C:\WINDOWS\system32\sescmgr.exe
C:\WINDOWS\System32\apparat.dll
C:\WINDOWS\System32\comcap16.dll
C:\WINDOWS\System32\fccax.dll
rock.exe (da cercare)
svchost32.exe (da cercare)
Windowsfixsystem.exe (da cercare)

Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)

Da pannello di controllo disistalla programmi sospetti non installati da te

Svuota il cestino

Fai una scansione con antivirus aggiornato.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Marco83 » 13/01/07 17:06

Ciao scusami ma il secondo topic si rifersce ad un altro Pc, pensavo che nello stesso si potesse fare confusione.
Comunque sei mitico i problemi del primo Pc li ho risolti benissimo (grazie alle tue ottime indicazioni).
Ora come puoi vedere sono alle prese con altri problemi.
Provo a fare le operazioni da te indicate e ti faccio sapere il più presto possibile.
Grazie infinite ancora
Marco83
Marco83
Utente Senior
 
Post: 166
Iscritto il: 12/09/06 16:32

Postdi Marco83 » 14/01/07 11:31

Allora riepilogo le operazioni:
1° PC: come già detto risolti i problemi a parte che ogni volta che riavvio mi compare l'installazione automatica del Controller PCI Simple Communications (ho aperto un topic su: http://www.pc-facile.com/forum/viewtopic.php?t=56478) che non riesco a risolvere.

2° PC: virus eliminati, ora sto facendo una scansione on-line per sicurezza..
Volevo chiederti per il Thumbs.dll posso eliminarlo dal Desktop oppure devo lasciarlo li?

Sei veramente ottimo, grazie mille per l'aiuto che mi hai dato; veramente, mi hai tolto un pensiero...

Grazie ancora
Marco83
Marco83
Utente Senior
 
Post: 166
Iscritto il: 12/09/06 16:32

Postdi Luke57 » 14/01/07 11:51

Ciao, il file thumbs.dll è del tutto innocuo, si formano quando si lavora con le immagini. Penso che tu lo veda perchè hai attivato la visualizzazione dei file e cartelle nascosti e dei file di sistema.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Marco83 » 14/01/07 12:45

Quindi anche se lo cancello non ci dovrebbero essere problemi giusto?
E per l'altro problema, quello del Controller.... sai per caso da cosa è dovuto?

Thank you
Marco83
Marco83
Utente Senior
 
Post: 166
Iscritto il: 12/09/06 16:32


Torna a Sicurezza e Privacy


Topic correlati a "PC indemoniato da Virus: aiuto !!!":


Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti