Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

sicurezza pc k.o.

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

sicurezza pc k.o.

Postdi micol » 12/04/07 15:17

Ciao a tutti.
Sono molto perplessa per non dire spaventata.
Il mio pc si sta comportando in modo stranissimo:
Le icone sul desktop spariscono e ricompaiono ogni 5 minuti da sole, ...oppure se clicco sull'icona di ccleaner, di virlt, o hijack this.
Non solo... la cosa più assurda è che se in internet explorer , su google, metto nel campo di ricerca il nome di uno dei tre sudetti programmi, explorer si chiude...senza neanche darmi il tempo di cliccare su cerca.
Dire che non ho parole, è poco.
Se scrivo c cleaner mi lascia cercare...
Ho provato ad aprire hijackthis dal task manager ed ho effettuato una scansione , ho copiato il log della scans., ma se vado in preferiti di IExpl e clicco sul link di hijack , ovvero la pagina dove incollare il log , chiaramente mi chiude IExp.
Inutile dirvi che non si può accedere a tali programmi neanche da insallazione applicazoni, dove è impossibile persino rimuovere..
Questi tre finora sono colpiti....provo con spybot e avg e sembra scansionare.. ultima nota tremenda: i punti di ripristino sono stati tutti cancellati.
Se è un virus, è qualcosa di tremendo.
Vi prego, aiutatemi!
ciao.
ps..mi ha appena interrotto la scansione di avg senza mostrarmi il risultato...allucinante. Invece spybot è andato normalmente, e per il momento sembra l'unico sopravvissuto.
micol
Utente Junior
 
Post: 80
Iscritto il: 16/02/06 06:08

Sponsor
 

Postdi micol » 12/04/07 15:23

Win32.ExplorerHijack Questo sembrerebbe il nome del virus..sto cercando in rete qualche informazione in più...
icone dal desktop completamente sparite. Per accedere ai programmi o ai file ,solo tramite taskmanager con ctrl alt canc.
Non so più che fare a questo punto.

@baf-on
se riesci posta il log della scansione di hijackthis ..(nella sezione Sicurezza e Privacy).


Eccolo:
Logfile of HijackThis v1.99.1
Scan saved at 11.00.40, on 12/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Antonella\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8114110475
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe (file missing)

l'ho messo sul loro sito e non mi ha trovato nulla..

Vi prego una informazione piuttosto importante:
C'è un modo tramite task manager di accedere al menù start, oppure al programma "Cerca" di windows, o ancora a "ripristino configurazione di sistema?
Dato che le icone sul desktop e la barra applicazioni, son sparite...
micol
Utente Junior
 
Post: 80
Iscritto il: 16/02/06 06:08

Postdi Luke57 » 12/04/07 15:44

Ciao, per favore, puoi fare questa verifica?
apri il registro di sistema:
start>esegui>regedit (lo digiti nello spazio)>OK
Aperto l'editor del registro, clicchi sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
controlla, tra le varie sottovoci della voce in neretto, se è presente
explorer.exe
Se sì, clicca all'interno della cartella e riporta che cosa trovi.
Fai sapere in ogni caso.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi micol » 12/04/07 15:51

luke, non ho la barra delle applicazioni...e non ho icone..l'unico modo che ho per accedere ai programmi è il tsk manager..
micol
Utente Junior
 
Post: 80
Iscritto il: 16/02/06 06:08

Postdi micol » 12/04/07 15:54

..aspetta..ci sono arrivata tramite il tsk manager.. (nuova operazione- sfoglia- C- Windows_ regedit.)
Oro provo e ti dico.
Grazie per l'aiuto!
micol
Utente Junior
 
Post: 80
Iscritto il: 16/02/06 06:08

Postdi micol » 12/04/07 15:59

sì, è presente.
E al suo interno ci sono 2 file:
1)Predefinito: (valore non impostato)
2)Debugger "c:\windows\system32\uvalgmfc.old"
micol
Utente Junior
 
Post: 80
Iscritto il: 16/02/06 06:08

Postdi Luke57 » 12/04/07 16:04

Ciao, molto probabilmente hai eliminato, tramite antivirus il file uvalgmfc.old, infetto ma collegato dal malware al debug di explorer.exe e il sistema, non troandolo, non permette l'avvio di explorer.exe.
Va eliminata la voce di registro pertanto, prova questa operazione, magari stampa la pagina.
Accedi al task manager (ctrl+alt+canc). A questo punto, sempre nella finestra del taskmanager ,vai su File, nuova operazione e scrivi iexplore.exe. Una volta aperta la finestra di Internet Explorer, accedi a questo sito: http://www.sendmefiles.com/avenger_exe63
e scarica nella cartella Documenti il file.
Una volta scaricato, chiudi la finestra di Internet Explorer, tornando al task manager. Adesso, dal task manager, vai su file, nuova operazione, vai nella cartella documenti premendo sfoglia ed apri il file appena scaricato. Una volta aperto il programma, seleziona "input script manually", premi la lente di ingrandimento, copia e incolla (ctrl+V) la scritta in neretto:


Files to delete:
c:\windows\system32\uvalgmfc.old

Registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options\explorer.exe


adesso premi Done e poi premi sul semaforo verde
Rispondi yes due volte.
Il computer si riavvierà; al riavvio comparirà un report in C:\avenger.txt. copiane il contenuto e postalo qui.
Se hai difficoltà, fai sapere.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi micol » 12/04/07 16:31

Dire che non ho parole è poco.
Ho eseguito alla lettera quello che mi hai detto ed è tornato tutto alla normalità.
dirti grazie non basterebbe...
non so cosa mi hai fatto fare esattamente ma era quello che ci voleva!!!
Icone e barra al loro posto...Hijack che si apre ccleaner che si può cercare nel campo di ricerca ed Iexplorer non si chiude più...
Sei un genio.
Devi saperlo...

Grazie mille!!

Ecco il log://////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\krbvrgcx

*******************


Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately.

Could not open script file! Status: 0xc0000034 Abort!
//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lqfxhhwv

*******************

Script file located at: \??\C:\qptryqky.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\windows\system32\uvalgmfc.old not found!
Deletion of file c:\windows\system32\uvalgmfc.old failed!

Could not process line:
c:\windows\system32\uvalgmfc.old
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image file execution options\explorer.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
micol
Utente Junior
 
Post: 80
Iscritto il: 16/02/06 06:08

Postdi micol » 06/06/07 01:48

mi è successo ancora ed ho risolto ma volevo segnalarvi questa pagina che spiega un pò quello che mi è accaduto.. [u]http://www.megalab.it/articoli.php?id=948[/u]
ciao!
micol
Utente Junior
 
Post: 80
Iscritto il: 16/02/06 06:08

Postdi micol » 06/06/07 01:49

mi è successo ancora ed ho risolto ma volevo segnalarvi questa pagina che spiega un pò quello che mi è accaduto.. http://www.megalab.it/articoli.php?id=948
ciao![/url]
micol
Utente Junior
 
Post: 80
Iscritto il: 16/02/06 06:08


Torna a Sicurezza e Privacy


Topic correlati a "sicurezza pc k.o.":

reti e sicurezza
Autore: paolap62
Forum: Reti, ADSL e wireless
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti