Condividi:        

non riesco a liberarmi dei virus

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

non riesco a liberarmi dei virus

Postdi gamma_ray » 08/10/07 10:50

Allora, l'altro giorno ho aperto un file contenente un virus, prontamente beccato da avg. Poi mi si è installata una connessione chiamata Connection che mi faceva cadere la linea. Allora ho fatto delle scansioni con avg e avg antispyware in modalità provvisoria, disattivando il ripristino configurazione di sistema. Prima avevo anche cancellato delle voci dal registro, segnalate da hijackthis.
Il pc sembrava a posto. Stamattina mi connetto, e dopo 15 minuti avg mi segnala a intermittenza dei virus, dei trojan horse dialer, prontamente messi in quarantena.
FAccio una scansione con hijackthis e mi ritrovo diverse voci sospette:

Logfile of HijackThis v1.99.1
Scan saved at 11.49.10, on 08/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\spoolw.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Tool vari\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programmi\ICQToolbar\tbu63\toolbaru.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bonjour\mdnsnsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D574D06-9655-48EE-9EC7-9EC906D21331}: NameServer = 85.37.17.47 85.38.28.82
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: winbjt32 - C:\WINDOWS\SYSTEM32\winbjt32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\Cheetah Burner\Cheetah CD Burner\NMSAccess.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Come faccio a ripulirmi completamente?
Grazie
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Sponsor
 

Postdi Luke57 » 08/10/07 12:04

Ciao, scaricA The Avenger
http://swandog46.geekstogo.com/avenger.zip


Poi avvia il file Avenger.exe. (applicazioni chiuse e antivirus disattivato)
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno dello spazio bianco copia ed incolla questo script:


Files to delete:
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\SYSTEM32\winbjt32.dll
C:\WINDOWS\w32dbg.exe
C:\WINDOWS\iexplore_32.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbjt32


Clicca sul pulsante Done
Adesso clicca sul semaforo con la luce verde
Rispondi Yes 2 volte
Il pc si dovrebbe riavviare,se non si riavvia,riavvialo manualmente

Al riavvio collegati e allega il file C:\Avenger.txt

Inoltre, apri hijackthis, premi "do a system scan only", cerchi e spunti le voci seguenti:
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe

premi fix checked.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 08/10/07 22:25

Rieccomi. Dunque, nel frattempo nel pc era tornata quella connessione strana e quelle voci segnalate da hijackthis. Ho rifatto una scansione con avg che mi ha eliminato 10 trojan dialer.
Poi ho seguito la procedura da te indicata passo per passo.
Ti posto il log di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oryggejl

*******************

Script file located at: \??\C:\Program Files\iaucsnnu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\spoolw.exe deleted successfully.
File C:\WINDOWS\system32\igfxsvc.exe deleted successfully.
File C:\WINDOWS\SYSTEM32\winbjt32.dll deleted successfully.
File C:\WINDOWS\w32dbg.exe deleted successfully.
File C:\WINDOWS\iexplore_32.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbjt32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Mi pare che vada bene, o no?...devo fare qualcos'altro?
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi Luke57 » 09/10/07 07:05

Ciao, lo script è andato a segno. Dovresti essere a posto.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 09/10/07 10:04

Ciao Luke, mi pare che sita tutto ok, solo che dopo aver usato avenger m è sorto un problema, non mi funziona più explorer. Quando tento di avviarlo mi compare questo errore:

Immagine
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi Luke57 » 09/10/07 10:45

Ciao, sembra che manchi l'eseguibile di IE(iexplore.exe), non è imputabile all'operazione con avenger perchè il file eliminato è iexplore_32.exe.
Penso che vada reinstallato.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 09/10/07 10:46

Come faccio a reinstallare explorer?
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi SkunkWorks 68 » 09/10/07 11:03

gamma_ray ha scritto:Come faccio a reinstallare explorer?

Prova con un sfc /scannow da start>esegui con il CD di Windows nel lettore...
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi SkunkWorks 68 » 09/10/07 11:06

Ah,a proposito,ci sarebbe da aggiornare alla versione 7.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi gamma_ray » 09/10/07 11:34

Con il cd non ho risolto. Provo a scaricare la versione 7.
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi gamma_ray » 09/10/07 22:04

Aiuto! Sono in panne! HO installato la versione 7, ma non funziona, mi compare lo stesso messaggio di errore.
E' strano, se clicco col destro sull'icona di internet, accedo perfettamente alle proprietà, ma non si apre.
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

CE L'HO FATTA!!!!!!!!

Postdi gamma_ray » 10/10/07 11:56

Navigando in rete ho scoperto che il mio problema è capitato a molti (che tra l'altro avevano beccato lo stesso problema di virus), e spesso si faceva riferimento a questa chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\Image File Execution Options\iexplorer.exe

Allora sono andato a verificare, e una volta raggiunto quel percorso, sulla destra sotto la colonna nome c'era Debugger, e sotto la colonna dati c'era C:\WINDOWS\iexplore_32.exe, che era uno dei file cancellati di avenger.
In pratica ho cancellato quella voce, ed explorer è ripartito subito, senza bisogno di riavviare il pc.
Voi come l'avete quella chiave di registro?
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Re: CE L'HO FATTA!!!!!!!!

Postdi Luke57 » 10/10/07 12:05

gamma_ray ha scritto:Navigando in rete ho scoperto che il mio problema è capitato a molti (che tra l'altro avevano beccato lo stesso problema di virus), e spesso si faceva riferimento a questa chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\Image File Execution Options\iexplorer.exe

Allora sono andato a verificare, e una volta raggiunto quel percorso, sulla destra sotto la colonna nome c'era Debugger, e sotto la colonna dati c'era C:\WINDOWS\iexplore_32.exe, che era uno dei file cancellati di avenger.
In pratica ho cancellato quella voce, ed explorer è ripartito subito, senza bisogno di riavviare il pc.
Voi come l'avete quella chiave di registro?

Ciao, complimenti per la tua iniziativa, quando ti avevo suggerito lo script di avenger ero sicuro di aver messo l'eliminazione di questa voce aggiunta dal virus ed, invece, ricontrollando, mi sono accorto che solamente la voce explorer.exe (anch'essa aggiunta dal virus) avevo inserito nello script. In pratica, la amncanza del file di debug iexplore_32.exe, eliminato dallo script, non consentiva l'avviodi ie.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 10/10/07 12:15

Comunque grazie per le informazioni dettagliate.
Alla prossima.
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27


Torna a Sicurezza e Privacy


Topic correlati a "non riesco a liberarmi dei virus":


Chi c’è in linea

Visitano il forum: Nessuno e 38 ospiti