Icona nella barra... spam o virus?

[beppus]

Da qualche giorno mi è comparsa un' icona (una X bianca su sfondo rosso) nella barra di windows che mi ripete che il mio pc è infetto da virus e mi suggerisce di cliccare sopra di lei per andare alla pagina di un buon anitivrus... ora cliccando sull'icona non accade nulla ma ogni volta che apro explorer (con firefox non accade) Antivir mi segnala la presenza di un trojan che di volta in volta si rigenera cambiando nome, ma restanado sempre all'interno della cartella di windows.

Premetto di avere WinXP Pro SP2 originale costantemente aggiornato.
Sapete dirmi come posso rimuovere questa icona? Magari è successo anche a voi?

[Luke9792005]

Ciao.

Scarica dalla sezione Download di pc-facile il software HijackThis.

Dopo averlo avviato, fai click su Do a system scan and save a log. Posta il contenuto del log, così lo analizziamo insieme.

Ciao

[beppus]

Ho fatto come mi hai detto... il log è questo, io nn ci capisco molto eheh

Logfile of HijackThis v1.99.1
Scan saved at 12.50.18, on 04/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\javamf32.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\sysxt.exe
C:\DOCUME~1\ARTURO~1\IMPOST~1\Temp\6B.tmp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\winstall.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Outlook Express\msimn.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\***\Impostazioni locali\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

res://C:\WINDOWS\system32\nszwf.dll/sp.html#45052
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

res://C:\WINDOWS\system32\nszwf.dll/sp.html#45052
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

res://C:\WINDOWS\system32\nszwf.dll/sp.html#45052
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

res://C:\WINDOWS\system32\nszwf.dll/sp.html#45052
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

res://C:\WINDOWS\system32\nszwf.dll/sp.html#45052
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

res://C:\WINDOWS\system32\nszwf.dll/sp.html#45052
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

res://C:\WINDOWS\system32\nszwf.dll/sp.html#45052
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {0E6513C7-8521-4C21-E63D-1A6BFEB8A5DC} - C:\WINDOWS\appsm.dll (file

missing)
O2 - BHO: Class - {7FBC1A44-1179-6601-4CA4-F9E5BA9627AC} - C:\WINDOWS\system32\atlkn.dll
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} -

C:\Programmi\Starware\bin\Starware.dll (file missing)
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} -

C:\Programmi\Starware\bin\Starware.dll (file missing)
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe
O4 - HKLM\..\Run: [msll.exe] C:\WINDOWS\msll.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [sysxt.exe] C:\WINDOWS\sysxt.exe
O4 - HKLM\..\Run: [6B.tmp] C:\DOCUME~1\***~1\IMPOST~1\Temp\6B.tmp.exe
O4 - HKLM\..\Run: [6C.tmp] C:\DOCUME~1\***~1\IMPOST~1\Temp\6C.tmp.exe
O4 - HKLM\..\Run: [6B.tmp.exe] C:\DOCUME~1\***~1\IMPOST~1\Temp\6B.tmp.exe
O4 - HKLM\..\Run: [6C.tmp.exe] C:\DOCUME~1\***~1\IMPOST~1\Temp\6C.tmp.exe
O4 - HKLM\..\RunOnce: [javamf32.exe] C:\WINDOWS\system32\javamf32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File

comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat

7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} -

C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E22D5A0D-5912-4F4B-9B06-83D9D58F2924}: NameServer =

213.205.36.70 213.205.32.70
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner -

C:\WINDOWS\system32\ienv.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programmi\PowerQuest\Drive Image

7.0\Agent\PQV2iSvc.exe

[Luke9792005]

Ciao.

Per prima cosa, sembra che tu non disponga di un firewall. E' possibile?

Per quanto riguarda il log, fixa con HijackThis da modalità provvisoria i seguenti elementi:

C:\WINDOWS\system32\javamf32.exe Questo lo conosci?

C:\WINDOWS\sysxt.exe E questo?

C:\winstall.exe Worm!!!!

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {0E6513C7-8521-4C21-E63D-1A6BFEB8A5DC} - C:\WINDOWS\appsm.dll (file Sai di cosa si tratta?

O2 - BHO: Class - {7FBC1A44-1179-6601-4CA4-F9E5BA9627AC} - C:\WINDOWS\system32\atlkn.dll E questo lo conosci?

O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - Questa si direbbe la principale causa del tuo problema.

O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - Idem come sopra.

O4 - HKLM\..\Run: [msll.exe] C:\WINDOWS\msll.exe Dovrebbe essere uno malware. Se non ti è famliare eliminalo.

O4 - HKLM\..\Run: [sysxt.exe] C:\WINDOWS\sysxt.exe

O4 - HKLM\..\Run: [6B.tmp] C:\DOCUME~1\***~1\IMPOST~1\Temp\6B.tmp.exe

O4 - HKLM\..\Run: [6C.tmp] C:\DOCUME~1\***~1\IMPOST~1\Temp\6C.tmp.exe

O4 - HKLM\..\Run: [6B.tmp.exe] C:\DOCUME~1\***~1\IMPOST~1\Temp\6B.tmp.exe

O4 - HKLM\..\Run: [6C.tmp.exe] C:\DOCUME~1\***~1\IMPOST~1\Temp\6C.tmp.exe

O4 - HKLM\..\RunOnce: [javamf32.exe] C:\WINDOWS\system32\javamf32.exe Sai di cosa si tratta?

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{E22D5A0D-5912-4F4B-9B06-83D9D58F2924}: NameServer = Qui dovrebbe essere riportato il server DNS relativo alla tua connessione Internet. HijackThis legge solo "?".

C:\WINDOWS\system32\ienv.exe (file missing)

Prima di cominciare a lavorare, leggi attentamente questa utile guida:
http://www.pc-facile.com/guide/guida_hijackthis/

Fammi sapere se si risolve.

Ciao

[beppus]

E' scomparsa!! Grazie 1000000!