Condividi:        

AIUTO anch'io ho preso e1xplorer

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

AIUTO anch'io ho preso e1xplorer

Postdi kamaleonte » 06/05/06 12:02

Ciao a tutti!!
L'altra sera ero senza Avast attivato e mi hanno massacrato con trojan, worms, spy....ho già risolto qualche problema ma con e1xplorer non riesco a fare niente!
VI prego, AIUTO!!
intanto ho fatto girare hijack, vi posto il log

Grazie a tutti ciao

Logfile of HijackThis v1.99.1
Scan saved at 13.02.09, on 06/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\downlo~1\sdlanpu\og66yq.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\csserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\yyuiwcjlq.exe
C:\WINDOWS\System32\uzhtlmg.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Microsoft Office\OFFICE11\EXCEL.EXE
C:\WINDOWS\System32\sysmon.exe
C:\Documents and Settings\Bruss\Documenti\Marco\Software\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?299
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Fixgf] yyuiwcjlq.exe
O4 - HKLM\..\Run: [Realtek Sound Manager] uzhtlmg.exe
O4 - HKLM\..\Run: [Windows System File] csserv.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Fixgf] yyuiwcjlq.exe
O4 - HKLM\..\RunServices: [Realtek Sound Manager] uzhtlmg.exe
O4 - HKLM\..\RunServices: [Windows System File] csserv.exe
O4 - HKLM\..\RunOnce: [Windows System File] csserv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
O4 - HKCU\..\Run: [Windows System File] csserv.exe
O4 - HKCU\..\RunOnce: [Windows System File] csserv.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.1987324.com
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: Win32 Classes -
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
kamaleonte
Newbie
 
Post: 4
Iscritto il: 06/05/06 11:42

Sponsor
 

Postdi Luke57 » 06/05/06 14:37

Ciao, ben arrivato. Scarica deldomains da qui:
http://www.mvps.org/winhelp2002/DelDomains.inf
lo metti sul desktop.
1)Riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
2)Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK
3)Apri hiajckthis, premi “open the misc tools section”, poi “open process manger”, individua ed evidenzia i seguenti processi ( se non ci sono, non ti preoccupare)
C:\WINDOWS\downlo~1\sdlanpu\og66yq.exe
C:\WINDOWS\System32\csserv.exe
C:\WINDOWS\System32\yyuiwcjlq.exe
C:\WINDOWS\System32\uzhtlmg.exe
C:\WINDOWS\System32\spoolsvc.exe
Premi kill process
4)Torni alla pagina principale con back, premi scan, cerchi e spunti le voci seguenti:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?299
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - HKLM\..\Run: [Microsoft Fixgf] yyuiwcjlq.exe
O4 - HKLM\..\Run: [Realtek Sound Manager] uzhtlmg.exe
O4 - HKLM\..\Run: [Windows System File] csserv.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\RunServices: [Microsoft Fixgf] yyuiwcjlq.exe
O4 - HKLM\..\RunServices: [Realtek Sound Manager] uzhtlmg.exe
O4 - HKLM\..\RunServices: [Windows System File] csserv.exe
O4 - HKLM\..\RunOnce: [Windows System File] csserv.exe
Tutte le voci 015
O16 - DPF: Win32 Classes –
Premi fix checked
5)Fai click con il tasto destro sul file deldomains.inf e scegli Installa
6)Cerca ed elimina i seguenti file:
C:\WINDOWS\downlo~1\sdlanpu\og66yq.exe
C:\WINDOWS\System32\csserv.exe
C:\WINDOWS\System32\yyuiwcjlq.exe
C:\WINDOWS\System32\uzhtlmg.exe
C:\WINDOWS\System32\spoolsvc.exe
7)Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)
8)sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)
9)Svuota il cestino.
10)Da pannello di controllo.installazioni/applicazioni controlla che non vi siano programmi non installati da te
11)Per finire , riavvia in modalità nromale e scansione on line qui:
http://www.bitdefender.com/scan8/ie.html
Posta nuovo log per controllo
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

ciao luke ti posto il log

Postdi kamaleonte » 07/05/06 21:15

Ciao luke grazie tantissimo per le info; mi sono state molto utili e mi sembra che il log vada un po meglio! Purtroppo, però, ho fatto una scansione con kaspersky e mi ha trovato qualche schifezza...ti posto anche il suo report. Potresti darmi ancora una mano?? Grazie mille ciao!

Logfile of HIJACKTHIS v1.99.1
Scan saved at 22.08.03, on 07/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bruss\Documenti\Marco\Software\Virus&spy\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastweb.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NI.UWFX5T_0001_N57M1412] "C:\Documents and Settings\Bruss\Impostazioni locali\Temporary Internet Files\Content.IE5\RRXJ7X8W\WinFixer2005ScannerInstallITA[1].exe" -nag
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.it/kos/kavwebscan_unicode.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

-----------------------------------------
KASPERSKY
Analizza statistiche:
Numero totale di oggetti analizzati: 25064
Numero di virus trovati: 9
Numero di oggetti infetti: 45
Numero di oggetti sospetti: 0
Durata del processo di analisi: 00:25:22

Nome dell'oggetto infetto / Nome del virus / Ultima azione
C:\WINDOWS\SYSTEM32\winfifggf.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\WINDOWS\SYSTEM32\winksas.exe Infetto: Backdoor.Win32.Rbot.atj ignorato
C:\WINDOWS\SYSTEM32\plasdll.exe Infetto: Backdoor.Win32.IRCBot.az ignorato
C:\WINDOWS\SYSTEM32\dcomcfg.exe Infetto: Packed.Win32.Tibs ignorato
C:\WINDOWS\SYSTEM32\sysmon.exe Infetto: Packed.Win32.Tibs ignorato
C:\WINDOWS\TEMP\apihelp.chm Infetto: Packed.Win32.Tibs ignorato
C:\WINDOWS\TEMP\apihelp2.chm Infetto: Packed.Win32.Tibs ignorato
C:\WINDOWS\Downloaded Program Files\AUTO_299_N.exe Infetto: Trojan.Win32.Dialer.hh ignorato
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\AUTO_299_N.exe Infetto: Trojan.Win32.Dialer.hh ignorato
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\AUTO_299_N.exe Infetto: Trojan.Win32.Dialer.hh ignorato
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\AUTO_299_N.exe Infetto: Trojan.Win32.Dialer.hh ignorato
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\CYK0GBCY\zhcoa[1].txt Infetto: Trojan-Clicker.Win32.Small.kr ignorato
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\Q9ABUVWF\sqlkw[1].txt Infetto: Trojan-Clicker.Win32.Small.kr ignorato
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\Q9ABUVWF\ypktedcase[1].txt Infetto: Packed.Win32.Tibs ignorato
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\GZIJ2L4N\sjrkhe[1].txt Infetto: Packed.Win32.Tibs ignorato
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\OP8RATCD\ygfrpon[1].htm Infetto: Trojan.Win32.Harnig.a ignorato
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\OP8RATCD\qyxwe[1].htm Infetto: Trojan.Win32.Harnig.a ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP26\A0007998.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP26\A0008026.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP27\A0008062.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP27\A0008096.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP31\A0009988.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP34\A0012883.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP34\A0012891.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP34\A0015984.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018378.exe Infetto: Trojan-Downloader.Win32.Harnig.bg ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018381.exe Infetto: Packed.Win32.Tibs ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018382.exe Infetto: Trojan-Clicker.Win32.Small.kr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018451.exe Infetto: Backdoor.Win32.Rbot.atj ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018492.exe Infetto: Trojan-Downloader.Win32.Harnig.bg ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018495.exe Infetto: Packed.Win32.Tibs ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018496.exe Infetto: Trojan-Clicker.Win32.Small.kr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018512.exe Infetto: Backdoor.Win32.Wootbot.ct ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018513.exe Infetto: Packed.Win32.Tibs ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018672.exe Infetto: Trojan-Downloader.Win32.Harnig.bg ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018673.exe Infetto: Packed.Win32.Tibs ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018676.exe Infetto: Trojan-Clicker.Win32.Small.kr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018698.exe Infetto: Backdoor.Win32.Wootbot.ct ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018699.exe Infetto: Packed.Win32.Tibs ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018727.exe Infetto: Backdoor.Win32.Rbot.ayr ignorato
C:\System Volume Information\_restore{22C335F3-2D82-482B-9140-85C98FA51074}\RP53\A0018728.exe Infetto: Backdoor.Win32.Rbot.atj ignorato
C:\Program Files\secure32.html Infetto: Trojan.Win32.Harnig.a ignorato
C:\loadadv650.exe Infetto: Trojan-Downloader.Win32.Harnig.bg ignorato
C:\countrydial.exe Infetto: Packed.Win32.Tibs ignorato
C:\tool5.exe Infetto: Trojan-Clicker.Win32.Small.kr ignorato

Processo di analisi completato.
kamaleonte
Newbie
 
Post: 4
Iscritto il: 06/05/06 11:42

Postdi Luke57 » 08/05/06 08:23

Ciao, con hijackthis fissa tutte le voci 015 e, se non l'hai fatto, utilizza deldomains. Puoi eliminare quei file indicati da kaspersky manualmente (dalla modalità provvisoria)
C:\WINDOWS\SYSTEM32\winfifggf.exe
C:\WINDOWS\SYSTEM32\winksas.exe C:\WINDOWS\SYSTEM32\plasdll.exe
C:\WINDOWS\SYSTEM32\dcomcfg.exe
C:\WINDOWS\SYSTEM32\sysmon.exe
C:\WINDOWS\Downloaded Program Files\AUTO_299_N.exe Infetto: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\AUTO_299_N.exe C:\WINDOWS\Downloaded Program Files\CONFLICT.2\AUTO_299_N.exe C:\WINDOWS\Downloaded Program Files\CONFLICT.3\AUTO_299_N.exe
Poi elimina i file temp e tmp di windows, quelli di IE. Per eliminare i file infetti della cartella di restore disattiva il ripristino configurazione di sistema ( click tasto dx su risorse del computer>proprietà>ripristino configurazione di sistema>metti la spunta a disattiva ripristino configurazione di sistema>applica>OK). Dopo il riavvio, segguendo la medsima procedura togli il segno di spunta precentemente immesso. Fai una scansione on line, come detto, con bitdefender che elimina anche eventuali virus.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

OK???

Postdi kamaleonte » 08/05/06 21:36

Ciao a tutti! Luke ancora grazie infinite ma ho avuto un po di casini a cancellare i files (li ho dovuti cancellare dal prompt di ms-dos)
Non riesco a fixare con HiJack le voci 015. anche rimuovendole a mano dal registro di sistema poi ritornano alla scansione successiva.
Lo scan online che mi hai consigliato è potente..
Ho usato anche Deldomains ma non so cosa faccia quindi non so se riesco a farglielo fare
Ti posto il log:
Grazie ancora....buona serata!!


Logfile of HijackThis v1.99.1
Scan saved at 22.29.46, on 08/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\downlo~1\sdlanpu\og66yq.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\winsystems.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bruss\Documenti\Marco\Software\Virus&spy\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastweb.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NI.UWFX5T_0001_N57M1412] "C:\Documents and Settings\Bruss\Impostazioni locali\Temporary Internet Files\Content.IE5\RRXJ7X8W\WinFixer2005ScannerInstallITA[1].exe" -nag
O4 - HKLM\..\Run: [winsystems25] winsystems.exe
O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.it/kos/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
kamaleonte
Newbie
 
Post: 4
Iscritto il: 06/05/06 11:42

Postdi Luke57 » 09/05/06 07:48

Ciao, ci sono ospiti nuovi:
Apri hijackthis premi “open the misc tools section”, “Open process manager”, individui ed evidenzi questi processi ( se non ci sono non importa):
C:\WINDOWS\downlo~1\sdlanpu\og66yq.exe ( non ho trovato niente, ma lo eliminerei)
C:\WINDOWS\System32\winsystems.exe
Premi kill process
Torni alla pagina principale con back, premi “scan”, cerchi e spunti le voci seguenti
O4 - HKLM\..\Run: [winsystems25] winsystems.exe
O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe
Tutte le 015
Premi fix checked
Cerchi ed elimini i seguenti file:
C:\WINDOWS\downlo~1\sdlanpu\og66yq.exe
C:\WINDOWS\System32\winsystems.exe
Poi elimina tutti i file temporanei di windows (temp e tmp, (fai così start>cerca>tutti i file e cartelle, nello spazio bianco “nome del file o parte del nome” copi : *.temp; *.tmp ed elimini tutti quelli trovati)
cancella tutti i file temporanei di IE, cronologia, cookies,
Svuota il cestino
Per le voci 015 che non se ne vonno annà, prova a aprire il file Hosts (con il blocco note). Si trova nella directory C\Windows\system32\driver\etc ( è senza estensione), se va bene il contenuto dovrebbe essere questo:
Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

bandiera bianca??

Postdi kamaleonte » 09/05/06 19:18

CIao Luke spero ke questa sia la volta buona!! (probabilmente lo speri anche tu)
Il file og66yq.exe è protetto da windows che non me lo lascia killare perchè è riferito ad un servizio attivo (non mi dice quale); ho cercato su internet ma non mi dice niente quindi non so cosa fare.
Non trovo mai neanche un file *.tmp o *.temp devo cercarli in qualche posto particolare?
I file/processi winsystems li ho eliminati tutti!
Il file hosts è esattamente uguale a quello che hai postato tu ma gli 015 rimangono ancora.
Cosa mi consigli per non far entrare ste cose nel PC? Ho avast e ad-aware sul pc ma non mi sembra che funzionino troppo!

Ti ri-ri-posto il log di HiJack! Grazie ancora buona serata
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\downlo~1\sdlanpu\og66yq.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\hp-1003.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bruss\Documenti\Marco\Software\Virus&spy\hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastweb.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NI.UWFX5T_0001_N57M1412] "C:\Documents and Settings\Bruss\Impostazioni locali\Temporary Internet Files\Content.IE5\RRXJ7X8W\WinFixer2005ScannerInstallITA[1].exe" -nag
O4 - HKLM\..\Run: [File Mapping Services] hp-1003.exe
O4 - HKLM\..\RunServices: [File Mapping Services] hp-1003.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
O4 - HKCU\..\Run: [File Mapping Services] hp-1003.exe
O4 - HKCU\..\RunServices: [File Mapping Services] hp-1003.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
kamaleonte
Newbie
 
Post: 4
Iscritto il: 06/05/06 11:42

Postdi Luke57 » 09/05/06 20:43

Ciao, non ti preoccupare, purtroppo non ti so dire altro su quelle voci 015 (con hijack non se vanno, con deldomains nemmeno..) Per quel file prova Unlocker 1.8.3 da qui:
http://www.01net.com/telecharger/window ... 32585.html
è un piccolo programma (in italiano anche) che una volta installato, cliccando con il tasto dx sul file da eliminare, fa apparire il suo simbolino nel menu contestuale, ci clicchi e scegli elimina. Dovrebbe funzionare.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi fabrizius » 09/05/06 23:12

Ciao ,per far sparire quelle 015 bisogna ristabilire i valori di defaut della trusted zone nel registro:
allora fai cosi:
recati in questi percorsi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

una volta arrivati su ProtocolDefaults nel pannello di destra, clicca su ognuno di questi protocolli con il tasto destro,scegli modifica e ristabilisci i valori come da esempio
HTTP 3
HTTPS 3
FTP 3
@ivt 1
shell 0
Alla fine con hijackthis fixa tutte le 015

;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55


Torna a Sicurezza e Privacy


Topic correlati a "AIUTO anch'io ho preso e1xplorer":

aiuto windows 10
Autore: mod360
Forum: Software Windows
Risposte: 1
aiuto installazione
Autore: mod360
Forum: Software Windows
Risposte: 3
aiuto x mobili
Autore: MarioLombardi
Forum: Forum off-topic
Risposte: 8

Chi c’è in linea

Visitano il forum: Nessuno e 44 ospiti