Condividi:        

Virus pc ufficio...aiuto!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Virus pc ufficio...aiuto!

Postdi mozy » 10/04/07 16:38

Salve a tutto il forum,

avrei bisogno dell'aiuto di qualche esperto...da stamattina non riesco a collegarmi in internet e nemmeno a utilizzare la posta elettronica con il pc dell'ufficio...all'inizio pensavo ad un problema di lan invece con AVG ho scoperto che il mio pc era infettato dal virus koos.exe. Nonostante la scansione e l'eliminazione del vrus, il problema non si è risolto.

Invio il log di Hijack sperando c qualcuno possa aiutarmi:

Logfile of HijackThis v1.99.0
Scan saved at 17.10.41, on 10/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\soundman.exe
C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Documents and Settings\MAGAZZINO-1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programmi\RXToolBar\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ShutDown] C:\Programmi\DFG\ShutDown3\ShutDown.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0681AA6-850B-40DC-B036-17E9B8177A2B}: NameServer = 213.140.2.43,213.140.2.49
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programmi\RXToolBar\sfcont.dll
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Grazie in anticipo
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Sponsor
 

Postdi mozy » 10/04/07 21:03

Non c'è nessuno che può aiutarmi? Scusate l'insistenza ma devo finire un lavoro urgente e vorrei risolvere al più presto il problema di oggi.
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Postdi paolobari » 10/04/07 21:13

Sei sicuro di averlo eliminato? Io controllo sempre sul registro (regedit) cercando koos, e vedendo se lo trova ancora...i virus li ho eliminati alla fine sempre dal registro. Oppure va qui:
http://www.NoAdware.net
e scarica questo antivirus.
paolobari
Utente Junior
 
Post: 25
Iscritto il: 26/03/07 12:19
Località: Treviso

Postdi mozy » 10/04/07 21:24

Ciao Paolo,

come posso fare per cercare koos dal registro? Intanto ho scaricato il programmino.

Grazie
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Postdi Luke57 » 11/04/07 07:31

mozy ha scritto:Ciao Paolo,

come posso fare per cercare koos dal registro? Intanto ho scaricato il programmino.

Grazie

Ciao, penso che ci siano programmi migliori di quel programmino.
Scarica superantispyware ed.free da qui:
http://www.superantispyware.com/
lo installi e lo aggiorni alle ultime definizioni.

Colloca hijackthis.exe in una cartella permanente del disco fisso appositamente dedicata, non desktop, come hai fatto tu, in modo che il programma possa fare il backup delle voci rimosse.
Apri hijackthis dalla nuova cartella, premi “Do a system scan only”
cerca nell'elenco le chiavi seguenti e spunta la casella a lato di ognuna
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Programmi\RXToolBar\sfcont.dll (file missing)
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programmi\RXToolBar\sfcont.dll

premi fix checked

Poi, riavvia in modalità provvisoria
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.
Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti (consigliato)"
Click Ok

Cerca e cancella i seguenti file (se ci sono):
C:\Programmi\RXToolBar------> la cartella
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\sla.exe
Poi elimina tutti i file temporanei di windows (temp e tmp) >fai così:
(start>cerca>tutti i file e cartelle, nello spazio bianco “nome del file o parte del nome” copi : *.temp; *.tmp
ed elimini tutti quelli trovati, selezionandoli e cancellandoli),

Cancella tutti i file temporanei di IE ( pannello di controllo>opzioni internet>elimina file temporanei (spuntando anche la casella “elimina tutto il contenuto non in linea”>OK, cancella la cronologia, cancella i cookies,
Svuota il cestino.
Fai una scansione con Superantispyware.

Riavvia in modalità normale e posta nuovo log di controllo
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

-

Postdi paolobari » 11/04/07 07:32

Start - Esegui - regedit - ok - modifica - trova
Scrivi il nome del virus e cancelli tutte le chiave che eventualmente trovi. Lo stesso devi fare su C - start - cerca - file o cartelle
Può essere che non trovi niente, ma nel caso devi prendere in considerazione l'eventualità che il virus non sia la causa.
Ciao
paolobari
Utente Junior
 
Post: 25
Iscritto il: 26/03/07 12:19
Località: Treviso

Postdi mozy » 11/04/07 10:01

Buongiorno,

ho seguito le indicazioni che mi avete dato e di cui vi ringrazio, ho rimosso diversi trojan ma purtroppo continuo a non riuscire a collegarmi ad internet e nemmeno ad outlook (per fortuna che un mio collega mi ha prestato il suo portatile per collegarmi a internet e scrivere sul forum!). Ho notato che nel log di hijack c'è una parte dove dice

O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

non vorrei fosse questa la causa e se è così cosa posso fare???

Intanto invio anche il nuovo log di Hijack:


Logfile of HijackThis v1.99.0
Scan saved at 10.54.16, on 11/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Hijack\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ShutDown] C:\Programmi\DFG\ShutDown3\ShutDown.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0681AA6-850B-40DC-B036-17E9B8177A2B}: NameServer = 213.140.2.43,213.140.2.49
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Postdi Luke57 » 11/04/07 16:52

Ciao, è vero, mi era sfuggita :(
scarica Lspfix:
http://www.xdownload.it/go.asp?idl=2273
e lo tieni da parte.
Apri hijackthis, premi "do a system scan only", cerchi e spunti la voce seguente:
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
premi fix checked
Lanci Lspfix:
se sulla sinistra, insieme ad altre voci, ti appare la seguente:
'rsvp32_2.dll'
la sposti sulla parte destra del programma e la rimuovi, premendo finish
Non fare altre manovre con le altre voci.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi mozy » 11/04/07 17:09

Grazie Luke, problema risolto ;)
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Postdi mozy » 12/04/07 11:57

Avevo parlato troppo presto :cry:

ieri sera funzionava sia internet che Outlook. Stamattina poi ho rilanciato l'AVG in modalità provvisoria e alla fine non trovava più alcun intruso! Dopo un'oretta circa il problema si è ripresentato e non riuscivo di nuovo a connettermi. Ho ripristinato nuovamente il protocollo TCP/IP e poi ho fatto una scansione online con Kaspersky...ha trovato diverse infezioni mentre un'ora prima non ce n'era nessuna! In più adesso si è nuovamente scollegato! Può essere che il virus si riformi da solo e in questo caso cosa si può fare per eliminarlo definitivamente? Allego nuovo log di Hijack...

Logfile of HijackThis v1.99.0
Scan saved at 12.54.49, on 12/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ShutDown] C:\Programmi\DFG\ShutDown3\ShutDown.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xbdjmizhdsc.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0681AA6-850B-40DC-B036-17E9B8177A2B}: NameServer = 213.140.2.43,213.140.2.49
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Per favore aiutatemi...non so più cosa fare!!!
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Postdi Luke57 » 12/04/07 12:05

Ciao, puoi tipetere l'operazione con Lspfix eliminando la voce:
xbdjmizhdsc.dll
con il programma e manualmente il file:
c:\windows\system32\xbdjmizhdsc.dll

Comiunque, scarica SystemScan (strumento di diagnosi)
http://www.suspectfile.com/systemscan
salvalo sul desktop, disattiva l'antivirus, apri systemscan ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now".
Al termine della scansione (da pochi minuti a 20-30 minuti) verrà rilasciato in C:\suspectfile il file report.txt.
Siccome è molto lungo non entrerà in un post nel forum.ù
Vai su
http://www.easy-share.com carica il file
(Fai in questo modo: click su sfoglia, individui il file C:\suspectfile\report.txt, , premi Upload) e nella tua prossima risposta in un post, qui nel forum, scrivi l'URL che ti sarà fornito (ti sarà fornito anche il link per cancellare il file, quello non me lo indicare) per scaricarlo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi mozy » 12/04/07 13:56

Ciao Luke

ho seguito le tue istruzioni; ecco il link al file di report

http://w13.easy-share.com/989653.html

Spero possa essere utile per risolvere il problema!
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Postdi Luke57 » 12/04/07 14:27

mozy ha scritto:Ciao Luke

ho seguito le tue istruzioni; ecco il link al file di report

http://w13.easy-share.com/989653.html

Spero possa essere utile per risolvere il problema!

Ciao, mi dà errore nella visualizzazione della pain, riprova a inserirlo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi mozy » 12/04/07 14:31

Ho fatto di nuovo l'upload del file, ecco il nuovo link:

http://w13.easy-share.com/989739.html
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Postdi Luke57 » 12/04/07 15:11

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:



Files to delete:
C:\WINDOWS\pdp.exe
C:\WINDOWS\system32\pdp.exe.exe
C:\WINDOWS\system32\pfxzmtaim.dll
C:\WINDOWS\system32\pfxzmtforum.dll
C:\WINDOWS\system32\pfxzmticq.dll
C:\WINDOWS\system32\pfxzmtsmt.dll
C:\WINDOWS\system32\pfxzmtsmtspm.dll
C:\WINDOWS\system32\pfxzmtwbmail.dll
C:\WINDOWS\system32\sfxzmtforum.dll
C:\WINDOWS\system32\sfxzmtsmtspm.dll
C:\WINDOWS\system32\pfxzmtymsg.dll
C:\WINDOWS\system32\sfxzmtsmt.dll
C:\WINDOWS\system32\sfxzmtwbmail.dll
C:\WINDOWS\system32\xbdjmizhdsc.dll
C:\WINDOWS\system32\zup.exe.exe





Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi mozy » 12/04/07 16:03

Ecco il report di Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\srhjwaty

*******************

Script file located at: \??\C:\WINDOWS\xogkvckb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\pdp.exe deleted successfully.
File C:\WINDOWS\system32\pdp.exe.exe deleted successfully.
File C:\WINDOWS\system32\pfxzmtaim.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtforum.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmticq.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtsmt.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtsmtspm.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtwbmail.dll deleted successfully.
File C:\WINDOWS\system32\sfxzmtforum.dll deleted successfully.
File C:\WINDOWS\system32\sfxzmtsmtspm.dll deleted successfully.
File C:\WINDOWS\system32\pfxzmtymsg.dll deleted successfully.
File C:\WINDOWS\system32\sfxzmtsmt.dll deleted successfully.
File C:\WINDOWS\system32\sfxzmtwbmail.dll deleted successfully.
File C:\WINDOWS\system32\xbdjmizhdsc.dll deleted successfully.
File C:\WINDOWS\system32\zup.exe.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Postdi Luke57 » 12/04/07 16:25

Ciao, lo script è andato a buon fine. Hai ancora problemi?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi mozy » 12/04/07 17:11

Purtroppo il computer fa una cosa di questo tipo: lo riavvio, si connette per 15 min. circa e poi internet e outlook non funziona più, lo riavvio nuovamente e fa la stessa cosa...apparentemente sembra non esserci piùnulla ma no capisco perchè non funzioni più normalmente come prima...è come se ci fosse qualcosa che dopo 15 min dà l'input di non far andare più internet e annessi....
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Postdi Luke57 » 12/04/07 21:12

Ciao, prova questa utility:
http://news.swzone.it/link.php?action=d&id=9826
lo esegui e premi fix.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi mozy » 13/04/07 13:15

Ciao,

ho eseguito il tool che mi hai suggerito e ho reimpostato il protocollo... rispetto a martedì quando si era presentato il problema adesso riesco a connettermi ma per circa 15 min. poi mi si sconnette e devo riavviare per riconnettermi.
Comincio a pensare che ci sia qualcosa in rete; non so se c'entra ma stamattina mi è arrivata per la seconda volta un'email che un collega mi aveva inviato un paio di giorni fa e quando l'ho aperta l'antivirus ha rilevato "trojan.Vqten" posizione C:\Windows\system32\xuyyxxb.dll Potrebbe essere che il virus sfrutti la rete e si propaghi duplicando messaggi che utilizzano email dell'ufficio in modo che vengano sicuramente aperte?
Tornando al mio pc, è come se ci fosse una connessione a tempo e non riesco a capire cosa scatti dopo 15/20 min. per impedire di navigare e usare Outlook...
mozy
Utente Junior
 
Post: 12
Iscritto il: 10/04/07 16:18

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Virus pc ufficio...aiuto!":

aiuto windows 10
Autore: mod360
Forum: Software Windows
Risposte: 1
aiuto installazione
Autore: mod360
Forum: Software Windows
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 34 ospiti