Condividi:        

cosa debbo fare?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

cosa debbo fare?

Postdi pepiona » 16/05/07 18:58

L'antivirus che ho istallato, di botto non parte + se provo reistallarlo non me lo fa, ( Avast)..nemmeno un altro, avrò preso un virus, cosa debbo fare? grazie!
pepiona
Utente Junior
 
Post: 53
Iscritto il: 28/04/07 18:22

Sponsor
 

Postdi Samuamu » 16/05/07 19:02

Cerca di postare un lag tramite Hijackthis, se non ce l'hai, lo prelevi da http://www.hijackthis.de/it e lo avvii.
Verrà fuori un file di testo che non dovrai fare altro che copiarlo/incollarlo qui sul tuo topic...
Solo due cose sono infinite: l'universo e la stupidità umana e non sono sicuro della prima. (Einstein)
Samuamu
Utente Senior
 
Post: 377
Iscritto il: 18/12/06 12:44

eccolo!

Postdi pepiona » 16/05/07 19:55

Logfile of HijackThis v1.99.1
Scan saved at 20:53:10, on 16/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\TomTom HOME\TomTomHOME.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\D-Tools\daemon.exe
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\SpamExperts\SpamExperts.exe
C:\Programmi\Tuttogratis Alert\TgAlert.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\Restore\rstrui.exe
C:\Documents and Settings\gedeone\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.f1grandprix.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMult.dll
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMult.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMult.dll
O4 - HKLM\..\Run: [eBayToolbar] C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Tuttogratis Alert.lnk = C:\Programmi\Tuttogratis Alert\TgAlert.exe
O4 - Global Startup: SpamExperts.lnk = C:\Programmi\SpamExperts\SpamExperts.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spamexpertslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spamexpertslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spamexpertslsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B571D1E7-22CA-4931-9B18-E0639B282233}: NameServer = 193.70.152.15 193.70.152.25
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: iPod Service - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programmi\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
pepiona
Utente Junior
 
Post: 53
Iscritto il: 28/04/07 18:22

Postdi edo_aol » 17/05/07 13:32

avast non va windows firewall non va e la provvisoria non va?!?!allora e colpa di bagle un vero worm rompi palle che disattiva tutte le cose che appartengono alla sicurezza tool compresi.l'unico metodo di eliminarlo e avenger.fammi sapere se prima il firewall non va,se la provvisoria va,oppure i tool non vanno.fammi sapere e poi ti spiego come usare avenger.ciao :D ;) :-?
Avatar utente
edo_aol
Utente Senior
 
Post: 415
Iscritto il: 13/04/07 14:26

Postdi pepiona » 17/05/07 17:17

Grazie dell'informazione(credo proprio sia quello, ho provato ad attivare il firewall di windows, poi mi chiede di riavviare, una volta riavviato, e di nuovo disattivato

Ho scaricato avenger....aspetterei informazioni x usarlo...grazie mille!
pepiona
Utente Junior
 
Post: 53
Iscritto il: 28/04/07 18:22

Postdi Luke57 » 17/05/07 17:27

Ciao, edo_aol è un ragazzo di buona volontà, ma se non sai dove mirare Avenger resta un'arma inutile ;)
Intanto, scarica Gmer da qui:
http://www.majorgeeks.com/GMER_d5198.html
scompatta il file .zip e avvia gmer.exe, con tutte le altre applicazioni chiuse.
Per entrare in Avanzate premi il tab>>>>. Poi scegli il tab Rootkit, spunta anche la casella ADS , fai uno Scan completo. Al termine clicca Copy e incolla il report in un file di testo.
Ritorna su Gmer, premi il tab Autostart (non spuntare la casella show all) e premi Scan. Al termine click su Copy e incolla il report nel medesimo foglio di testo.
Poi, copia e incolla i due report in un post nel forum.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi pepiona » 17/05/07 18:29

prova
pepiona
Utente Junior
 
Post: 53
Iscritto il: 28/04/07 18:22

Postdi pepiona » 17/05/07 18:33

Ciao!

Ho fatto come mi hai detto, con gmer..ho fatto il copia incolla, ma quando invio, dopo un pò mi dice

Fatal error: Allowed memory size of 16777216 bytes exhausted (tried to allocate 3561433 bytes) in /home/www/pc-facile/forum/includes/functions_post.php on line 72
pepiona
Utente Junior
 
Post: 53
Iscritto il: 28/04/07 18:22

Postdi edo_aol » 17/05/07 19:38

allora incomincia col disattivare il riprisitno di sistema.lo strumento indispensabile per rimuovere il virus e avenger.pero prima di usarlo dobbiamo creare uno script per eseguirlo meglio.spostiamoci nell eseguibile di avenger vai sul blocco note e creamo un nuovo file di testo per farlo vai su documento di testo file/nuovo e scrivi le seguenti righe:%systemdrive%:\documents and settings\[utente corrente]\dati applicazioni\hidires\m_hook.sys poi punto e a capo
%system drive%:\documents anda settings\[utente corrente]\dati applicazioni\hidires\hidr.exe punto e a capo
%system drive%:\windows\system32\wintems.exe\ poi vai a capo
%system drive%:\windows\system32\hldrr.exe
folders to delete:
%system drive%:\documents and settings\[utente corrente]\dati applicazioni\hidires poi a capo
%system drive%:\windows\exefld.poi bisogna disinfettare il registro.
registry keys to delete:
HKLM\SYSTEM\currentcontrolset\services\m_hook
HKLM\SYSTEM\currentcontrolset\enum\root\LEGACY_M_HOOK
registry values to delete:HKLM\software\microsoft\windows\currentversion\run|hldrrr poi invece di mettere system drive metti l'unita del disco fisso dovrebbe essere c:\ e invece di account utente devi mettere l'acconut di cui accedi a windows..eseguiamo il file avenger.exe e confermiamo con ok.nella schermata principale clicca su load script from file e selezione il percorso il blocco note dove hai salvato quello che ho scritto sopra poi con apri.avvia la scansione del pc raffigurante un semaforo poi al termine riavvia il pc.
Avatar utente
edo_aol
Utente Senior
 
Post: 415
Iscritto il: 13/04/07 14:26

Postdi edo_aol » 17/05/07 19:43

poi incomincia ad andare su regedit e a cancellare questa chiave HKEY_CURRENT_USER\software\microsoft\\windows\currentversion\run nella finestra di destra ce hldrrr ci sono due voci drvsyskit e german exe eliminali. poi vai su HKEY_CURRENT_USER\software\datetime4 e HKEY_CURRENT_USER\software\firstRRRun ed eliminale.la provvisoria te la da?se no ti dico come riprisitnarla ciao......e che fatica :P :D
Avatar utente
edo_aol
Utente Senior
 
Post: 415
Iscritto il: 13/04/07 14:26

Postdi pepiona » 17/05/07 21:32

Ciao Edo!

Intanto ti ringrazio della tua pazienza, a spiegarmi tutto

Nonostante abbia cercato di seguire il tuo passo-passo, sono arrivato fino al reg. di confg. HKEY_CURRENT_USER\software\microsoft\\windows\currentversion\run...però non ho trovato le 2 voci da eliminare che dici, cioè;drvsyskit e german exe

A proposito cos'è hldrrr?

Poi sono andato in HKEY_CURRENT_USER\software\..ma non ho trovato datetime4

P.S ho provato a riavviare, ma sia il firewall, che l'antivirus, non vanno, aspetto con ansia altre soluzioni..ciao..Grazie!!
pepiona
Utente Junior
 
Post: 53
Iscritto il: 28/04/07 18:22

Postdi edo_aol » 18/05/07 08:01

hldrrr e un componente di bagle che disattiva i programmi di sicurezza.hai fatto come ho detto riguardo avenger?se si e non e cambiato nulla prova a cercare manualmente su cerca di windows.se no fai il procedimento.
Avatar utente
edo_aol
Utente Senior
 
Post: 415
Iscritto il: 13/04/07 14:26

Postdi Luke57 » 18/05/07 08:20

Ciao, scarica Elibagla da qui:
http://www.zonavirus.com/datos/descarga ... ibagla.asp

Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata

Eseguilo

Ignora eventuali messaggi dell’antivirus

Inoltre, se non risolvi, salva il file .txt con i report degli scan di Gmer come suggerito, poi vai qui:
http://www.easy-share.com/
premi il tasto sfoglia, individua il file con i report creat da Gmer, premi Upload e carica questo file. Ti sarà fornito un lin (il primo) che tu copierai e incollarai in un post per andarlo a vedere.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

sembra andare bene

Postdi pepiona » 18/05/07 21:35

Carissimi, grazie alle vostre preziose indicazioni, ora avast si e avviato, e sembra andare bene...ancora grazie a tutti!! ciao!!
pepiona
Utente Junior
 
Post: 53
Iscritto il: 28/04/07 18:22


Torna a Sicurezza e Privacy


Topic correlati a "cosa debbo fare?":


Chi c’è in linea

Visitano il forum: Nessuno e 120 ospiti