virus che crea eseguibili nella cartella temp [era:Virus...tanti virus!]

**Toro Scatenato** · 29-04-2007, 16:09

Salve a tutti ragazzi, ho un grosso problema che non riesco ad eliminare e siccome un mio amico mi ha parlato bene del forum riporgo in voi le mie ultime speranze prima di formattare!
Vi spiego...
Ho avast! come antivirus, aggiornato sempre. Poi ho Spyware Terminator, Spybot, AVG, Spyware Blaster e CCleaner che anche se non elimina virus aiuta molto, infine Hijacktihs. Il problema è questo: da quello che ho capito grazie all'aiuto di amici e programmi ho un virus nel registro di sistema. Ho fatto scansioni con tutti i programmi sopra elencati, scansioni online e analisi con Registry Mechanic ma nulla... Questo virus mi genera dei file exe e altri tipi nella cartella Temp del mio account ma anche se analizzo questi file non trova nulla...fatto sta che dopo un pò Spyware Terminator comincia a bloccare i processi di questi stessi file e prima o poi tutti finiscono nel cestino di avast! perchè mi rileva un virus in questi file, fatto sta che prima non rileva nulla! I file hanno tutti nomi tipo questi: 33exgmi.7, 35exinjs.a8, 40exa50p.a ecc ecc...
Ovviamente ne ho più di 3 e pensate che il cestino di avast! ne è pieno! Che devo fare??? Help me!!!

**Toro Scatenato** · 29-04-2007, 16:12

Volevo aggiungere anche un log di Hijackthis fatto poco fa...
Logfile of HijackThis v1.99.1
Scan saved at 16.10.42, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\windows\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\SLEE503.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\windows\system32\svchost.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\windows\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\windows\System32\svchost.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programmi\WinClamAVShield\sp_clamsrv.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Amministratore\Documenti\Hijakcthis\Hijac kThis.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Windows Media Player\wmplayer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe "
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language. exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [.nvsvc] C:\windows\system\smss.exe /w
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [System UI Uploader] C:\Documents and Settings\Amministratore\Dati applicazioni\UI_Upd_DLLT.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [jugsstyle] C:\DOCUME~1\AMMINI~1\DATIAP~1\SLOWPR~1\regs four.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europ...vex/hcImpl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\windows\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programmi\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: DirectX Service (Wavyr) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)

Io volevo fixare la seguente voce:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Aggiungo anche che di PC me ne intendo anche se non in maniera esagerata, però voglio e sto imparando quindi vi chiedo gentilmente di essere esaurienti sulle spiegazioni!

Grazie a tutti!

**tognazzi** · 29-04-2007, 16:24

ciao toro, benvenuto.
è utile mettere nel titolo un riferimento preciso se avast! ti dà un avviso. "virus, molti virus" è un po' la ragione per cui tutti postano qui

oltre alla voce che tu stesso hai indicato fixa:

O4 - HKCU\..\Run: [jugsstyle] C:\DOCUME~1\AMMINI~1\DATIAP~1\SLOWPR~1\regs four.exe
O23 - Service: DirectX Service (Wavyr) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe

**Toro Scatenato** · 29-04-2007, 16:41

è vero scusate! Grazie per l'aiuto, comunque ho fixato le voci che mi hai detto ma una non va via, la fixo ma se faccio di nuovo scan c'è ancora:
O23 - Service: DirectX Service (Wavyr) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)

E appena ho riavviato (perchè mi chiedeva di riavviare) Ho dovuto spostare 2 file infetti nel cestino! Uno poco dopo e inoltre ogni tanto devo bloccare dei file sempre con quei nomi strani...qualche idea?

**tognazzi** · 29-04-2007, 16:50

http://virusinfo.prevx.com/pxparall....&psection=desc

scarica prevx e rimuovi il viruz. una volta rimosso il viruz disinstalla prevx perché è un trial, un software che puoi provare per un periodo limitato. se lo tieni installato e termina il periodo di prova non avrai la possiblità di usarlo se ti servirà in futuro.

**Toro Scatenato** · 29-04-2007, 16:51

Ma è un antivirus?

**tognazzi** · 29-04-2007, 16:52

Originariamente inviato da Toro Scatenato
Ma è un antivirus?

si. ed è molto buono.

**Toro Scatenato** · 29-04-2007, 16:52

Quindi devo prima toglere avast! per evitare un conflitto no?

**tognazzi** · 29-04-2007, 16:58

non c'è bisogno di disinstallarlo. è sufficiente che mentre usi prevx avast! sia temporaneamente disabilitato. può essere che mentre installi prevx l'uno o l'altro programma ti diano un avviso che ti segnala il potenziale conflitto. perciò disconnettiti da internet, disabilita temporaneamente avast!, installa prevx. quando con prevx hai finito disinstalli lo stesso prevx e abiliti di nuovo avast!.

**Toro Scatenato** · 29-04-2007, 17:00

Uso un router a connessione continua (com'è che si dice???) Comunque non credo che funzionerà perchè quel virus mi genera dei file che poi infetta (che forse infetta lui stesso!) Quindi non so...comunque appena ho tempo provo...non è che risponderesti al mio messaggio privato?

Discussione: virus che crea eseguibili nella cartella temp [era:Virus...tanti virus!]

Strumenti discussione

Ricerca discussione

Visualizza

Virus...tanti virus!

Permessi di invio