E' il mio primo messaggio su questo forum, spero di essere utile a mia volta.
Il mio portatile ha preso una "caterba" di virus e malware vari ma dopo aver installato Nod32 la situazione si è calmata se non fosse che:
Ogni qualvolta che apro Internet Explorer [io utilizzo Opera e Firefox] mi compare l'avviso di Nod32 che ha rilevato un malware e lo fixa, sistematicamente ad ogni avvio di explorer.
Poi quando explorer è aperto [spesso anche così, quando è chiuso] compaiono finestre con pubblicità come al solito, casinò, pornografia e chi piu' ne ha piu' ne metta...
Ho fatto log con HiJackThis, ho fixato tutto ciò che mi diceva sul sito eccezzion fatta per alcune librerie .dll che non posso cancellaree sospetto siano proprio lì i virus... si chiama:
c:\windows\system32\xxwuuuu.dll
ed il bello è che navigando con HiJackThis, questa libreria viene utilizzata da TUTTI i processi attivi, compreso il winlogon.exe e via dicendo, quindi non posso cancellarlo in nessun modo. Qualcuno ha una soluzione per me? In ogni caso vi posto l'ultimo log di HiJackThis.
In blu ho segnato il codice dannoso ineliminabile secondo il sito di HiJackThis.Logfile of HijackThis v1.99.1 Scan saved at 06.46.28, on 19/08/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Eset\nod32kui.exe C:\Programmi\MSN Messenger\MsnMsgr.Exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\TechSmith\SnagIt 8\SnagIt32.exe C:\Programmi\TechSmith\SnagIt 8\SnagPriv.exe C:\Programmi\MessengerDiscovery\MessengerDiscovery Live.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\eMule MorphXT\emule\eMule.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\Programmi\Java\jre1.6.0_01\bin\jucheck.exe C:\WINDOWS\explorer.exe C:\Programmi\Opera\Opera.exe C:\Programmi\MSN Messenger\livecall.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\Francesco Ruggero\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6bd569d6-a233-4082-a94a-294b820183d2} - C:\WINDOWS\system32\atlnet.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule MorphXT\emule\eMule.exe -AutoStart O4 - Startup: cms.exe O4 - Global Startup: MacroMaker.lnk = ? O4 - Global Startup: SnagIt 8.lnk = C:\Programmi\TechSmith\SnagIt 8\SnagIt32.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: c:\windows\system32\xxwuuuu.dll O20 - Winlogon Notify: atlnet - C:\WINDOWS\SYSTEM32\atlnet.dll O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
In piu' ho questo sul mio pc:
Windows Xp Professional Services Pack 2
+Nod 32+Firewall di Windows [& quello di Nod32]+HiJackThis
Ringrazio vivamente chiunque mi darà una mano, in ogni caso se serve altro basta dirlo
Rispondi quotando
