Visualizzazione dei risultati da 1 a 10 su 10
  1. #1

    Games2004_270....Virus...Richiesta di aiuto

    Salve,
    è la prima volta che scrivo in questo forum e spero mi possiate dare una mano a risolvere un problema con il pc...


    E’ ormai da parecchio che cerco di risolverlo ma senza riuscirci.
    Praticamente ogni volta che riavvio e provo a collegarmi in rete,
    la connessione avviene regolarmente ma dopo pochi secondi si disconnette da solo e si forma una nuova connessione
    che prende il nome di“games2004_270”
    e prima delle scansioni prendeva il nome di
    "games2004_302"
    questa prova a connettersi alla rete usando numeri sempre diversi spesso anche esteri....
    e questo mi preoccupa perchè i tentativi di connessione non sono visibili.

    La cosa incredibile è che una volta fallito il tentativo di collegamento a internet sparisce dalle connessioni di rete,
    per poi ricomparire al successivo riavvio del pc.

    Questo problema mi si è presentato poco dopo essermi scaduto Norton a cui purtroppo ho dato poca importanza
    e non mi sono accorta subito dei problemi,
    se non quando mi sono ritrovata il pc invaso da virus, trojan e programmi in esecuzione automatica....
    tra cui Rundl32 da non confondersi però con il file di Windows Rundll32…
    e inoltre ad ogni riavvio stranamente mi si apriva anche la finestra Windows Update che poi spariva subito ma non scaricava nulla
    e non ho mai capito cosa centrasse...

    Ho fatto numerose scansioni online che mi hanno trovato diversi file infetti e virus, tra cui:
    Download Trojan, Trojan startpage, VBS INOR.P, Troj smal.anp quest’ultimo segnalato dentro “Sistem volume informazioni” ;

    comunque grazie alle varie scansioni online, e programmi che ho installato sul pc credo di essere riuscita ad eliminare tutti i virus
    o almeno è quello che spero...

    Il problema adesso, resta questo dialer che a quanto pare,
    va a modificare i file di registro ad ogni riavvio del pc...


    Ora ho Norton aggiornato con cui faccio spesso scansione anche in modalità provvisoria
    ma non trova assolutamente niente, ho provato anche con il PC cillin 2005 ma anche questo non trova nulla;
    faccio girare spesso anche “Spyware Doctor”....”Ad-aware SE Personal”....”RegSeeker”....”WinDoctor”.... ho fatto anche lo speed disk ma il problema sembra persistere ad ogni riavvio.

    Facendo scansione invece con “SpyBot-Searh & Destroy”, trova un problema DSO EXPLOIT che me lo segnala in rosso,
    contenente 5 elementi che modificano il registro…..li elimino ogni volta e mi dice che il problema è stato risolto ma ad ogni scansione il problema si ripresenta...


    Ragazzi io non so più cosa fare....
    tutto ciò che era nelle mie conoscenze e capacità l’ho fatto...

    Vi chiedo se potete di aiutarmi, se qualcuno ha avuto lo stesso problema, oppure se sapete come fare.....
    non vorrei formattare ma non so più da sola come risolvere questo problema....
    inoltre ho paura a connettermi perché temo mi arrivi una bolletta telefonica da capogiro,
    infatti in questo periodo sto evitando e quando posso lo faccio da casa di mia mamma usando il suo pc...
    Se potete aiutarmi ve ne sarei assai grata!
    Il mio sistema operativo è Windows xp home e uso explorer con connessione analogica 56k.

    Un grazie di cuore a coloro che vorranno aiutarmi
    e una buona giornata a tutti. :*

  2. #2
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    benvenuta,
    per favore scrive pure in nero, diversamente ciò che scrivi risulta di difficile lettura.

    Alcune cosiderazioni e suggerimenti
    all'URL
    http://forum.html.it/forum/showthrea...hreadid=235578
    (è in Rilievo in questa sezione del forum) trovi le nuove versioni di AdAware e SpyBot, quello che mi sento di consigliarti è di disinstallare quelle presenti sul tuo pc e di installare le nuove release, ricordati che vanno eliminate anche, eventualmente, le cartelle in Programmi.
    Per quanto riguarda il problema del falso positivo di SpyBot (Exploit) è duvuto ad un bug presente nella versione 1.3, bug che comunque era possibile eliminare installando un patch, nella versione nuova, la 1.4, il problema è stato risolto.
    Per quanto riguarda Spyware Doctor, è un software che crea più danno che altro essendo lui stesso un software capace d'installare materiale adware (pubblicità).

    Veniamo al problema dialer, per tamponare il problema di connessione non autorizzata, almeno per il momento, e successivamente risolvere la questione avendo tu una connessione analogica, ti consiglio d'installare Stop Dialers 3.1 LE l'utilizzo del programma è molto semplice, così come è di facile comprensione la guida per il suo corretto utilizzo
    http://www.socket2000.com/index.asp?id=1


    Una volta installati questi tre programmi ed aver aggiornato (!!!) le definizioni di AdAware e di SpyBot, fai una scansione con questi due antispyware, elimina ogni voce infetta, ricordati che dopo ogni scansione e rimozione devi riavviare il computer.

    Allo stesso URL (il primo che ti ho postato) trovi anche il modo di scaricarti HijackThis, è presente anche un tutorial, se non risolvi esegui unoa scansione con HijackThis e posta qui il log, mi raccomando di seguire tutte le informazioni presenti nel tutorial
    - directory corretta dove dev'essere inserito HijackThis
    - scansione corretta


    P.S.
    dimenticavo
    il System volume information è una cartella dove tendono ad installarsi molti file infetti, essendo una cartella protetta (od almeno dovrebbe esserlo...) difficilmente dopo una scansione fatta con l'antivirus il problema viene risolto, proprio perchè protetta.
    L'unica soluzione è quella di disabilitare il ripristino di configurazione di sistema (System restore)
    all'URL trovi come fare

    http://sicurezza.html.it/articoli/ar...i=23&npagina=1
    ==
    Visita il mio blog SuspectFile.com
    ==

  3. #3
    Utente di HTML.it L'avatar di t_bee
    Registrato dal
    Feb 2002
    Messaggi
    125
    la connessione avviene regolarmente ma dopo pochi secondi si disconnette da solo e si forma una nuova connessione
    che prende il nome di “games2004_270”
    ciao anche a me è successa la stessa identica cosa e dopo aver seguito i consigli del forum ho risolto.

    Una cosa importante che devi fare però è CHIAMARE IL 187(telecom) E FARTI DISABILITARE TUTTI I NUMERI A TARIFFA SPECIALE COME 144, 166, 709, 899 E INTERNAZIONALI DI FASCIA 7!!!

    Quel dialer infatti ti collega a tali numeri e costa 12 - DICO 12!!! - euro al minuto!!!

    Se ti arriva poi la bolletta salata, fatti mandare il dettaglio, paga solo il traffico regolare e vai a fare denuncia alla polizia postale della tua zona.
    Io ho fatto così seguendo le indicazioni sul sito www.poliziadistato.it

    Alla polizia mi han detto di denunciare il più possibile perchè la telecom ne approfitta...delle entrate di questi numeri prende il 30%!!! Figli di buona donna...

  4. #4
    Originariamente inviato da amvinfe

    Allo stesso URL (il primo che ti ho postato) trovi anche il modo di scaricarti HijackThis, è presente anche un tutorial, se non risolvi esegui unoa scansione con HijackThis e posta qui il log, mi raccomando di seguire tutte le informazioni presenti nel tutorial
    - directory corretta dove dev'essere inserito HijackThis
    - scansione corretta
    [/url]

    Ciao,
    ti ringrazio moltissimo per avermi risposto e per i consigli che mi hai dato, eseguiti alla lettera per come mi hai suggerito di fare...e sperando questa volta di essermi liberata del problema, ti allego qui il log della scansione fatta con HijackThis, per come mi chiedi.



    Logfile of HijackThis v1.99.1
    Scan saved at 16.36.35, on 09/06/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programmi\Norton AntiVirus\navapsvc.exe
    C:\Programmi\Norton Utilities\NPROTECT.EXE
    C:\Programmi\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
    C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programmi\Speed Disk\nopdb.exe
    C:\Programmi\ltmoh\Ltmoh.exe
    C:\Programmi\Launch Manager\LaunchAp.exe
    C:\Programmi\Launch Manager\PowerKey.exe
    C:\Programmi\Launch Manager\HotkeyApp.exe
    C:\Programmi\Launch Manager\CtrlVol.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Launch Manager\Wbutton.exe
    C:\Programmi\Winamp\winampa.exe
    C:\WINDOWS\wavdriver.exe
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
    C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 La Mia Edizione Personalizzata\CalCheck.exe
    C:\Programmi\WinZip\WZQKPICK.EXE
    C:\Programmi\Norton Utilities\SYSDOC32.EXE
    C:\Programmi\Messenger\msmsgs.exe
    C:\Documents and Settings\kappa\Desktop\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
    O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1629.0\it\msntb.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [LaunchApp] LaunApp
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
    O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
    O4 - HKLM\..\Run: [HotkeyApp] C:\Programmi\Launch Manager\HotkeyApp.exe
    O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
    O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
    O4 - HKLM\..\Run: [WorksFUD] c:\Programmi\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programmi\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programmi\Microsoft Works\WkDetect.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
    O4 - HKLM\..\Run: [glv] C:\WINDOWS\glv.exe
    O4 - HKLM\..\Run: [avirex] "C:\WINDOWS\avirex.exe"
    O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
    O4 - Global Startup: Agenda Calendario per la Mia Edizione Personalizzata di Ulead Photo Express 4.0.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 La Mia Edizione Personalizzata\CalCheck.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
    O4 - Global Startup: Norton System Doctor.lnk = C:\Programmi\Norton Utilities\SYSDOC32.EXE
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton Utilities\NPROTECT.EXE
    O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
    O23 - Service: Speed Disk service - Symantec Corporation - C:\Programmi\Speed Disk\nopdb.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

  5. #5
    Utente di HTML.it L'avatar di Cinder
    Registrato dal
    Oct 2002
    Messaggi
    321
    - directory corretta dove dev'essere inserito HijackThis


    Crea una nuova cartella in C: o in C:\programmi chiamala HJT e copiaci dentro il file HijackThis.exe come spiega il tutorial:

    http://www.alground.com/sicurezza/articolo.php?page=16

    Ora con tutti i programmi chiusi e non connessa apri HijackThis, metti la spunta alle seguenti voci e clicca su fix checked

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about :blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about :blank

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

    O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)

    O4 - HKLM\..\Run: [glv] C:\WINDOWS\glv.exe

    O4 - HKLM\..\Run: [avirex] "C:\WINDOWS\avirex.exe"

    O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"



    Riavvia in modalita provvisoria e da opzioni cartella metti la spunta alla voce visualizza file nascosti e togli la spunta alla voce nascondi file e cartelle di sistema, conferma con ok ed infine cerca ed elimina i file:

    glv.exe
    avirex.exe
    wavdriver.exe

    Sempre dalla provvisoria elimina tutti i file temporanei, riavvia in modalità normale posta un nuovo log e aspetta che gli dia un occhio Amvinfe.

    Per il resto segui tutti i suoi consigli
    Zoccola informatica in pensione

  6. #6
    Grazie



    Non essendo molto pratica ho paura di non riuscire ad eseguire in modo corretto ciò che mi hai consigliato di fare...
    Se cerco direttamente questi file con la ricerca...

    glv.exe
    avirex.exe
    wavdriver.exe

    e li elimino manualmente è lo stesso?

  7. #7
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Come già ti ha suggerito Cinder, leggiti il tutorial
    http://www.alground.com/sicurezza/articolo.php?page=16
    e segui alla lettera ciò che viene consigliato.

    Ad es. (come già ti è stato suggerito)
    crea una nuova cartella, metti al suo interno il file HijackThis.exe e posiziona il tutto in C:\Programmi

    Quando metti il segno di spunta al fianco dei valori che devi rimuovere con HijackThis, prima di cliccare su "Fix checked" il browser dev'essere chiuso.

    Quando devi rimuovere i file, devi necessariamente farlo dalla modalità provvisoria, el 3d in Rilievo (il primo in alto) ti viene spiegato come accedere in tale modalità.

    Due sono le cose importanti:
    mettere l'eseguibile di HijackThis all'interno di una nuova cartella e collocarla in C:\Programmi (questo ti aiuterà nel caso sbagliassi a cancellare qualcosa e volessi ripristinare senza problemi il tutto)

    leggiti il tutorial
    ==
    Visita il mio blog SuspectFile.com
    ==

  8. #8
    Utente di HTML.it L'avatar di Cinder
    Registrato dal
    Oct 2002
    Messaggi
    321
    *Divina* Rousel sono passaggi che puoi eseguire senza problemi, ma se hai poca dimestichezza con tali operazioni leggiti bene il tutorial e poi effettui la rimozione
    Zoccola informatica in pensione

  9. #9
    Allora...

    ho eseguito alla lettera ciò che mi avete consigliato e adesso sembrerebbe tutto a posto, se non fosse che facendo la scansione online con il Norton mi rileva 8 file infetti che invece non trova facendo la scansione direttamente con il Norton installato sul pc(peraltro aggiornato).
    Questi sono i risultati della scansione online:



    " 79975 file esaminati, 8 file infettato/i.

    Nella memoria non è stato rilevato alcun virus.

    La scansione ha rilevato uno o più virus nei file esaminati.


    C:\System Volume Information\_restore{14FA416F-387E-439E-B21B-ABAEE7E86D97}\RP267\A0053753.RB0 è infettato con Download.Trojan
    C:\System Volume Information\_restore{14FA416F-387E-439E-B21B-ABAEE7E86D97}\RP267\A0053753.RB1 è infettato con Download.Trojan
    C:\System Volume Information\_restore{14FA416F-387E-439E-B21B-ABAEE7E86D97}\RP267\A0053753.RB2 è infettato con Download.Trojan
    C:\System Volume Information\_restore{14FA416F-387E-439E-B21B-ABAEE7E86D97}\RP267\A0053753.RB3 è infettato con Download.Trojan
    C:\System Volume Information\_restore{14FA416F-387E-439E-B21B-ABAEE7E86D97}\RP267\A0053753.RB4 è infettato con Download.Trojan
    C:\System Volume Information\_restore{14FA416F-387E-439E-B21B-ABAEE7E86D97}\RP264\A0052925.RB0 è infettato con Download.Trojan
    C:\System Volume Information\_restore{14FA416F-387E-439E-B21B-ABAEE7E86D97}\RP264\A0052959.RB0 è infettato con Download.Trojan
    C:\System Volume Information\_restore{14FA416F-387E-439E-B21B-ABAEE7E86D97}\RP264\A0052959.RB1 è infettato con Download.Trojan "



    Posto anche i log della nuova scansione HijackThis



    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programmi\Norton AntiVirus\navapsvc.exe
    C:\Programmi\Norton Utilities\NPROTECT.EXE
    C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
    C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programmi\ltmoh\Ltmoh.exe
    C:\Programmi\Launch Manager\LaunchAp.exe
    C:\Programmi\Launch Manager\PowerKey.exe
    C:\Programmi\Launch Manager\HotkeyApp.exe
    C:\Programmi\Launch Manager\CtrlVol.exe
    C:\Programmi\Launch Manager\Wbutton.exe
    C:\Programmi\Norton AntiVirus\SAVScan.exe
    C:\Programmi\Winamp\winampa.exe
    C:\Programmi\File comuni\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Programmi\Speed Disk\nopdb.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 La Mia Edizione Personalizzata\CalCheck.exe
    C:\Programmi\WinZip\WZQKPICK.EXE
    C:\Programmi\Norton Utilities\SYSDOC32.EXE
    C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\HJT\HijackThis.exe
    C:\WINDOWS\system32\wuauclt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1629.0\it\msntb.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [LaunchApp] LaunApp
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
    O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
    O4 - HKLM\..\Run: [HotkeyApp] C:\Programmi\Launch Manager\HotkeyApp.exe
    O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
    O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
    O4 - HKLM\..\Run: [WorksFUD] c:\Programmi\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programmi\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programmi\Microsoft Works\WkDetect.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - Global Startup: Promemoria del Calendario di Microsoft Works.lnk = ?
    O4 - Global Startup: Agenda Calendario per la Mia Edizione Personalizzata di Ulead Photo Express 4.0.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 La Mia Edizione Personalizzata\CalCheck.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
    O4 - Global Startup: Norton System Doctor.lnk = C:\Programmi\Norton Utilities\SYSDOC32.EXE
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
    O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton Utilities\NPROTECT.EXE
    O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
    O23 - Service: Speed Disk service - Symantec Corporation - C:\Programmi\Speed Disk\nopdb.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe



    Che devo fare?

  10. #10
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    System Volume Information è una cartella protetta, od almeno dovrebbe esserlo, l'unico modo per eliminare i valori infetti rilevati dalla scansione online è disabilitare il ripristino di configurazione di sistema, all'URL più sotto trovi nel dettaglio come fare
    http://sicurezza.html.it/articoli/ar...i=23&npagina=1

    aggiungo inoltre che è quantomai strano che Norton installato sul tuo pc non ti segnali almeno la presenza di questi valori, come ho scritto più sopra la System Volume Information è una cartella protetta e come tale un antivirus dovrebbe riuscire a segnalare l'eventuale presenza di valori infetti, anche se poi nulla può fare per eliminarli.

    Ricordati una volta disabilitato il ripristino di riavviare salvo poi riattivare lo stesso, esegui per sicurezza una seconda scansione online.
    ==
    Visita il mio blog SuspectFile.com
    ==

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.