Visualizzazione dei risultati da 1 a 10 su 10
  1. #1

    Worm dopo aver formattato

    Salve ragazzi è da poco che ho formattato il pc, ma il mio Antivir mi segnala la presenza di vari trojan e worm all'interno del mio pc, ho eseguito una scansione del mio HD con HijackThis per vedere se c'è qualche processo sospetto, la lista del log è questa:
    Logfile of HijackThis v1.99.1
    Scan saved at 18.03.00, on 28/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Sygate\SPF\smc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\NVATray.exe
    C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\vphc600.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programmi\WinZip\WZQKPICK.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\dllhost.exe
    C:\DOCUME~1\Mister\IMPOST~1\Temp\Rar$EX00.891\Hija ckThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: (no name) - {CE5ADB4C-F766-9863-CFA0-1F5DCBC614CC} - C:\DOCUME~1\Mister\DATIAP~1\ONEONC~1\shimjump.exe
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [Base window tick love] C:\Documents and Settings\All Users\Dati applicazioni\Hole Intra Base Window\sizeslow.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [phc600] C:\WINDOWS\vphc600.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Real Build] C:\DOCUME~1\Mister\DATIAP~1\INSIDE~1\Typewebonline .exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1146180541265
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{073571C8-F6A6-467C-A853-8212B0CCE7A6}: NameServer = 193.70.192.25,193.70.152.25
    O17 - HKLM\System\CS1\Services\Tcpip\..\{073571C8-F6A6-467C-A853-8212B0CCE7A6}: NameServer = 193.70.192.25,193.70.152.25
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
    O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

    Secondo voi c'è qualche virus/worm in azione?

  2. #2
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Ciao, hai l' Adware.Lop da rimuovere.

    Ti direi cosa fare, ma siccome hanno appena chiuso un topic simile al tuo perchè l'utente (come te) ha postato senza prima leggere la guida in rilievo, allora mi sa che è meglio se segui prima la procedura che ti indico e poi semmai posti il log di Hijackthis.
    http://forum.html.it/forum/showthrea...hreadid=811189


    Ciao
    Pensi di avere un file infetto? Invialo a SuspectFile

  3. #3
    Io prima di postare il log di Hijackthis, ho eseguito attentamente quello che diceva il post da te indicato, e siccome quello che c'era scritto non ha portato i frutti desiderati, ho postato il log, con la speranza che qualcuno mi potesse aiutare

  4. #4
    Comunque ho notato che il worm/spyware si avvia quando apro internet explorer :master:

  5. #5
    C:\DOCUME~1\Mister\IMPOST~1\Temp\Rar$EX00.891\Hija ckThis.exe

    tu hai lanciato hijackthis dalla cartella %temp%. questo significa che non hai letto affatto il punto 4 sull'uso di hijackthis. se vuoi che ti aiutiamo, per favore segui la procedura alla lettera, altrimenti è tempo perso.

  6. #6
    Si hai ragione mi scuso se ho eseguito HijackThis prima di estrarlo correttamente, comunque anche eseguendo la scansione nella maniera corretta, il file di log è indentico a quello postato, l'unico file sospetto è questo C:\DOCUME~1\Mister\DATIAP~1\INSIDE~1\Typewebonline .exe , ma ogni volta che viene cancellato, dopo poco si ripresenta di nuovo

  7. #7
    http://sarc.com/avcenter/venc/data/adware.lop.html

    Scarica Ewido ed aggiornalo.
    Parti dalla provvisoria dopo aver disabilitato il ripristino configurazione di sistema. Lancia una scansione con ewido.
    Usa anche Adware.
    anche questo file è sospetto:

    C:\DOCUME~1\Mister\DATIAP~1\ONEONC~1\shimjump.exe

    non ho notizie su di lui. se puoi, invialo su http://virusscan.jotti.org/ per sapere cos'è. ciao

  8. #8
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Ciascuno fa come meglio crede, ma io chiederei aiuto da altre parti solo quando non riuscissi a risolvere nel primo posto dove ho provato... secondo me è meglio (per te e per chi cerca di aiutarti) seguire le indicazioni di un forum per volta.
    http://www.hwupgrade.it/forum/showth...3#post12178913
    http://www.wintricks.com/forum/showt...81#post1154781
    http://www.ilsoftware.it/forum/viewtopic.php?t=51841

    ne ho dimenticato qualcuno?
    Pensi di avere un file infetto? Invialo a SuspectFile

  9. #9
    Hai proprio ragione holifay, per risolvere questo problema sto cercando aiuto un pò ovunque , ma purtroppo ancora non ho risolto il problema, come dicevo dopo aver fatto scansione con vari software, in modalità provvisoria e non, ed aver disabilitato il ripristino di configurazione, ancora ho questo fastidioso spyware, che come dicevo sempre presentarsi esclusivamente quando apro internet explorer, per ora ho risolto usando browser alternativi, ma non vorrei che questo spyware andasse a interferire con altre applicazioni

  10. #10
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    OK, dai, se vuoi ci proviamo anche noi

    Segui le avvertenze del punto 4 della guida e posta un log nuovo di HijackThis.
    Pensi di avere un file infetto? Invialo a SuspectFile

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.