Worm dopo aver formattato

[GiulioCesare]

Salve ragazzi è da poco che ho formattato il pc, ma il mio Antivir mi segnala la presenza di vari trojan e worm all'interno del mio pc, ho eseguito una scansione del mio HD con HijackThis per vedere se c'è qualche processo sospetto, la lista del log è questa:
Logfile of HijackThis v1.99.1
Scan saved at 18.03.00, on 28/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\NVATray.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vphc600.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\DOCUME~1\Mister\IMPOST~1\Temp\Rar$EX00.891\Hija ckThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {CE5ADB4C-F766-9863-CFA0-1F5DCBC614CC} - C:\DOCUME~1\Mister\DATIAP~1\ONEONC~1\shimjump.exe
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Base window tick love] C:\Documents and Settings\All Users\Dati applicazioni\Hole Intra Base Window\sizeslow.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [phc600] C:\WINDOWS\vphc600.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Real Build] C:\DOCUME~1\Mister\DATIAP~1\INSIDE~1\Typewebonline .exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1146180541265
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{073571C8-F6A6-467C-A853-8212B0CCE7A6}: NameServer = 193.70.192.25,193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{073571C8-F6A6-467C-A853-8212B0CCE7A6}: NameServer = 193.70.192.25,193.70.152.25
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

Secondo voi c'è qualche virus/worm in azione?

[holifay]

Ciao, hai l' Adware.Lop da rimuovere.

Ti direi cosa fare, ma siccome hanno appena chiuso un topic simile al tuo perchè l'utente (come te) ha postato senza prima leggere la guida in rilievo, allora mi sa che è meglio se segui prima la procedura che ti indico e poi semmai posti il log di Hijackthis.
http://forum.html.it/forum/showthrea...hreadid=811189


Ciao

[GiulioCesare]

Io prima di postare il log di Hijackthis, ho eseguito attentamente quello che diceva il post da te indicato, e siccome quello che c'era scritto non ha portato i frutti desiderati, ho postato il log, con la speranza che qualcuno mi potesse aiutare

[GiulioCesare]

Comunque ho notato che il worm/spyware si avvia quando apro internet explorer :master:

[thomas_anderson]

C:\DOCUME~1\Mister\IMPOST~1\Temp\Rar$EX00.891\Hija ckThis.exe

tu hai lanciato hijackthis dalla cartella %temp%. questo significa che non hai letto affatto il punto 4 sull'uso di hijackthis. se vuoi che ti aiutiamo, per favore segui la procedura alla lettera, altrimenti è tempo perso.

[GiulioCesare]

Si hai ragione mi scuso se ho eseguito HijackThis prima di estrarlo correttamente, comunque anche eseguendo la scansione nella maniera corretta, il file di log è indentico a quello postato, l'unico file sospetto è questo C:\DOCUME~1\Mister\DATIAP~1\INSIDE~1\Typewebonline .exe , ma ogni volta che viene cancellato, dopo poco si ripresenta di nuovo

[thomas_anderson]

http://sarc.com/avcenter/venc/data/adware.lop.html

Scarica Ewido ed aggiornalo.
Parti dalla provvisoria dopo aver disabilitato il ripristino configurazione di sistema. Lancia una scansione con ewido.
Usa anche Adware.
anche questo file è sospetto:

C:\DOCUME~1\Mister\DATIAP~1\ONEONC~1\shimjump.exe

non ho notizie su di lui. se puoi, invialo su http://virusscan.jotti.org/ per sapere cos'è. ciao

[holifay]

Ciascuno fa come meglio crede, ma io chiederei aiuto da altre parti solo quando non riuscissi a risolvere nel primo posto dove ho provato... secondo me è meglio (per te e per chi cerca di aiutarti) seguire le indicazioni di un forum per volta.
http://www.hwupgrade.it/forum/showth...3#post12178913
http://www.wintricks.com/forum/showt...81#post1154781
http://www.ilsoftware.it/forum/viewtopic.php?t=51841

ne ho dimenticato qualcuno?

[GiulioCesare]

Hai proprio ragione holifay, per risolvere questo problema sto cercando aiuto un pò ovunque , ma purtroppo ancora non ho risolto il problema, come dicevo dopo aver fatto scansione con vari software, in modalità provvisoria e non, ed aver disabilitato il ripristino di configurazione, ancora ho questo fastidioso spyware, che come dicevo sempre presentarsi esclusivamente quando apro internet explorer, per ora ho risolto usando browser alternativi, ma non vorrei che questo spyware andasse a interferire con altre applicazioni

[holifay]

OK, dai, se vuoi ci proviamo anche noi

Segui le avvertenze del punto 4 della guida e posta un log nuovo di HijackThis.