Paura di rimuovere i virus manualmente, come fare ad avere supporto?

[oj6676]

Ciao, mi scuso per aver aperto una nuova discussione ma volevo far presente il mio problema perché non ne posso più.
Premetto di aver letto la guida relativa all’ eliminazione di malware, trojan e altri virus scritta da Habanero, ma avendo pura di fare ulteriori disaster volevo prima raccontarvi la situazione.
Ho windows xp e come antivirus Avast 4.7.
Il problema è questo, nel giro di una settimana mi sono beccata trojan e virus tutti assieme e adesso il pc mi si inchioda continuamente ed ha dei grossi problemi a marciare. Fa cose strane e i programmi che uso si chiudono inaspettatamente come anche le pagine internet.
Quelli rilevati da Avast sono:
Win32:Trojan-gen. {Other},
Win32:Agent-gen [Trj],
Win32:NGVCK-E
Win32:Kuang2
Datong.exe, che ad ogni avvio del pc mi viene rilevato immediatamente da Avast assieme al primo trojan e ne avrei anche degli altri ma credo che possa bastare cosi.
Vi elenco cosa ho fatto seguendo la vostra guida.

Ho eliminato i files temporanei,cancellato cronologie e quant’ altro.
Ho lanciato da disconnessa e non delle scansioni da Avast in modalità normale
Ho scaricato ATF Cleaner, Ewido, CWS, Spybot e li ho usati tutti, ovviamente senza risultato perchè gli stessi trojan compaiono con la stessa frequenza.

Non la voglio fare troppo lunga ma il pc anche dopo tutto quel che ho tentato di fare è lentissimo e strano, e non so se tentare di cancellare tutto manualmente. Con l’ inesperienza che ho farei un sicuro casino.
Ho scaricato Hijack this e fatto il log, dove lo devo mandare?
Mi scuso se nn ho rispettato delle regole del Forum ma non è semplice far riferimento a dei virus senza scriverli direttamente. Come farei a spiegarmi?
Vi ringrazio perché ci siete sempre. Ciao a tutti.

[holifay]

Copia / incolla il log di HijackThis qui

[oj6676]

Questo è il log fatto stamattina. Io li spedirei anche ì i iles infetti ma come faccio a sapere dove sono? Devo seguire la directory?
Grazie.Ciao



Logfile of HijackThis v1.99.1
Scan saved at 10.18.10, on 31/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Documents and Settings\Va Lentina\Dati applicazioni\torafacire\systrvsm.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?301
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ioeua] C:\Documents and Settings\Va Lentina\Dati applicazioni\citofarera\sysstvmr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Va Lentina\Dati applicazioni\torafacire\systrvsm.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [fcqe1.exe] C:\WINDOWS\TEMP\fcqe1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: P&&PDIE - {204814EB-2ACB-4EC9-AD28-D2C226384FAC} - C:\Programmi\Popup & Privacy Defender for IE\pdie.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.softlab.name
O17 - HKLM\System\CCS\Services\Tcpip\..\{A394E264-2E42-4208-BCDE-B5794C5086B0}: NameServer = 62.94.0.1,62.94.0.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[holifay]

Visualizza i file nascosti e di sistema:

- apri gestione risorse
- dal menu selezona strumenti >> opzioni cartella
- seleziona il tab visualizzazione
- metti la spunta alla casella visualizza file e cartelle nascoste
- togli la spunta alla casella nascondi file di sistema (consigliato) (trovi l´ozione più in basso)
- clicca Si, poi Applica, poi OK.

Vai in C:\windows\temp e cerca il file fcqe1.exe o altri simili. Di che colore è?


scarica Submit Files Packer ed estrai il file spf.exe sul desktop.
scarica ATFCleaner da Atribune e salvalo sul desktop
Scarica Killbox e salvalo sul desktop.

Avvia HijackThis, poi chiudi tutte le finestre lasciando aperto solo HijackThis. Clicca Do a System Scan only, metti un segno di spunta sulla casella accanto a queste voci (se ancora esistenti) e al temine premi Fix checked

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?301
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O4 - HKLM\..\Run: [ioeua] C:\Documents and Settings\Va Lentina\Dati applicazioni\citofarera\sysstvmr.exe
O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Va Lentina\Dati applicazioni\torafacire\systrvsm.exe
O4 - HKLM\..\Run: [fcqe1.exe] C:\WINDOWS\TEMP\fcqe1.exe
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.softlab.name

Salva queste istruzioni in un file di testo, dato che non potrai consultarle online

Riavvia in modalità provvisoria: premi F8 al Boot subito dopo il caricamento del BIOS e dal menu che comparirà seleziona modalità Provvisoria (safe mode)

seleziona queste righe qui sotto e premi CTRL+C per copiarle negli appunti

• C:\WINDOWS\SERVICES.EXE
  C:\Documents and Settings\Va Lentina\Dati applicazioni\citofarera\sysstvmr.exe
  C:\Documents and Settings\Va Lentina\Dati applicazioni\torafacire\systrvsm.exe
  C:\WINDOWS\TEMP\fcqe1.exe

Apri sfp.exe e premi CTRL+V per incollare all´interno della finestra le righe che hai copiato. Poi premi Continue Il programma ti crea sul desktop un file con un nome simile a questo: requested-file[date].cab.. Lascialo lì per ora

Seleziona adesso queste righe qui sotto e premi CTRL+C per copiarle negli appunti:

• C:\WINDOWS\SERVICES.EXE
  C:\Documents and Settings\Va Lentina\Dati applicazioni\citofarera
  C:\Documents and Settings\Va Lentina\Dati applicazioni\torafacire
  C:\WINDOWS\TEMP

avvia Killbox e seleziona Delete on reboot
- clicca sul pulsante All files
- premi il menu "File" > "Paste from Clipboard". Vedrai che i file e le cartelle copiati prima negli appunti (se trovati) saranno aggiunti all´elenco a tendina
- premi il pulsante rosso con la X bianca (Delete File)
- premi Yes e poi OK ad ogni eventuale messaggio
- se il PC non si riavvia automaticamente riavvialo tu

Dopo il riavvio:

Avvia ATF cleaner clicca sul menu main e poi seleziona la casella Select All. Se usi Firefox o Opera fai la stessa cosa premendo rispettivamente anche su Firefox e Opera (se vuoi mantenere le password deseleziona la rispettiva casella). Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.

manda a www.suspectfile.com l'archivio creato prima da sfp.zip

fai una scansione online con Panda. Al termine clicca sul pulsante See Report e salvalo sul pc.

Posta questi log:
- log di Panda
- log di HijackThis

Ciao

[oj6676]

Ok, faccio immediatamente, appena finito ti faccio sapere qualcosa.
Grazie migliaia.

[oj6676]

Ecco i log finali

Logfile of HijackThis v1.99.1
Scan saved at 13.16.47, on 31/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WIND OWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: P&&PDIE - {204814EB-2ACB-4EC9-AD28-D2C226384FAC} - C:\Programmi\Popup & Privacy Defender for IE\pdie.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A394E264-2E42-4208-BCDE-B5794C5086B0}: NameServer = 62.94.0.1,62.94.0.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Il registro di avast non mi permette di copiare e incollare files dal registro (nn so perchè) ma ma come rapporto di scansione mi dà che ho 0 files infetti. Una domanda. Il cestino di avast va svuotato?
Non ho potuto installare Panda perchè mi andava in conflitto con avast per cui ho utilizzato avast per le scansioni.
Vi ringrazio. Se dovesse ripresentarsi il problema vi contatterò Evviva!!!!!!!!!

[holifay]

dunque, il file che hai inviato era un dialer http://www.suspectfile.com/forum/vie....php?p=924#924

Gli altri file richiesti non sono stati presi da spf.exe... e dal log c'è ancora questa voce che secondo me non dovrebbe esserci:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE

L´avevi eliminata con HijackThis? Puoi riprovare a cancellarla per vedere se va via?

Se non riesci, apri una finestra del DOS e digita:
attrib c:\windows\system.ini -r -h -s +a (invio)
Poi riprova con HijackThis a cancellare quella riga.

Se apri C:/windows con i file nascosti e di sistema visibili vedi il file c:\windows\services.exe? Non confonderti con quello in c:\wndows\system32 che è legittimo!!

Ciao