Aiutatemi con virus!!

[kass]

Ciao a tutti,
il mio problema è con dei virus che AVG riconosce ma non elimina: startpage.ade e downloader.agent 13 AT. Seguendo i consigli trovati su questo forum ho svuotato la cartella dei file temp. , ho fatto girare in modalità provvisoria sia AVG che gli antispyware, ho effettuato una scansione online che ha evidenziato gli stessi virus nella cartella c:windows/applicationdata/sun/java/deployment/cache/javapi/v.1.0/jar . Ora vi posto il logfile di Hijack This nella speranza che mi diciate cosa cancellare.
Grazie in anticipo.

Logfile of HijackThis v1.99.1
Scan saved at 14.54.17, on 25/04/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\CY_BG.EXE
C:\PROGRAMMI\WINAMP\WINAMPA.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Virgilio
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMMI\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [POINTER] C:\Programmi\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [CY_BG] C:\WINDOWS\CY_BG.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: Next Banca e cassa.lnk = C:\Programmi\Next Gestionale\Ricorrenze.exe
O4 - Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMMI\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot8_x.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.coolstreaming.us/tvkoo/KooPlayer.ocx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...bscan_ansi.cab

[thomas_anderson]

Hai installato per caso driver USB di recente? ciao

[kass]

Un hard disk esterno e Alice adsl ma non cosi di recente . E comunque il pc risultava pulito fino ad oggi. Ho dimenticato di dire prima che il sistema è stabile.
Ciao. Grazie.

[thomas_anderson]

L'unico file un pò sospetto che avevo visto è C:\WINDOWS\CY_BG.EXE, ma come mi hai confermato tu è legato a dei driver usb (ho anche fatto una ricerca). il percorso che tu mi hai dato mi insospettisce. credo si tratti di un falso positivo. comunque sia, qual'è il nome dei file? prova a farli analizzare su jotti.virusscan.org.

[thomas_anderson]

Puoi sempre svuotare la cache del JRE:

http://java.com/it/download/help/plugin_cache.xml

[holifay]

Ciao, elimina il file windfind.exe (in C:\WINDOWS\SYSTEM) e con Hijackthis metti un segno di spunta accanto a questa voce e premi "Fix selected".

O4 - HKLM\..\Run: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe

http://www.bleepingcomputer.com/star...d.exe-388.html

comunque anche con una ricerca sul forum... http://forum.html.it/forum/showthrea...hreadid=605251


Come ti diceva Thomas, svuota comunque la cache di Java e se non hai l'ultima versione, disinstallala e scarica l'ultima release.

[kass]

Ciao,
innanzi tutto grazie per l'aiuto !!
Allora......per quanto riguarda lo svuotamento della cache non ho potuto effettuare l'operazione dal pannello di controllo java in quanto non risulta esserci l'opzione cache>cancella ( forse è perchè ho win 98? ) . Ho cancellato manualmente il contenuto della cartella cache/jar ed i virus non compaiono più nè con AVG nè con Kaspersky.
Per windfind.exe tutto ok con hijack ( log nuovo verificato ) ma nella cartella c:windows/system non c'è il file da cancellare e non risulta neanche da ricerca file. Mah!
Che sia stato già cancellato da precedente azione antivirus/antispyware?
Un'ultima cosa ,visto che posso approfittare della vostra competenza: la terzultima e quartultima riga del logfile di hijack, relative a games di yahoo, possono aver a che fare con icone desktop giochi scaricati da yahoo che non accettano il comando "elimina" ? Se elimino le suddette righe con hijack risolvo?
Ciao e ancora grazie.

[thomas_anderson]

Prima devi svuotare la cartella Downloaded Program files che si trova in C:\windows. poi puoi eliminare le voci che non ti servono.

ps. non te l'ho detto, ma anch'io uso win 98 se!

[kass]

Ok! Fatto tutto!
Il mio PC non è mai stato così pulito!
Grazie ancora ! Ciao!