Date un'occhiata al mio Logfile of HijackThis, per favore?

[massimo-65]

sono stato colpito da un virus che mi ha cambiato home page e sfondo del monitor. Ho seguito le istruzioni consigliate da questo forum che mi ha anche consigliato di far visionare il risultato dello scan a qualcuno di voi più esperti di me. che ne dite?

già che ci sono chiedo anche questo: quando ho individuato i file da eliminare che devo fare? Li selezione e poi?...ci sono due tasti 'Scan' e 'Fix Checked?...

grazie, Max

------------------
Logfile of HijackThis v1.99.1
Scan saved at 11.12.34, on 15/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Miramar\PC MACLAN\ATMsg.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\Miramar\PC MACLAN\ATSERVER.EXE
C:\Programmi\Miramar\PC MACLAN\ATSPOOL.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?Link...r=6&ar=msnhome
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fujitsu-siemens.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Miramar Systems, Inc.] C:\Programmi\Miramar\PC MACLAN\atmsg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AlfaCleaner] C:\Programmi\AlfaCleaner\AlfaCleaner.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Cl.../OCI/setup.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104762067403
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B346A28-04E5-4166-8B3C-7523479A00D3}: NameServer = 151.99.0.100,151.99.125.2
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AppleTalk Messenger (ATMsg) - Miramar Systems Inc. - C:\Programmi\Miramar\PC MACLAN\ATMsg.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Miramar AppleTalk File Server - Miramar Systems Inc. - C:\Programmi\Miramar\PC MACLAN\ATSERVER.EXE
O23 - Service: Miramar AppleTalk Print Server - Miramar Systems Inc. - C:\Programmi\Miramar\PC MACLAN\ATSPOOL.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

[amvinfe]

AlfaCleaner:

installa SpyBot, sicuramente ha nel proprio database le impronte virali per eliminare questa minaccia.
Trovi il software all'interno del 3d "Link utili" posto in rilievo, una volta installato aggiorna il database;


Da Pannello di controllo/Installazioni applicazione
verifica se è presente il software AlfaCleaner e rimuovilo, rimuovi eventualmente anche la cartella posta in C:\Programmi\AlfaCleaner

quindi dopo lo scan con HijackThis e dopo aver chiuso tutti gli altri programmi, browser compreso, metti la spunta al fianco di questo valore e clicca su Fix checked
O4 - HKLM\..\Run: [AlfaCleaner]C:\Programmi\AlfaCleaner\AlfaCleaner.exe
è associato ad un software che installa dello spyware, quindi va rimosso.

Esegui una scansione con SpyBot, elimina i valori infetti. Riavvia il computer esegui una nuova scansione con HijackThis, posta il log.



P.S.
Prima di eseguire le suddette operazioni, verifica se è presente nel disco il file AlfaCleaner.exe, zippalo ed invialo, per cortesia, a

SuspectFile

Grazie

[massimo-65]

Grazie e dei consigli. Ho fatto tutto quello che hai suggerito. Rimane un fatto che non riesco a spiegare: lo sfondo dello schermo è ancora 'comandato' da un file://C:\WINDOWS\warnhp.html che però NON c'è più nel computer ( o per lo meno se faccio una ricerca non sembra esserci più).
Ho riavviato più volte ma lo stesso cerca questo file, che non essendoci più provoca un fondo bianco che non riesco ad eliminare in nessun modo.
Hai un'idea?
grazie
Max

[Habanero]

prova così:

tasto destro sul desktop (dove non ci sono icone)->proprietà
scegli la scheda "Desktop" e premi il pulsante "Personalizza Desktop..."
Scegli la scheda "Web".
Deseleziona ed ELIMINA tutte le voci che vengono indicate.

[massimo-65]

GRAZIE ORA E' TUTTO A POSTO.
sei stato preziosissimo. come sempre questo forum è fantastico, unarisorsa preziosissima anche per i meno esperti come me.

Una sola cosa: in realtà se clicco col destro sul monitor non appare la scheda Personalizza Desktop...ma non è stato un problema perchè l'ho recuperata in proprietà di sistema/schermo e poi ho fatto come dicevi.

grazie ancora
Max