Ho preso un virus...! Aiuto!!!

[RobS]

Ho preso qualcosa di serio.
Ho formattato qualche giorno fa, dopo aver preso il sasser. Reinstallato tutto, patchato, tutto perfetto, finchè non ho preso un nuovo virus(?) o qualcosa del genere.
Mi ha cancellato il programma CWShredder e quando provo a riscaricarlo mi chiude tutte le applicazioni.
Stessa cosa per spybot S&D!!!
AdAware l'ha lasciato ma non trova nulla
Ho provato a scaricare il CoolWWWSearch.SmartKiller removal tool ma non trova nulla.
Non mi fa entrare nel regedit per cambiare la pagina iniziale.
Mi chiude tutte le pagine del forum di cwshredder e non mi fa scaricare i programmi...
Sono disperato...
Basta...
Non ne posso + di virus e affini...

Cosa mi consigliate?

[amvinfe]

vai in -links utili- è in Rilievo, scarica HiajckThis per l'uso c'è un tutorial, posta un Log qui in questo 3d.

[RobS]

Il problema grosso è che il virus o quello che è non mi fa usare i programmi per stanarlo, compreso quello da te citato.
L'unico che gli ha resistito è Ad Aware ma non trova nulla...
Qui potrebbero essermi di aiuto ma ovviamente appena clicco su qualche pagina del forum il maledetto mi chiude tutte le finestre...

Sono sicuro che i programmi sull'HD ci sono ancora, se provo a salvarli mi dice che ci sono già ma non li vedo, se apro l'exe da IE appena finisce il DL mi stacca tutto.

Formatto o ci sono speranze?

Non ne posso +!

[amvinfe]

con la funzione "cerca" o "trova" cerca (scusa il gioco di parole) il file Hosts , ne troverai più di uno, quello che interessa te è un file SAM cliccaci di dx e poi clicca su "Apri con" aprilo con il Notepad (N.B. ricordati PRIMA di disattivare la casellina
"Utilizza sempre questa applicazione.......")
troverai un'immagine simile a quella che posterò più avanti
troverai una lista (almeno credo e spero) di indirizzi che iniziano con
127.0.0.0
127.0.0.2
e via di seguito
devi cancellarli tutti eccetto il 127.0.0.1 localhost

nel caso non dovesse essere presente lo devi creare finite le modifiche clicchi in alto a sx su File e poi su Salva
Riavvia!

[RobS]

Purtroppo nulla da fare...

Mi sono fatto mandare il CWShredder con un altro nome e mi parte dopo un messaggio che nel pc ho il CWS.Smartsearch.2
Mi trova perennemente il CWS.Googlems, lo rimuove ma torna, così come il virus (o trojan) Backdoor.Hacdef che AVG mi trova nella cartella Windows

Sto diventando scemo...

[amvinfe]

fai una ricerca nell'hd di questo file che CWS.Smartsearch.2
installa e che è causa della chiusura di CWShredder AdAware HijackThis SpyBot S&D


IEXPLORER .EXE <===== nota la "R" finale che nulla a che a vedere con il file legittimo IEXPLORE.EXE
dovresti trovarlo anche nel registro in qualche chiave Run, purtroppo non ti posso dare l'esatta ubicazione perchè non ha una directory definita.

Se lo trovi, riavvia in modalità provvisoria (tasto F8 prima che windows venga caricato) e fai la scansione con CWShredder da questa modalità , riavvia e vedi se tutto è tornato normale

[RobS]

purtroppo non ho trovato quei file...
in modalità provvisoria sono riuscito a fare un log di HiajckThis
purtroppo non riesco a entrare nel regedit, me lo chiude quasi subito!

Logfile of HijackThis v1.97.7
Scan saved at 22.34.32, on 07/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\computer\Desktop\Nuova cartella\Hijs.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gitxex.outhost.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gitxex.outhost.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://gitxex.outhost.info/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://gitxex.outhost.info/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://gitxex.outhost.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gitxex.outhost.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://gitxex.outhost.info/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://it.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 213.159.118.228 collections.inhost.info
O1 - Hosts: 213.159.118.228 collections.inhost2.info
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} - http://www.xxxtoolbar.com/ist/softwa...regular_it.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

[Delmak_O]

vedendo quel file NOTEPAD.EXE...che icona ha? se non ha l'icona tradizionale, dovrebbe essere un falso 'notepad.exe', fai in modo che non venga caricato all'avvio...
riavvia in modalità provvisoria e rinominalo, togli pure semplicemente la .e finale, dovresti riuscire a non caricarlo in memoria, vedi poi se riesci a fare le operazioni che mi sembra tu abbia già ben capito di dover fare...devi infatti togliere questa variante di CoolWWWSearch...intanto aspetta altre indicazioni da Amvinfe...

PS hai veramente visto quel file 'hosts' in c:\Windows\System32\Drivers\etc\hosts? aprilo come ha detto Amvinfe, devi eliminare certi valori che mi pare di aver visto riportati (non so bene leggere il log di HijackThis...), lascia solo la riga 127.0.0.1 localhost...controlla un po'

[RobS]

notepad l'avevo aperto io per salvare un log.
ha il solito logo, anche io ci avevo pensato :P

sono a un punto fermo per adesso...

[amvinfe]

dalla modalità provvisoria con tutte le applicazioni chiuse metti la spunta al fianco delle seguenti voci, clicca su Fix checked, riavvia.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gitxex.outhost.info/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gitxex.outhost.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://gitxex.outhost.info/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://gitxex.outhost.info/sp.php

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://gitxex.outhost.info/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gitxex.outhost.info/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://gitxex.outhost.info/sp.php

O1 - Hosts: 213.159.118.228 collections.inhost.info

O1 - Hosts: 213.159.118.228 collections.inhost2.info

O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} - http://www.xxxtoolbar.com/ist/softw..._regular_it.cab


posta un nuovo Log di HJT