Originariamente inviato da amvinfe
svuota il contenuto della cartella temp, fai una scansione dalla modalità provvisoria con NOD32, riavvia posta un log di HijackThis (è in rilievo), ricordati di mettere l'eseguibile di HJT in una nuova cartella.
-Svuotamento fatto
-Scansione modalità provvisoria fatta: risultato negativo (tranne un file c:\pagefile.sys ke nn ha letto). Un altra cosa, alla avvio della
modalità provvisoria è comparso un mess d'errore ke diceva ke il file c:\winnt\system32\svchost.exe aveva provocato errore all'apertura)
-riavviato e fatto scan con hijacksthis. Log è il seguente:
codice:
Logfile of HijackThis v1.98.2
Scan saved at 9.55.28, on 26/08/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINNT\System32\nvsvc32.exe
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\fgretp.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINNT\Mixer.exe
C:\WINNT\system32\casd.exe
C:\WINNT\system32\dllcon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\casd.exe
C:\Documents and Settings\Administrator\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgmonline.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SETI@HOME] C:\WINNT\SYSTEM32\fgretp.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SettingValue] casd.exe
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [SettingValue] casd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SettingValue] casd.exe
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
Ho visto ke ci sono alcuni file ripetuti. Cmq fammi sapere chi elimiare e come grazie.
Dimenticavo una cosa, ho notato ke il virus si attiva un volta entrato in internet.
Infine all'inizio avevo trovato un altro trojan sempre nella cartella winnt\system32 di nome lserv.exe: questo però dopo la cancellazione nn s'è più rivisto. Vabbeh era solo per dirti tutto.
Grazie mille
Aloha