Disconnessione da internet...Come rimuovere definitivamente i virus?

[gta3!]

Ciao Ragazzi.
Una settimana fa ho installato una linea adsl sul mio computer. Has funzionato tutto perfettamente fino a quando ieri improvvisamente è saltata la connessione.

Ho provato a fare scansioni dei virus con tutti i programmi che ci sono nel regolamento. Ne ha trovati tantissimi di Spyware e Dialer, tramite il programma ho fatto elimina, ma continua a trovarli e internet non funziona...Perchè?

Sapete darmi qualche consigli?

Grazie a tutti, ciao, Fabio.

PS: La linea funziona perchè ho collegato un'altro pc è il risultato è positivo...
PS2: Ho provato a fare il ripristino ma al riavvio del pc mi dice che si è verificato un errore per il quale non si può ripristinare alla data specificata...

[LUCASS]

Ciao prova a postare il log di hijack,guida al programma lo trovi nel thread in rilievo ciao ciao

[gta3!]

Eccolo qui...
Logfile of HijackThis v1.99.1
Scan saved at 17.56.24, on 08/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\FILECO~1\rsMenu.exe
C:\PROGRA~1\FILECO~1\RandSync\Translators\CasioOrg \CasAgnt.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Anti-Blaxx\Anti-Blaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\antivirus\HJTsetup.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.fastweb.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fastweb.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da FastWeb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 205.214.67.211 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IEWebGuard Class - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WINDOWS\System32\IEGuard.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Enterprise Harmony '99] C:\PROGRA~1\FILECO~1\rsMenu.exe
O4 - HKLM\..\Run: [Harmony 98 - CasioOrg] C:\PROGRA~1\FILECO~1\RandSync\Translators\CasioOrg \CasAgnt.exe IT
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programmi\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - Startup: C'è Posta.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fastweb.it
O15 - Trusted Zone: www.linkautomatici.com
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {3AEA6239-7D97-4B70-A342-A824B55E5A5B} (Adam Class) - http://htmldialer.parisvoyeur.com/CA...3,8/it/Eve.cab
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://20429.dialer.lincassa.com/ParisVoyeur.exe
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

[LUCASS]

Ciao salvati questa pagina sul desktop
http://www.mvps.org/winhelp2002/DelDomains.inf
Disconnettiti,avvia in modalità provvisoria
Apri hijack e clicca sul secondo pulsante
Metti le spunte che corrisponde a questa stringa e clicca su fix cheked per eliminarla
O2 - BHO: IEWebGuard Class - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WINDOWS\System32\IEGuard.dll

O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programmi\Anti-Blaxx\Anti-Blaxx.exe

O16 - DPF: {3AEA6239-7D97-4B70-A342-A824B55E5A5B} (Adam Class) - http://htmldialer.parisvoyeur.com/C...,3,8/it/Eve.cab

O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://20429.dialer.lincassa.com/ParisVoyeur.exe

Da opzioni cartelle,metti le spunte nelle caselle
-visualizza file e cartelle nascoste
-TOGLI la spunta dalla casella "nascondi file di sistema(consigliato)
-Rispondi SI al messaggio
-Applica>OK

Con esplora risorse elimina il file in grasetto
C:\WINDOWS\System32\IEGuard.dll
Da opzioni internet dai una pulita ai cookie e i file temporanei(metti la spunta anche ad "elimina contenuto non in linea")

Seleziona il file .inf che hai salvato sul desktop,tasto destro del mouse su di esso e seleziona l'opzione "Installa"
Riavvia in modalità normale e risposta un log aggiornato


PS:Verifica se hai ancora problemi di connessione
Qui trovi http://securityresponse.symantec.com...urveilsys.html la rimozione completa che riguarda lo spyware legato a questo file IEGuard.dll

[gta3!]

OK...Scusa sono un po un principiante...

Come riavvio in modalità provvisoria?

[LUCASS]

Per avviare la modalità provvisoria è sufficiente accendere o riavviare il computer e tenere premuto il tasto F8 sulla tastiera subito dopo i test del BIOS. Se si possiede un sistema con un avvio multiplo è necessario aspettare che compaia il menu di scelta del sistema da caricare e premere F8 subito dopo la selezione del sistema operativo.
In entrambi i casi comparirà un elenco di opzioni tra le quali dovremo ovviamente scegliere "Modalità provvisoria".

Per tornare alla modalità normale, una volta ripulito il sistema dal virus, è sufficiente riavviare il sistema.
http://sicurezza.html.it/articoli/ar...i=23&npagina=2

[gta3!]

Originariamente inviato da LUCASS
Per avviare la modalità provvisoria è sufficiente accendere o riavviare il computer e tenere premuto il tasto F8 sulla tastiera subito dopo i test del BIOS. Se si possiede un sistema con un avvio multiplo è necessario aspettare che compaia il menu di scelta del sistema da caricare e premere F8 subito dopo la selezione del sistema operativo.
In entrambi i casi comparirà un elenco di opzioni tra le quali dovremo ovviamente scegliere "Modalità provvisoria".

Per tornare alla modalità normale, una volta ripulito il sistema dal virus, è sufficiente riavviare il sistema.
http://sicurezza.html.it/articoli/ar...i=23&npagina=2

Si, ci ho provato già un po di tempo fa però non funziona...Quando riavvio tengo premuto f8 e mi dice:
"Selecy First Book Dervice"....

Seleziono (uno a caso) ad esempio il floppy e mi fa vedere due scritte che corrono ma poi si carica windows...Perchè??

[LUCASS]

Scusa che si dovrebbe caricare?quella è la modalità provvisoria,vedi delle righe bianche scorrere e se ci fai caso sono i nomi dei file di sistema,fatto quello si avvia windows normalmente solo che di solito lo sfondo è nero e in bianco ai bordi/lati c'è scritto modalità provvisoria

PSevi configurare nel bios il boot altrimenti ti darà sempre quel messaggio devi selezionare l'hard disk e vedi se parte

[gta3!]

Originariamente inviato da LUCASS
Scusa che si dovrebbe caricare?quella è la modalità provvisoria,vedi delle righe bianche scorrere e se ci fai caso sono i nomi dei file di sistema,fatto quello si avvia windows normalmente solo che di solito lo sfondo è nero e in bianco ai bordi/lati c'è scritto modalità provvisoria

PSevi configurare nel bios il boot altrimenti ti darà sempre quel messaggio devi selezionare l'hard disk e vedi se parte

Il problema è che lo devo avviare in modalità provvisoria.Come dici tu si avvia normalmente...

[gta3!]

Originariamente inviato da LUCASS
PSevi configurare nel bios il boot altrimenti ti darà sempre quel messaggio devi selezionare l'hard disk e vedi se parte

Ehm...Come si fa?
Scusate se non sono pratico!