desktop inutilizzabile ... vi dice niente ?

[andr3a]

salve a tutti ... ad un amico è arrivata un' email con scritto
"Prenditi 3 minuti per rilassarti"
da un' amica (o presunta tale) .. c'era un gioco (.exe) ... lo so, non avrebbe mai dovuto aprirlo ma haimè l'ha fatto ...

ebbene da quel giorno (ieri) non riesce più ad aprire cartelle dal desktop ... non gli va proprio il desktop ... in modalità provvisoria tutto ok, Avast non segnala alcunchè, uniche cose strane sono un file alg.exe che se eliminato diventa mdm.exe ... e via dicendo (tipico da virus)

antivirus online ??? ... bloccati anche questi, non vanno, non partono proprio, come si avvia la JVM tutto bloccato.

si apre anche il Dr. Watson ... ad ogni tentativo di apertura cartella (ma anche sulle proprietà del PC o della rete, nulla di fatto, si blocka il desktop , come se freezzasse).

Tmp cancellati, servizi di avvio disabilitati ... nulla, avete idea di cosa diamine possa essere e come diamine si possa distruggere senza dover formattare ripartizionando ? grazie

[bootzenn]

ciao

se non riesci a fare le scansioni on-line prova regrun e comunque posta il log di hijackthis(vedi link in rilievo)

aspetta qlc conferma dai moderatori

ciao

[holifay]

la cosa più semplice per il tuo amico, se ha XP o ME è di ripristinare il sistema ad una data antecedente il problema. Ti incollo qui la procedura:

1. Accedere al sistema come amministratore.
2. Fare clic sul pulsante Start, scegliere Tutti i programmi, quindi Accessori, Utilità di sistema e fare clic su Ripristino configurazione di sistema. Viene avviato lo strumento Ripristino configurazione di sistema.
3. Nella schermata Ripristino configurazione di sistema selezionare Ripristina uno stato precedente del computer, se l'opzione non è già selezionata, e scegliere Avanti.
4. Nella schermata Selezionare un punto di ripristino fare clic sul punto di arresto del sistema più recente nella casella di riepilogo Nell'elenco, selezionare un punto di ripristino e scegliere Avanti. È possibile che venga visualizzato un messaggio con l'elenco delle modifiche che saranno applicate alla configurazione. Scegliere OK.
5. Nella schermata Conferma selezione punto di ripristino scegliere Avanti. Verrà ripristinata la configurazione precedente di

Dopo, se tutto va OK, disattiva il ripristino di sistema, riavvia e poi ripristinalo da capo. In questo modo il trojan che potrebbe finire nella cartella _RESTORE sarà eliminato.

Se non funziona o ha il ripristino già disabilitato posta un log di Hijack This

Ciao!

[andr3a]

Logfile of HijackThis v1.99.1
Scan saved at 10.44.11, on 11/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Hijackthis\HijackThis.exe
C:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.otherchance.com?119
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Various Class - {A8BE1DEA-03DC-4DBB-8A14-8637BFADF85C} - C:\WINDOWS\system32\kaboom.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.redfunny.com
O23 - Service: Servizio Gateway di livello applicazione (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe



:master: :master: :master:




[edit]
Luke Filewalker m'ha trovato kaboom e lo sta rimuovendo ... strano che Avast l' abbia ignorato completamente ...


[edit2]
Ok, Anti Vir l' ha rimosso senza problemi, grazie a tutti