Chiedo aiuto per eliminazione virus! Help!!!!!

[Andrefal]

Ciao a tutti, sono nuovo del forum, mi chiamo Andrea.

Ho un problema piuttosto serio con il mio pc, ci sono due virus che non riesco a togliere. Come suggerite voi, ho già provato a eliminare i file temporanei, ho fatto varie scansioni con più antivirus (Norton, AVG, Solo) ma non riescono a eliminarli, o meglio succede che me li cancellano o mettono in quarantena, ma al successivo riavvio del PC, ritornano. Sono entrato in modalità provvisoria, ho fatto la scansione e li ho eliminati, ma anche in questo caso ritornato. Ho usato anche gli Antispyware, ma sensa successo.

Vi posto l'immagine della scansione fatta con AVG che indica il nome dei file infetti:

http://img99.imageshack.us/img99/1798/virus1zh.jpg


I file infetti sono: hdisklink[1] e winfix32.exe
Nel link dell'immagine che vi ho riportato, ci sono indicati i file e il loro percorso

Ho utilizzato infine HijackThis secondo le vostre istruzioni. Non avendolo mai usato, non conosco il significato dei risultati ottenuti, quindi chiedevo aiuto a voi. Vi posto per intero il log ottenuto (il mio sistema operativo è Windows 2000 Professional):

Logfile of HijackThis v1.99.1
Scan saved at 11.02.13, on 11/05/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.unige.it:8080
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1139999045631
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nt-sving.sv.inge.unige.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{B507ACBD-0BA1-423A-A6AA-8CF3DDFFAD98}: NameServer = 130.251.121.231,130.251.121.169
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nt-sving.sv.inge.unige.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = csita.unige.it,vp.amm.unige.it,op.amm.unige.it,bal bi.unige.it,nt-sving.sv.inge.unige.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = nt-sving.sv.inge.unige.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = csita.unige.it,vp.amm.unige.it,op.amm.unige.it,bal bi.unige.it,nt-sving.sv.inge.unige.it
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = csita.unige.it,vp.amm.unige.it,op.amm.unige.it,bal bi.unige.it,nt-sving.sv.inge.unige.it
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Socks-Cap (Sc32Inch) - Unknown owner - C:\WINNT\Sc32Inch.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Windows Fix Services - Unknown owner - C:\WINNT\winfix32.exe


Spero di aver detto tutto.

Grazie a tutti quelli che risponderanno!

Saluti

Andre ^_^

[Andrefal]

Ragazzi, nessuno mi può aiutare??? :-°°°(

[steven75]

Ciao,
per il log fai cosi
Vai su start -->>esegui-->>digita sc stop Windows Fix Services e dai l'ok
poi digita sc delete Windows Fix Services e ok
fai la stessa cosa con Sc32Inch
Ora con hijackthis fixa queste voci:
R3 - Default URLSearchHook is missing
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = nt-sving.sv.inge.unige.it-->>Questi li conosci?
O23 - Service: Socks-Cap (Sc32Inch) - Unknown owner - C:\WINNT\Sc32Inch.exe (file missing)
O23 - Service: Windows Fix Services - Unknown owner - C:\WINNT\winfix32.exe

Dai una ripulita generale con Ccleaner e al limite fai anche uno scan online:
BitDefender
oppure
Panda

[thomas_anderson]

Non serve a nulla terminare un servizio, in quanto il file è programmato per riattivarsi al boot successivo. Poi, perchè gli vuoi fare eliminare i proxy di quella che è probabilmente la sua università (Genova)? Quei collegamenti gli servono per la navigazione nel sito universitario. Andrefal, fai così:

1. parti dalla modalità provvisoria dopo aver disabilitato ripristino configurazione di sistema.
2.svuota il cestino, i file temporanei, i file temporanei di IE, e se puoi anche la cartella c:\windows\downloaded program files
3. abilita la visualizzazione dei file nascosti e di sistema
4. vai nella cartella C:\Winnt ed elimina il file winfix32.exe.
5. apri Hijackthis e fixa la voce che ti ha indicato steven:

O23 - Service: Windows Fix Services - Unknown owner - C:\WINNT\winfix32.exe

Elimina poi l'altra voce, che evidentemente si riferisce ad un file eliminato dal tuo antivirus:

O23 - Service: Socks-Cap (Sc32Inch) - Unknown owner - C:\WINNT\Sc32Inch.exe (file missing)

fammi sapere.

[Teoalessandro]

ciao Andrea e benvenuto nel forum. Allora per prima cosa aggiorna il tuo antivirus e eventuali altri programmi di sicurezza che hai . Ti consiglio eventualmente tu non li abbia di scaricarti spybot search and destroy da questo link http://www.safer-networking.org/en/download/ poi adaware da www.lavasoft.de/software/adaware/ e di scaricarti e installarti anche se è una versione trial per 30 gg noadware da www.noadware.net . Poi disconnettiti e riavvia in modalità provvisoria il tuo pc premendo in fase di caricamento F5 o F8 a seconda dei bios e lancia una scansione di tutti questi programmi compreso l'antivirus. A desso dovrebbe essere in grado di eliminarli. Comunque se leggi i thread dei forum troverai le risposte a molti dei tuoi problemi. Ciuao e fammi sapere.

[steven75]

Originariamente inviato da thomas_anderson
Non serve a nulla terminare un servizio, in quanto il file è programmato per riattivarsi al boot successivo. Poi, perchè gli vuoi fare eliminare i proxy di quella che è probabilmente la sua università (Genova)? Quei collegamenti gli servono per la navigazione nel sito universitario. Andrefal, fai così:

1. parti dalla modalità provvisoria dopo aver disabilitato ripristino configurazione di sistema.
2.svuota il cestino, i file temporanei, i file temporanei di IE, e se puoi anche la cartella c:\windows\downloaded program files
3. abilita la visualizzazione dei file nascosti e di sistema
4. vai nella cartella C:\Winnt ed elimina il file winfix32.exe.
5. apri Hijackthis e fixa la voce che ti ha indicato steven:

O23 - Service: Windows Fix Services - Unknown owner - C:\WINNT\winfix32.exe

Elimina poi l'altra voce, che evidentemente si riferisce ad un file eliminato dal tuo antivirus:

O23 - Service: Socks-Cap (Sc32Inch) - Unknown owner - C:\WINNT\Sc32Inch.exe (file missing)

fammi sapere.

A mio avviso é sbagliato il contrario,anzi é inutile eliminare il file senza eliminare il servizio...che al contrario di quello che hai detto,sarebbe proprio il servizio a permettergli di riavviarsi al prossimo boot in questo caso....in piu eliminando il servizio e fixando la voce con hijackthis non serve neanche andare ad elimarlo manualmente il file

PS:Per quanto riguarda la 017 in questione gli ho solo chiesto se la conosceva,(é sottinteso che nel caso la conoscesse non doveva eliminarla....a quanto pare solo tu non lo hai capito) :Mi dispiace ma non l'ho proprio capito il motivo del tuo post

ciauz:

[thomas_anderson]

E' il file che crea il servizio, non il contrario. il file è programmato per creare una voce di riavvio nel registro. il massimo che puoi fare in questo caso è vedere se puoi eliminare l'istanza del file dal task manager e poi procedere con la rimozione. questi file sono programmati per ricreare automaticamente la voce nei servizi se questa viene terminata con il service control di xp (sc). il problema sorge all'atto dell'eliminazione dei file, in quanto il file potrebbe essere protetto da scrittura (R), nascosti (H) o altro. ad esempio nel caso di una DLL random di Look2me o del trojan Vundo, l'eliminazione manuale è impossibilitata dal fatto che la DLL si aggancia a processi di sistema non terminabili. in questo caso con Hijackthis puoi solo eliminare la voce di registro, ma non il file, cioè quello che crea tale voce. il tuo ragionamento è giusto in linea di massima, ma per esperienza ti dico che il più delle volte non funziona per i motivi che ti ho appena detto. riguardo al proxy ti chiedo scusa: avevo letto troppo velocemente il tuo post.

[steven75]

No non c'é bisogno di scuse tranquillo,é solo uno scambio di opinioni,ognuno fà come meglio crede...io posso solo dirti che nel 90% delle volte se non elimini prima il servizio la voce risulta non fixabile,poi per quanto riguarda i file in esecuzione,protetti da scrittura etc quello é un altro discorso e come sappiamo si fanno altri procedimenti per contornare il problema....in questo caso dal log non si vede nessuna chiave del file in avvio automatico,vedo solo il servizio che và arrestato ed eliminato per poi procedere all'elminazione della voce e del rispettivo file con hijackthis....

[Andrefal]

Ciao a tutti ragazzi, prima di tutto, grazie per avermi risposto.

Come avete capito entrambi, vi sto scrivendo dall'università di genova. I collegamenti al proxy, se è possibile, vorre poterli mantenere perchè mi servono per poter navigare.. se li cancellassi ho paura di fare del casino!

E' la prima volta che mi trovo in una situazione del genere, quindi sono piuttosto inesperto.. è anche la prma volta che uso hijackthis.

Prima di tutto, volevo chiedervi, cosa si intende per FIXARE ???? E' un'operazione che devo fare io manualmente o me la fa il programma??

Seconda cosa, thomas_anderson, nella sua spiegazione, parlava di disabilitare il ripristino configurazione di sistema. Come si fa??? io ho windows 2000 Professional!

Grazie ancora per le vostre risposte!

[thomas_anderson]

fixare vuol dire che devi mettere il segno di spunta sulla voce con hijackthis e poi cliccare su fix checked. non devi disabilitare nulla: windows 2000 non ha ripristino config. di sistema (una svista). ciao