Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Virus!! aiuto per Log

Virus!! aiuto per Log Opzioni
Topic Precedente · Topic Sucessivo
gozer66
Inviato: Tuesday, June 28, 2005 1:00:41 PM
Rank: AiutAmico

Iscritto dal : 12/11/2001
Posts: 159
Ho qualcosa che non va nel pc, chiede connessioni ad altri siti, cambia pagina iniziale ed altro, invio il log fatto in modalità provvisoria, grazie a chi mi può aiutare:
Logfile of HijackThis v1.97.7
Scan saved at 12.55.00, on 28/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\appoggio docte\dsp\dspt1\Nicola\Programmi utili\GESTIONE E RIPARAZIONE PC\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = "C:\Programmi\Outlook Express\msimn.exe"
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE
O4 - HKLM\..\Run: [MS taskbar] taskbars.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\Run: [winnt DNS ident] windowsp.exe
O4 - HKLM\..\Run: [.msfupdate] C:\WINDOWS\System\msveup.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitedpp32.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe
O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS taskbar] taskbars.exe
O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKCU\..\Run: [Edil] C:\Programmi\cldu\saco.exe
O4 - HKCU\..\Run: [Ngnpto] C:\WINDOWS\System32\r?gedit.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: www.sfonditalia.biz
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int9.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119280106046
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{578A072F-F592-4710-A441-2DF5D0678D91}: NameServer = 62.94.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6A452F1-45A6-40C6-9204-5462A2E1BCEF}: NameServer = 62.94.0.1
Torna in alto
 
Sponsor
Inviato: Tuesday, June 28, 2005 1:00:41 PM

 
Torna in alto
 
alfonso
Inviato: Tuesday, June 28, 2005 2:32:42 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao ,
esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746
-
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = "C:\Programmi\Outlook Express\msimn.exe"
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
-
O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE
O4 - HKLM\..\Run: [MS taskbar] taskbars.exe
-
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
-
O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\Run: [winnt DNS ident] windowsp.exe
O4 - HKLM\..\Run: [.msfupdate] C:\WINDOWS\System\msveup.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitedpp32.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe
O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
-
O4 - HKCU\..\Run: [MS taskbar] taskbars.exe
O4 - HKCU\..\Run: [RNBz Test] wf32vbc.exe
O4 - HKCU\..\Run: [Edil] C:\Programmi\cldu\saco.exe
O4 - HKCU\..\Run: [Ngnpto] C:\WINDOWS\System32\r?gedit.exe
-
O15 - Trusted Zone: www.sfonditalia.biz
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int9.exe
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
CSRSS.EXE
taskbars.exe
UNMT.EXE
wf32vbc.exe
windowsp.exe
msveup.exe
elitedpp32.exe
logon.exe
saco.exe
r?gedit.exe
==================================

ELIMINA LE CARTELLE IN ROSSO
C:\WINDOWS\<font color=red><b>EliteToolBar</font id=red></b>
C:\WINDOWS\<font color=red><b>EliteSideBar</font id=red></b>


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA
poi clicca il pulsante PAGINA PREDEFINITA e su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.
Collaboratore Aiutamici
Torna in alto
 
gozer66
Inviato: Tuesday, June 28, 2005 5:14:53 PM
Rank: AiutAmico

Iscritto dal : 12/11/2001
Posts: 159
Sembrerebbe tutto Ok. GRAZIE TANTE!! (Solo un dubbio, r?gedit e csrss non li trova come .exe ma come applicazione, li tolgo lo stesso?, grazie ancora e ciao)
Torna in alto
 
alfonso
Inviato: Wednesday, June 29, 2005 10:10:08 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
NO devi rimuovere solo i file indicati, altri file con nomi che sembrano uguali, possono essere file legittimi.

Se non li trovi significa che erano file virtuali creati al momento dell'avvio del virus.
Collaboratore Aiutamici
Torna in alto
 
gozer66
Inviato: Wednesday, June 29, 2005 4:28:04 PM
Rank: AiutAmico

Iscritto dal : 12/11/2001
Posts: 159
Ho esultato troppo presto, come spesso succede, il problema è uscito fuori di nuovo, allego il log in modalità normale (il primo) ed in modalità provvisoria (il secondo) forse mi sono dimenticato di togliere qualcosa al momento della pulizia di ieri, GRAZIE e ciao
Logfile of HijackThis v1.97.7
Scan saved at 16.19.33, on 29/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\windowsp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\explorer.exe
F:\appoggio docte\dsp\dspt1\Nicola\Programmi utili\GESTIONE E RIPARAZIONE PC\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [winnt DNS ident] windowsp.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetcu32.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: www.sfonditalia.biz
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119280106046
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{578A072F-F592-4710-A441-2DF5D0678D91}: NameServer = 62.94.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6A452F1-45A6-40C6-9204-5462A2E1BCEF}: NameServer = 62.94.0.1

IN PROVVISORIA
Logfile of HijackThis v1.97.7
Scan saved at 16.21.35, on 29/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\appoggio docte\dsp\dspt1\Nicola\Programmi utili\GESTIONE E RIPARAZIONE PC\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [winnt DNS ident] windowsp.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetcu32.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: www.sfonditalia.biz
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119280106046
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{578A072F-F592-4710-A441-2DF5D0678D91}: NameServer = 62.94.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6A452F1-45A6-40C6-9204-5462A2E1BCEF}: NameServer = 62.94.0.1
Torna in alto
 
alfonso
Inviato: Wednesday, June 29, 2005 7:46:06 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao ,
esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sfonditalia.biz?1746
-
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\EliteSideBar 08.dll (file missing)
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 60.dll (file missing)
-
O4 - HKLM\..\Run: [winnt DNS ident] windowsp.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitetcu32.exe
O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
-
O15 - Trusted Zone: www.sfonditalia.biz
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
EliteToolBar version 60.dll
EliteSideBar 08.dll
windowsp.exe
elitetcu32.exe
==================================

ELIMINA LE CARTELLE IN ROSSO
C:\WINDOWS\<font color=red><b>EliteToolBar</font id=red></b>
C:\WINDOWS\<font color=red><b>EliteSideBar</font id=red></b>


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA
poi clicca il pulsante PAGINA PREDEFINITA e su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.

Al termine fai un controllo antivirus on line da questo indirizzo per verificare se il tuo antivirus funzioni regolarmente
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym
Collaboratore Aiutamici
Torna in alto
 
gozer66
Inviato: Thursday, June 30, 2005 6:54:15 PM
Rank: AiutAmico

Iscritto dal : 12/11/2001
Posts: 159
Ho pulito tutto, la scansione in provvisoria con nav non trova niente, quella on-line è una bolgia, ecco cosa ha trovato, che faccio li cancello tutti?? Ciao e Grazie
F:\appoggio docte\dsp\dspt1\Nicola\Programmi utili\GESTIONE E RIPARAZIONE PC\HijackThis\backup-20050630-175956-251.dll è infettato con Adware.EliteBar
C:\tasks.exe è infettato con Adware.WinTaskAd
C:\WINDOWS\system32\0i12thphn7jnut.dll è infettato con Adware.EliteBar
C:\WINDOWS\system32\elitebym32.exe è infettato con Adware.EliteBar
C:\WINDOWS\system32\elitehfe32.exe è infettato con Adware.EliteBar
C:\WINDOWS\system32\elitencn32.exe è infettato con Adware.EliteBar
C:\WINDOWS\system32\elitergz32.exe è infettato con Adware.EliteBar
C:\WINDOWS\system32\elitetcu32.exe è infettato con Adware.EliteBar
C:\WINDOWS\system32\hw2ycp2ulxttzi.dll è infettato con Adware.EliteBar
C:\WINDOWS\system32\temp532.exe è infettato con Dialer.Sfonditalia
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\QTNFX5P4\Italy[1].exe è infettato con Dialer.Sfonditalia
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\QTNFX5P4\Italy[2].exe è infettato con Dialer.Sfonditalia
C:\Programmi\File comuni\System\Mapi\1040\NT\temp532.exe è infettato con Dialer.Sfonditalia
C:\Documents and Settings\Roberto\blank.html è infettato con Adware.CDT
C:\Documents and Settings\Roberto\HideRunpexed.exe è infettato con Hacktool.HideWindow

Torna in alto
 
alfonso
Inviato: Thursday, June 30, 2005 9:15:00 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Prova ad eliminare tutti i file infetti indicati, cercandoli con la funzione trova di windows in MODALITà PROVVISORIA

poi ripeti la scansione, se ricompaiono nuovamente ti conviene formattare il disco e reinstallare tutto.

Se formatti, dopo windows installa Antivirus e Firewall prima di fare il primo collegamento a internet.
Collaboratore Aiutamici
Torna in alto
 
gozer66
Inviato: Friday, July 08, 2005 12:52:45 PM
Rank: AiutAmico

Iscritto dal : 12/11/2001
Posts: 159
C'è voluto qualche giorno di tentativi ma credo di aver risolto anche se qualche volta l'explrer si blocca insieme alla connessione adsl e devo resettare per uscire. Grazie tante
Torna in alto
 
alfonso
Inviato: Friday, July 08, 2005 3:43:50 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Prova a rimettere il log cosi facciamo un altro controllo.
Collaboratore Aiutamici
Torna in alto
 
gozer66
Inviato: Wednesday, July 13, 2005 1:00:42 PM
Rank: AiutAmico

Iscritto dal : 12/11/2001
Posts: 159
Purtoppo ogni tanto ricompare, ora però molto più di rado. Dopo aver ripulito tutto, facendo la scansione on-line mi indica infetti questi due file che non riesco a trovare sul pc,come non riesco a trovare neanche la cartella che li contiene,perchè?, magari vuotandola chissa? Ciao

C:\RECYCLER\S-1-5-21-854245398-602609370-1801674531-1004\Dc1.exe è infettato con Adware.EliteBar

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\01234567\Italy[1].exe è infettato con Dialer.Sfonditalia
Torna in alto
 
alfonso
Inviato: Wednesday, July 13, 2005 8:09:47 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Se la scansione on line ti indica la presenza di virus, e il tuo antivirus non li vede, resta una sola cosa da fare, formattare il disco e reinstallare tutto.

Dopo l'installazione di Windows, Antivirus e Firewall vanno installati prima di fare il primo collegamento a internet e con il primo collegaemto devi aggiornare le definizioni dell'antivirus e a seguire gli aggiornamenti dal windows update.
Collaboratore Aiutamici
Torna in alto
 
killers
Inviato: Friday, July 15, 2005 11:36:58 AM
Rank: Member

Iscritto dal : 7/13/2005
Posts: 0
erano spyware e' normale che l' antivirus non li veda.
ti consilio spybot search and destroy e adware
li trovi qui
http://www.safer-networking.org/it/mirrors/index.html
http://www.lavasoftusa.com/software/adaware/
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Virus!! aiuto per Log


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.