Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

virus alla connessione Opzioni
musatti
Inviato: Sunday, April 29, 2007 11:22:40 PM
Rank: AiutAmico

Iscritto dal : 1/31/2005
Posts: 314
Salve, da un po' di giorni appena mi collego (adsl - Pentium Win Prof Sp2)l'antivirus Avast mi dà il messaggio di infezione (in giallo): "http:\\81.29.241.180/user2/neon0202/exe.it_0202.exe\UPX". Mi chiede di chiudere la connessione e consiglia di spostare nel cestiono virus, cosa che faccio. Poco dopo compare un secondo messaggio, dal quale risulta che è infettato anche il file temporaneo, cosa che mi sembra normale, stessa preocedura, poi tutto prosegue bene. Ho fatto uno scanning completo con avast e con virit che hanno trovato ciascuno un virus, ma diverso, e anche Gromozon ha trovato un troian, ma sul messaggio d'avvio tutto uguale.
Vi manderei anche il log di Jack:
Logfile of HijackThis v1.99.1
Scan saved at 23.18.11, on 29/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Libero\Adsl\dslstat.exe
C:\Program Files\Libero\Adsl\dslagent.exe
C:\WINDOWS\TEMP\aktoaa.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
E:\Programmi\MPSERVIC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\io\IMPOST~1\Temp\Directory temporanea 3 per hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = www.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Libero\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Libero\Adsl\dslagent.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [aktoaa.exe] C:\WINDOWS\TEMP\aktoaa.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Leggimi di MultiPASS Canon.lnk.disabled
O4 - Global Startup: Barra degli strumenti di MultiPASS Canon.lnk.disabled
O4 - Global Startup: Monitor di stato MultiPASS Canon.lnk.disabled
O4 - Global Startup: Visualizzatore MultiPASS Canon.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C25FC6A-CF5E-469B-AC86-28496C8D3384}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: MpService - Canon Inc. - E:\Programmi\MPSERVIC.EXE

Ho dei sospetti su quell'indirizxzo che compare al 017, di che si tratta?

Sponsor
Inviato: Sunday, April 29, 2007 11:22:40 PM

 
pidue
Inviato: Monday, April 30, 2007 9:35:20 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao,esegui la seguente procedura:

Chiudi HijackThis in una cartella a lui dedicata (possibilmente non sul desktop), altrimenti perdi i backup;

<b>disattiva il ripristino configurazione del sistema:</b>
tasto destro sull’icona Risorse del computer >> Proprietà >> Ripristino configurazione di sistema: togli la spunta dal quadratino dove c’è scritto :
<i>disattiva ripristino configurazione di sistema su tutte le unità</i>;

<b>avvia il computer in modalità provvisoria:</b>
riavvia il computer e appena acceso, quando vedi le scritte bianche che appaiono velocemente sullo schermo nero premi ripetutamente il tasto F8;

<b>rendi visibili le cartelle nascoste in questo modo</b>:
da Risorse del computer:
Strumenti >> Opzioni cartella >> visualizzazione;
metti la spunta su:
<i>Visualizza file e cartelle nascoste</i>;
togli la spunta da:
<i>Nascondi file protetti del sistema(consigliato)</i>

Avvia hijackthis, con tutte le applicazioni chiuse, premi su <b>Do a system scan only</b> , spunta ed elimina <b>(fix checked)</b> le seguenti voci:


<font color=red>
O4 - HKLM\..\Run: [aktoaa.exe] C:\WINDOWS\TEMP\aktoaa.exe
O4 - Global Startup: Leggimi di MultiPASS Canon.lnk.disabled
O4 - Global Startup: Barra degli strumenti di MultiPASS Canon.lnk.disabled
O4 - Global Startup: Monitor di stato MultiPASS Canon.lnk.disabled
O4 - Global Startup: Visualizzatore MultiPASS Canon.lnk.disabled
</font id=red>


Cancella il file in rosso:
___________________________________________
C:\WINDOWS\TEMP\<font color=red>aktoaa.exe</font id=red>
___________________________________________

Svuota la cartella dei file temporanei del tuo profilo, poi segui il punto <b>1</b> al seguente link:
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx

svuota il Cestino;
fai un controllo antivirus a questo indirizzo:

http://security.symantec.com/sscv6/default.asp?productid=globalsitesandlangid=itandvenid=sym


<b>Alla fine:</b>

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo;
riposta un log aggiornato



Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.