Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Rimozione virus con VirIt Opzioni
jimmy76
Inviato: Saturday, February 18, 2012 3:18:08 PM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319
Salve a tutti,
facendo una scansione con VirIt explorer ho scoperto di avere due virus nel mio notebook.
Nel programma c'è scritto che la cancellazione degli stessi avviene automaticamente...questa volta però non è successo, e non so come fare per rimuoverli Anxious
Ecco quello che appare a fine scansione:



Seguendo il percorso non riesco a trovare la cartella infetta...mmmm...che fare?
Grazie
Sponsor
Inviato: Saturday, February 18, 2012 3:18:08 PM

 
cbbusto
Inviato: Saturday, February 18, 2012 4:57:38 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Installa Malwarebytes QUI lo aggiorni e poi fai una scansione COMPLETA non veloce, elimina tutto quello che trova, poi posta il suo log.
Poi posta anche un log di HJT QUI per un controllo.
Ciao
pidue
Inviato: Saturday, February 18, 2012 5:03:43 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
jimmy76 ha scritto:
non so come fare per rimuoverli

Fai la scansione in modalità provvisoria.



jimmy76
Inviato: Saturday, February 18, 2012 8:35:31 PM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319
pidue ha scritto:
jimmy76 ha scritto:
non so come fare per rimuoverli

Fai la scansione in modalità provvisoria.


Ho provato a fare scansione in modalità provvisoria ma non è cambiato niente...i virus non sono stati rimossi.
Ora provo con il consiglio di cbbusto...
jimmy76
Inviato: Saturday, February 18, 2012 9:02:03 PM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.59.40, on 18/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\System Control Manager\MSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLite\viritsvc.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmi\System Control Manager\MGSysCtrl.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\VEXPLite\MONLITE.EXE
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
C:\Programmi\File comuni\Java\Java Update\jucheck.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\notepad.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programmi\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msi.com.tw
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Programmi\System Control Manager\MSIService.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe

--
End of file - 6750 bytes


Maalwarebytes:


Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Versione database: v2012.02.18.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Franc :: JIMMY [amministratore]

18/02/2012 20.02.14
mbam-log-2012-02-18 (20-02-14).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 234438
Tempo impiegato: 45 minuti, 3 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 0
(non sono stati rilevati elementi nocivi)

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 0
(non sono stati rilevati elementi nocivi)

(fine)
cbbusto
Inviato: Sunday, February 19, 2012 11:21:29 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao, mbam non ha trovato niente, il log è pulito, ci sono solo delle voci inutili in avvio, una è anche uno spyware.
Per quello che ha trovato virit prova a fare questa scansione:
Vai su Start/Esegui e digita MRT e dai ok, nella finestra successiva scegliere analisi completa, avvia, se chiede di eliminare dei file acconsenti, alla fine verrà rilasciato un file coi risultati.
Poi fai una pulizia del registro con questo sw QUI è un programma che io uso da qualche anno è sicuro perchè crea un backup dei file che elimina e crea anche un punto di ripristino, il sw è Eusing Free Registry Cleaner, all'apertura se appare una finestra che chiede il codice ignora e prosegui, clic su Analizza Registro, spunta tutte le voci attendi la fine della scansione e appariranno tutte le voci da eliminare, non spaventarti se ne appaiono parecchie, selezionale tutte e clic su Ripara Registro ok. Questo sw usalo ogni tanto, per le pulizie frequenti va bene Ccleaner.

Chiudi tutti i programmi e disconnesso lanci HJT e clicca sul secondo pulsante: Do a system scan only poi metti la spunta alle voci che ti indico e alla fine clic su Fix checked.

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE (spyware della Realtek
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programmi\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
Attendo notizie. Speak to the hand

jimmy76
Inviato: Monday, February 20, 2012 11:56:54 PM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319
Eccomi...ho fatto quello che mi hai detto ma i due infetti sono sempre là!
Con MRT non ho trovato niente...ho rifatto la scansione con VirIT e risultano sempre presenti...ora??!!
cbbusto
Inviato: Tuesday, February 21, 2012 11:04:10 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.
jimmy76
Inviato: Saturday, February 25, 2012 3:44:56 PM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319
ComboFix 12-02-25.01 - Franc 25/02/2012 15.35.15.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.39.1040.18.2037.1578 [GMT 1:00]
Eseguito da: c:\documents and settings\Franc\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {0012F2B4-5C49-7C92-0300-000000000000}
.
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Dati applicazioni\TEMP
c:\documents and settings\All Users\Dati applicazioni\TEMP\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\PostBuild.exe
c:\documents and settings\All Users\Dati applicazioni\TEMP\{5DB1DF0C-AABC-4362-8A6D-CEFDFB036E41}\PostBuild.exe
.
.
((((((((((((((((((((((((( Files Creati Da 2012-01-25 al 2012-02-25 )))))))))))))))))))))))))))))))))))
.
.
2012-02-25 14:06 . 2012-02-19 19:52 125912 ----a-w- c:\programmi\Mozilla Firefox\tobedeleted\moz1E.tmp
2012-02-19 20:09 . 2012-02-19 22:40 -------- d-----w- c:\programmi\Eusing Free Registry Cleaner
2012-02-18 16:58 . 2012-02-18 17:02 -------- d-----w- c:\documents and settings\Administrator
2012-02-18 16:20 . 2012-02-18 16:20 -------- d-----w- c:\windows\system32\Adobe
2012-02-18 13:02 . 2012-01-11 19:06 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-02-18 13:02 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-02-18 12:57 . 2012-02-25 12:35 32540 ----a-w- c:\windows\SCHEDLGU.TXT.TMP
2012-02-03 21:07 . 2012-02-03 21:07 -------- dc-h--w- c:\documents and settings\All Users\Dati applicazioni\{ECBE233A-68DB-468A-90EE-84E79FBFC397}
2012-02-03 21:07 . 2012-02-20 22:45 -------- d-----w- C:\VEXPLite
2012-02-03 21:06 . 2012-02-03 21:06 -------- d-----w- c:\documents and settings\Franc\Impostazioni locali\Dati applicazioni\PackageAware
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-05 10:49 . 2011-10-27 16:29 82296 ----a-w- c:\windows\system32\drivers\VIRAGTLT.sys
2012-01-12 17:20 . 2005-06-30 18:28 1859968 ----a-w- c:\windows\system32\win32k.sys
2011-12-17 19:43 . 2005-06-30 18:28 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2005-06-30 18:27 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2005-06-30 18:27 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2005-06-30 18:27 385024 ----a-w- c:\windows\system32\html.iec
2011-12-10 14:24 . 2009-09-24 19:39 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-25 14:06 . 2011-09-09 07:16 134104 ----a-w- c:\programmi\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2011-06-16 1500160]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-08 16862208]
"GrooveMonitor"="c:\programmi\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"avgnt"="c:\programmi\Avira\AntiVir Desktop\avgnt.exe" [2011-02-04 281768]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmi\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmi\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programmi\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programmi\\eMule AdunanzA\\eMule_AdnzA.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\Java\\jre6\\bin\\javaw.exe"=
.
R0 VIRAGTLT;VIRAGTLT;c:\windows\system32\drivers\VIRAGTLT.sys [27/10/2011 17.29.30 82296]
R1 SASDIFSV;SASDIFSV;c:\programmi\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 19.25.48 12872]
R1 SASKUTIL;SASKUTIL;c:\programmi\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 19.41.30 67656]
R2 viritsvclite;VirIT eXplorer Lite;c:\vexplite\VIRITSVC.EXE [14/03/2011 12.54.14 86016]
R3 MSILiveVirtualCamera;MSI Live Virtual Camera;c:\windows\system32\drivers\MSILiveVirtualCamera.sys [29/01/2007 6.40.22 449408]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [02/07/2005 8.48.35 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [02/07/2005 9.46.40 704384]
S2 Micro Star SCM;Micro Star SCM;c:\programmi\System Control Manager\MSIService.exe [02/07/2005 9.48.49 159744]
.
Contenuto della cartella 'Scheduled Tasks'
.
2012-02-25 c:\windows\Tasks\User_Feed_Synchronization-{DC4E352A-7EAD-44A9-B570-FA6BB21C38B1}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 62.101.93.101 83.103.25.250
FF - ProfilePath - c:\documents and settings\Franc\Dati applicazioni\Mozilla\Firefox\Profiles\irpe9c9b.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.ilmessaggero.it/
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
.
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)
SafeBoot-klmdb.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-25 15:40
Windows 5.1.2600 Service Pack 3 NTFS
.
scansione processi nascosti ...
.
scansione entrate autostart nascoste ...
.
Scansione files nascosti ...
.
Scansione completata con successo
Files nascosti: 0
.
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'winlogon.exe'(736)
c:\programmi\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\WININET.dll
.
Ora fine scansione: 2012-02-25 15:43:07
ComboFix-quarantined-files.txt 2012-02-25 14:43
.
Pre-Run: 17.266.864.128 byte disponibili
Post-Run: 17.564.811.264 byte disponibili
.
- - End Of File - - 986B74135EA41CDA7AC4A745A96EC1A7
jimmy76
Inviato: Thursday, March 01, 2012 11:38:17 AM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319
cbbusto che fine hai fatto??? :-)
tamagon
Inviato: Thursday, March 01, 2012 11:57:22 AM

Rank: AiutAmico

Iscritto dal : 3/6/2009
Posts: 2,913
jimmy76
Inviato: Tuesday, March 13, 2012 11:57:31 PM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319


Cbbusto spero che tu sia tornato per aiutarmi a risolvere questo problema...grazie Angel
cbbusto
Inviato: Friday, March 16, 2012 11:52:11 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao jimmy, sono rientrato da poco, vediamo di risolvere la situazione.
Sei infettato dal virus Win32.Cheburgen.A, solitamente viene rimosso da virit.
Hai provato a fare una scansione in modalità provvisoria con Avira ? se NO, prova a farla e vediamo cosa trova.

Disattiva il ripristino configurazione di sistema e tienilo disattivato:
start,pannello di controllo,sistema,configurazione di sistema,metti la spunta a
"disattiva ripristino configurazione di sistema su tutte le unita'",applica,ok.

Poi, Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp.
(non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows,
aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci
conservate al suo interno ( non eliminare la cartella)

Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su
Remove selected
Alla fine riattiva il Ripristino configurazione di sistema e crea un nuovo punto.

Per creare un nuovo punto di ripristino del sistema in XP

Start - Tutti i programmi – Accessori - Utilità di sistema - Ripristino configurazione clic su Crea
nuovo punto – Avanti mettere un nome del nuovo punto poi clic su crea ok, chiudi.

Controlla con Virit se il virus è ancora presente.
Riposta un log di HJT aggiornato.
Ci risentiamo domani, ciao.

maopapof
Inviato: Saturday, March 17, 2012 9:35:57 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,185
... solo una domanda @jimmy76

quando hai scaricato VirIt ..... lo hai attivato ? ,,,, e mi puoi dire come fai a verificarlo .... grazie :O)
( se ci riesci posta la schermata )

jimmy76
Inviato: Saturday, March 24, 2012 5:17:07 PM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319
Ragazzi scusate l'assenza, presto cercherò di mettere in atto i vostri consigli...purtroppo questo è un notebook che uso meno e il tempo è quello che è...grazie e a presto.
jimmy76
Inviato: Saturday, March 24, 2012 5:20:39 PM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319
maopapof ha scritto:
... solo una domanda @jimmy76

quando hai scaricato VirIt ..... lo hai attivato ? ,,,, e mi puoi dire come fai a verificarlo .... grazie :O)
( se ci riesci posta la schermata )


Non so rispondere a questa domanda...io apro il programma e faccio partire la scansione...niente più.
Cosa intendi per attivarlo?
jimmy76
Inviato: Thursday, March 29, 2012 12:57:27 PM

Rank: AiutAmico

Iscritto dal : 8/7/2009
Posts: 319
cbbusto ha scritto:
Ciao jimmy, sono rientrato da poco, vediamo di risolvere la situazione.
Sei infettato dal virus Win32.Cheburgen.A, solitamente viene rimosso da virit.
Hai provato a fare una scansione in modalità provvisoria con Avira ? se NO, prova a farla e vediamo cosa trova.

Disattiva il ripristino configurazione di sistema e tienilo disattivato:
start,pannello di controllo,sistema,configurazione di sistema,metti la spunta a
"disattiva ripristino configurazione di sistema su tutte le unita'",applica,ok.

Poi, Start\Esegui\copia e incolla la stringa %temp% clicca su Ok, svuota la cartella temp.
(non eliminare la cartella)
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows,
aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci
conservate al suo interno ( non eliminare la cartella)

Poi:
Lancia Hijackthis e pulisci gli ADS in questo modo:
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
clicca su Scan.
Aspetta pazientemente la fine della scansione.
se venissero rilevati ADS, spunta tutte (senza paura) le caselline e clicca su
Remove selected
Alla fine riattiva il Ripristino configurazione di sistema e crea un nuovo punto.

Per creare un nuovo punto di ripristino del sistema in XP

Start - Tutti i programmi – Accessori - Utilità di sistema - Ripristino configurazione clic su Crea
nuovo punto – Avanti mettere un nome del nuovo punto poi clic su crea ok, chiudi.

Controlla con Virit se il virus è ancora presente.
Riposta un log di HJT aggiornato.
Ci risentiamo domani, ciao.




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.57.18, on 29/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\System Control Manager\MSIService.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLite\viritsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\VEXPLite\MONLITE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Franc\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe
C:\Documents and Settings\Franc\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\NDSPCShowServer.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\Documents and Settings\Franc\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Franc\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [APSDaemon] "C:\Programmi\File comuni\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLite\MONLITE.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PCShowServer] C:\Documents and Settings\Franc\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Franc\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msi.com.tw
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Programmi\System Control Manager\MSIService.exe
O23 - Service: ServiceLayer - Nokia - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe

--
End of file - 6717 bytes
miticoalex
Inviato: Thursday, March 29, 2012 1:08:03 PM

Rank: AiutAmico

Iscritto dal : 10/19/2010
Posts: 14,635
Ciao jimmy76. Intervallare gli interventi di una settimana, non aiuta di certo a risolvere il problema. Chi ti assiste, dovrà ripassarsi tutta la discussione.

Per seguire un senso logico, sarebbe opportuno rispondere in tempi brevi, o l'indagine potrebbe essere archiviata.

Questo è il mio consiglio. Fiducioso che tu possa risolvere, ti saluto.




bustocb
Inviato: Thursday, March 29, 2012 3:51:02 PM

Rank: AiutAmico

Iscritto dal : 2/23/2012
Posts: 260
Ciao jimmy, gia mi ero dimenticato del tuo problema, comunque il log è pulito, ci sono delle voci nuove, le conosci ?
C:\Documents and Settings\Franc\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\PCShowServerPMWrapper.exe
C:\Documents and Settings\Franc\Impostazioni locali\Dati applicazioni\Sky Italia\Sky Go Player\NDSPCShowServer.exe
Se il pc funziona bene si potrebbe anche lasciar perdere, oppure prova a cercarli in questo modo:
Start cerca e digita: AntiAlias.exe ok
poi: Xaudio2Sound3D.exe ok
Se li trovi mettili nel cestino.
Non mi hai detto se hai fatto tutte le operazioni suggerite nell'altro mio post, come va il pc ?
Non saprei cos'altro suggerirti:
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.