Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » log come richiesto dal moderatore

log come richiesto dal moderatore Opzioni
Topic Precedente · Topic Sucessivo
diegoarmando
Inviato: Monday, June 04, 2007 2:10:11 PM
Rank: AiutAmico

Iscritto dal : 11/17/2004
Posts: 452
Così come mi ha detto un moderatore posto il log per un controllo per favore.
Mi preme sottolineare pero che nella descrizione del programma c era scritto che mi compariva una finestra in cui salvare il log ma a me non è comparso nulla e l ho salvato io come documento di testo. Spero che sia la cosa giusta da fare.
Il problema che ho è che c è una connessione chiamata Slyslogon che non riesco a cancellare e delle finestre che mi si aprono spesso. Come queste:

Errore
Errore durante l'esecuzione.
Eseguire il debug?

Riga: 42
Errore: 'document.quotesf.s' è nullo o non è un oggetto
Sì No
e questa

Errore
Errore durante l'esecuzione.
Eseguire il debug?

Riga: 237
Errore: 'DOM' non è definito
Sì No


ECCO IL LOG:

Logfile of HijackThis v1.99.1
Scan saved at 14.03.23, on 04/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\sscc.exe
C:\WINDOWS\system32\mfceee.exe
C:\WINDOWS\system32\helpsyss.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Maniscalco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: andRadio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [sixer566] C:\WINDOWS\system32\sscc.exe
O4 - HKLM\..\Run: [staeck122] C:\WINDOWS\system32\mfceee.exe
O4 - HKLM\..\Run: [sck121] C:\WINDOWS\system32\helpsyss.exe
O4 - HKLM\..\Run: [KernelFaultCheck] :systemroot:\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Win32] winnnit.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sixer566] C:\WINDOWS\system32\sscc.exe
O4 - HKCU\..\Run: [staeck122] C:\WINDOWS\system32\mfceee.exe
O4 - HKCU\..\Run: [sck121] C:\WINDOWS\system32\helpsyss.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Eandsporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{822F8E58-BD45-4A04-A309-4AD63BF359DD}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{822F8E58-BD45-4A04-A309-4AD63BF359DD}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
Torna in alto
 
Sponsor
Inviato: Monday, June 04, 2007 2:10:11 PM

 
Torna in alto
 
pidue
Inviato: Monday, June 04, 2007 5:06:38 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao,esegui la seguente procedura:
Chiudi HijackThis in una cartella a lui dedicata (possibilmente non sul desktop), altrimenti perdi i backup;

<b>disattiva il ripristino configurazione del sistema</b>:
tasto destro sull’icona Risorse del computer >> Proprietà >> Ripristino configurazione di sistema: togli la spunta dal quadratino dove c’è scritto :
<i>disattiva ripristino configurazione di sistema su tutte le unità</i>;

<b>avvia il computer in modalità provvisoria</b>:
riavvia il computer prima che si carichi Windows , premi ripetutamente il tasto F8;

<b>rendi visibili le cartelle nascoste in questo modo</b>:
da Risorse del computer:
Strumenti >> Opzioni cartella >> visualizzazione;
metti la spunta su:
<i>Visualizza file e cartelle nascoste</i>;
togli la spunta da:
<i>Nascondi file protetti del sistema(consigliato)</i>


Avvia hijackthis, con tutte le applicazioni chiuse, premi su <b>Do a system scan only</b> , spunta ed elimina <b>(fix checked)</b> le seguente righe:

<font color=red>
O4 - HKLM\..\Run: [sixer566] C:\WINDOWS\system32\sscc.exe
O4 - HKLM\..\Run: [sck121] C:\WINDOWS\system32\helpsyss.exe
O4 - HKCU\..\Run: [Win32] winnnit.exe
O4 - HKCU\..\Run: [sixer566] C:\WINDOWS\system32\sscc.exe
</font id=red>


Elimina i seguenti file in rosso.
________________________________________
C:\WINDOWS\system32\<font color=red>sscc.exe</font id=red>
C:\WINDOWS\system32\<font color=red>helpsyss.exe</font id=red>
________________________________________


Da Start >> Esegui, incolla la stringa <b>%temp%</b> ed elimina tutti file della cartella temp;

segui il punto <b>1</b> al seguente link:
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx

svuota il cestino;

fai un controllo antivirus a questo indirizzo:
http://security.symantec.com/sscv6/default.asp?productid=globalsitesandlangid=itandvenid=sym


<b>Alla fine:</b>

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo;
riposta un log aggiornato
Torna in alto
 
diegoarmando
Inviato: Friday, June 08, 2007 12:07:51 PM
Rank: AiutAmico

Iscritto dal : 11/17/2004
Posts: 452
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ciao,esegui la seguente procedura:
Chiudi HijackThis in una cartella a lui dedicata (possibilmente non sul desktop), altrimenti perdi i backup;

<b>disattiva il ripristino configurazione del sistema</b>:
tasto destro sull’icona Risorse del computer >> Proprietà >> Ripristino configurazione di sistema: togli la spunta dal quadratino dove c’è scritto :
<i>disattiva ripristino configurazione di sistema su tutte le unità</i>;

<b>avvia il computer in modalità provvisoria</b>:
riavvia il computer prima che si carichi Windows , premi ripetutamente il tasto F8;

<b>rendi visibili le cartelle nascoste in questo modo</b>:
da Risorse del computer:
Strumenti >> Opzioni cartella >> visualizzazione;
metti la spunta su:
<i>Visualizza file e cartelle nascoste</i>;
togli la spunta da:
<i>Nascondi file protetti del sistema(consigliato)</i>


Avvia hijackthis, con tutte le applicazioni chiuse, premi su <b>Do a system scan only</b> , spunta ed elimina <b>(fix checked)</b> le seguente righe:

<font color=red>
O4 - HKLM\..\Run: [sixer566] C:\WINDOWS\system32\sscc.exe
O4 - HKLM\..\Run: [sck121] C:\WINDOWS\system32\helpsyss.exe
O4 - HKCU\..\Run: [Win32] winnnit.exe
O4 - HKCU\..\Run: [sixer566] C:\WINDOWS\system32\sscc.exe
</font id=red>


Elimina i seguenti file in rosso.
________________________________________
C:\WINDOWS\system32\<font color=red>sscc.exe</font id=red>
C:\WINDOWS\system32\<font color=red>helpsyss.exe</font id=red>
________________________________________


Da Start >> Esegui, incolla la stringa <b>%temp%</b> ed elimina tutti file della cartella temp;

segui il punto <b>1</b> al seguente link:
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx

svuota il cestino;

fai un controllo antivirus a questo indirizzo:
http://security.symantec.com/sscv6/default.asp?productid=globalsitesandlangid=itandvenid=sym


<b>Alla fine:</b>

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo;
riposta un log aggiornato
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Ciao, non mi si accende in modalita provvisoria...che posso fare??
Torna in alto
 
pidue
Inviato: Friday, June 08, 2007 1:50:42 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Prova così:

Start >> esegui, scrivi <b>msconfig</b>, conferma. Nella finestra successiva clicca su BOOT.INI e metti un segno di spunta su /SAFEBOOT, conferma con OK.
Torna in alto
 
diegoarmando
Inviato: Friday, June 08, 2007 3:42:15 PM
Rank: AiutAmico

Iscritto dal : 11/17/2004
Posts: 452
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Prova così:

Start >> esegui, scrivi <b>msconfig</b>, conferma. Nella finestra successiva clicca su BOOT.INI e metti un segno di spunta su /SAFEBOOT, conferma con OK.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>


Allora:

1) le righe rosse le ho cancellate tutte

2)dei fil che dovevo cancellare ho trovato solo il primo

3)sui link che hai scritto non ci sono potuto andare xche in modalita provvisoria non mi fa collegare

4) dala cartella temp non si possono cancellare 5 dei file che erano contenuti

ecco il nuovo log:

Logfile of HijackThis v1.99.1
Scan saved at 15.37.01, on 08/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\mfceee.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\helpsyss.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [staeck122] C:\WINDOWS\system32\mfceee.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [sck121] C:\WINDOWS\system32\helpsyss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [staeck122] C:\WINDOWS\system32\mfceee.exe
O4 - HKCU\..\Run: [sck121] C:\WINDOWS\system32\helpsyss.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
Torna in alto
 
pidue
Inviato: Friday, June 08, 2007 5:25:58 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ovvio che non puoi collegarti in mod provvisoria. Fai la scansione qui:

http://www.bitdefender.com/it/
Torna in alto
 
diegoarmando
Inviato: Friday, June 08, 2007 5:59:23 PM
Rank: AiutAmico

Iscritto dal : 11/17/2004
Posts: 452
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ovvio che non puoi collegarti in mod provvisoria. Fai la scansione qui:

http://www.bitdefender.com/it/




ma è tutto a pagamento...non posso usare il mio avast?

<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
Torna in alto
 
diegoarmando
Inviato: Friday, June 08, 2007 7:48:26 PM
Rank: AiutAmico

Iscritto dal : 11/17/2004
Posts: 452
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ovvio che non puoi collegarti in mod provvisoria. Fai la scansione qui:

http://www.bitdefender.com/it/




ma è tutto a pagamento...non posso usare il mio avast?

<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>


ora quando riavvio mi compare una cartella con la scritta:

UTILITA CONFIGURAZIONE DI ISTEMA

L utilita onfigurazione di sistema è stata utilizzata per apportare modifiche alle modalità di avvio windows.

L utilita configurazione di sistema è attalmente in modlità avvio diagnostico o selettivo, causando la visualizzazione di quest messaggio e l esecuzione dell utilita ad ogni avvio di windows.

Per avviare windows normalmente e annullare le modifiche apportate mediante l utilita configurazione di sistema, scelgiere modalita di avvio normale nella scheda generale.
Torna in alto
 
pidue
Inviato: Friday, June 08, 2007 8:37:04 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Sul sito che ti ho indicato, devi cliccare sulla voce <b>Online Scanner</b>, in alto a sinistra.
Per non vedere a ogni riavvio quella finestra, devi spuntare un quadratino. Ci dovrebbe essere scritto di mettere la spunta per non vedere il form a ogni riavvio.
Torna in alto
 
diegoarmando
Inviato: Friday, June 08, 2007 9:27:22 PM
Rank: AiutAmico

Iscritto dal : 11/17/2004
Posts: 452
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Sul sito che ti ho indicato, devi cliccare sulla voce <b>Online Scanner</b>, in alto a sinistra.
Per non vedere a ogni riavvio quella finestra, devi spuntare un quadratino. Ci dovrebbe essere scritto di mettere la spunta per non vedere il form a ogni riavvio.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>


Sto fsacendo la scansione. Dopo che devo fare?
:O)
Torna in alto
 
pidue
Inviato: Friday, June 08, 2007 10:26:32 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Elimina le righe che ti ho detto con HijackThis e poi posta un log aggiornato.
Torna in alto
 
diegoarmando
Inviato: Friday, June 08, 2007 10:32:27 PM
Rank: AiutAmico

Iscritto dal : 11/17/2004
Posts: 452
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Elimina le righe che ti ho detto con HijackThis e poi posta un log aggiornato.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>


questo è il risultato della scansione:

BitDefender Online Scanner



Scan report generated at: Fri, Jun 08, 2007 - 22:00:02





Scan path: A:\;C:\;D:\;







Statistics

Time
00:32:49

Files
92727

Folders
1330

Boot Sectors
2

Archives
1321

Packed Files
6645




Results

Identified Viruses
1

Infected Files
19

Suspect Files
1

Warnings
0

Disinfected
0

Deleted Files
20




Engines Info

Virus Definitions
512608

Engine build
AVCORE v1.0 (build 2409) (i386) (May 9 2007 18:01:21)

Scan plugins
14

Archive plugins
38

Unpack plugins
6

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\Documents and Settings\Maniscalco\Impostazioni locali\Temporary Internet Files\Content.IE5\ST63G9QB\11758-23[2].exe
Suspected of: Generic.Malware.Yd.2E8C8B7C

C:\Documents and Settings\Maniscalco\Impostazioni locali\Temporary Internet Files\Content.IE5\ST63G9QB\11758-23[2].exe
Disinfection failed

C:\Documents and Settings\Maniscalco\Impostazioni locali\Temporary Internet Files\Content.IE5\ST63G9QB\11758-23[2].exe
Deleted

C:\Programmi\Adobe\Acrobat 7.0\Reader\HowTo\ENU\HowTo01.html
Infected with: Trojan.Rahack.HTM

C:\Programmi\Adobe\Acrobat 7.0\Reader\HowTo\ENU\HowTo01.html
Disinfection failed

C:\Programmi\Adobe\Acrobat 7.0\Reader\HowTo\ENU\HowTo01.html
Deleted

C:\Programmi\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\Howto\picturetasks_ENU.html
Infected with: Trojan.Rahack.HTM

C:\Programmi\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\Howto\picturetasks_ENU.html
Disinfection failed

C:\Programmi\Adobe\Acrobat 7.0\Reader\plug_ins\PictureTasks\Howto\picturetasks_ENU.html
Deleted

C:\Programmi\Microsoft Office\OFFICE11\1040\INDEX.HTM
Infected with: Trojan.Rahack.HTM

C:\Programmi\Microsoft Office\OFFICE11\1040\INDEX.HTM
Disinfection failed

C:\Programmi\Microsoft Office\OFFICE11\1040\INDEX.HTM
Deleted

C:\WINDOWS\PCHealth\HelpCtr\System\errors\connection.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\PCHealth\HelpCtr\System\errors\connection.htm
Disinfection failed

C:\WINDOWS\PCHealth\HelpCtr\System\errors\connection.htm
Deleted

C:\WINDOWS\PCHealth\HelpCtr\System\NetDiag\dglogs.htm=>(VBSCRIPT 2)
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\PCHealth\HelpCtr\System\NetDiag\dglogs.htm=>(VBSCRIPT 2)
Disinfection failed

C:\WINDOWS\PCHealth\HelpCtr\System\NetDiag\dglogs.htm=>(VBSCRIPT 2)
Deleted

C:\WINDOWS\PCHealth\HelpCtr\System\NetDiag\dglogs.htm
Updated

C:\WINDOWS\system32\oobe\actsetup\activsvc.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\actsetup\activsvc.htm
Disinfection failed

C:\WINDOWS\system32\oobe\actsetup\activsvc.htm
Deleted

C:\WINDOWS\system32\oobe\actsetup\actlan.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\actsetup\actlan.htm
Disinfection failed

C:\WINDOWS\system32\oobe\actsetup\actlan.htm
Deleted

C:\WINDOWS\system32\oobe\actsetup\adeskerr.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\actsetup\adeskerr.htm
Disinfection failed

C:\WINDOWS\system32\oobe\actsetup\adeskerr.htm
Deleted

C:\WINDOWS\system32\oobe\actshell.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\actshell.htm
Disinfection failed

C:\WINDOWS\system32\oobe\actshell.htm
Deleted

C:\WINDOWS\system32\oobe\error\toobusy.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\error\toobusy.htm
Disinfection failed

C:\WINDOWS\system32\oobe\error\toobusy.htm
Deleted

C:\WINDOWS\system32\oobe\html\dslmain\dsl_a.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\html\dslmain\dsl_a.htm
Disinfection failed

C:\WINDOWS\system32\oobe\html\dslmain\dsl_a.htm
Deleted

C:\WINDOWS\system32\oobe\html\dslmain\dsl_b.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\html\dslmain\dsl_b.htm
Disinfection failed

C:\WINDOWS\system32\oobe\html\dslmain\dsl_b.htm
Deleted

C:\WINDOWS\system32\oobe\isperror\isphdshk.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\isperror\isphdshk.htm
Disinfection failed

C:\WINDOWS\system32\oobe\isperror\isphdshk.htm
Deleted

C:\WINDOWS\system32\oobe\isperror\ispins.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\isperror\ispins.htm
Disinfection failed

C:\WINDOWS\system32\oobe\isperror\ispins.htm
Deleted

C:\WINDOWS\system32\oobe\setup\drdyisp.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\setup\drdyisp.htm
Disinfection failed

C:\WINDOWS\system32\oobe\setup\drdyisp.htm
Deleted

C:\WINDOWS\system32\oobe\setup\ispwait.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\setup\ispwait.htm
Disinfection failed

C:\WINDOWS\system32\oobe\setup\ispwait.htm
Deleted

C:\WINDOWS\system32\oobe\setup\neweula.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\setup\neweula.htm
Disinfection failed

C:\WINDOWS\system32\oobe\setup\neweula.htm
Deleted

C:\WINDOWS\system32\oobe\setup\prodkey.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\setup\prodkey.htm
Disinfection failed

C:\WINDOWS\system32\oobe\setup\prodkey.htm
Deleted

C:\WINDOWS\system32\oobe\setup\prvcyms.htm
Infected with: Trojan.Rahack.HTM

C:\WINDOWS\system32\oobe\setup\prvcyms.htm
Disinfection failed

C:\WINDOWS\system32\oobe\setup\prvcyms.htm
Deleted













come ti ho detto le linee rosse le ho cancellate tutte sono i file che dovevo cancellare che ne ho trovato uno solo.
Questo è il nuovo log:

Logfile of HijackThis v1.99.1
Scan saved at 22.31.58, on 08/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\mfceee.exe
C:\WINDOWS\system32\helpsyss.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: andRadio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [staeck122] C:\WINDOWS\system32\mfceee.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [sck121] C:\WINDOWS\system32\helpsyss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [staeck122] C:\WINDOWS\system32\mfceee.exe
O4 - HKCU\..\Run: [sck121] C:\WINDOWS\system32\helpsyss.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Eandsporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - :windir:\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{822F8E58-BD45-4A04-A309-4AD63BF359DD}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{822F8E58-BD45-4A04-A309-4AD63BF359DD}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
Torna in alto
 
diegoarmando
Inviato: Saturday, June 09, 2007 11:21:04 AM
Rank: AiutAmico

Iscritto dal : 11/17/2004
Posts: 452
e ora?
Torna in alto
 
pidue
Inviato: Saturday, June 09, 2007 9:41:48 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ora la soluzione più saggia è un bel formattone. Ci metti meno tempo di quello che impiegheresti a pulirlo dai troppi virus residenti. Tanto più che l'esito è molto incerto.

Edited by - pidue on 06/09/2007 21:43:34
Torna in alto
 
diegoarmando
Inviato: Saturday, June 09, 2007 9:46:02 PM
Rank: AiutAmico

Iscritto dal : 11/17/2004
Posts: 452
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ora la soluzione più saggia è un bel formattone. Ci metti meno tempo di quello che impiegheresti a pulirlo dai troppi virus residenti. Tanto più che l'esito è molto incerto.

Edited by - pidue on 06/09/2007 21:43:34
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>


azzo! e come si fa a formattare: tu me lo puoi dire?
Nn c è proprioa ltro modo?
Ma se ho avast perche il pc si riempie di virus, io ste cose non le capisco!
Torna in alto
 
pidue
Inviato: Sunday, June 10, 2007 9:43:09 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Avast fa quello che può e un antivirus da solo non risolve tutti i problemi della sicurezza. Per esempio il tuo Sistema Operativo non risulta aggiornato e gli aggiornamenti in gran parte servono ad aumentarne le difese. Meglio sarebbe che tu installi il Sp2 (lo puoi scaricare gratuitamente oppure puoi farti spedire il dischetto - è gratuito - dalla Microsoft). L'ideale sarebbe conoscere qualcuno che sia in grado di aiutarti. Spiegare come si formatta attraverso un forum è lunga. Oppure, se vuoi imparare a fare da solo, questa è l'occasione, ci vuole solo buona volontà. In internet trovi tutte le indicazione che vuoi e questo forum può sempre venirti in aiuto. Nel link che ti do sotto c'è una valida guida alla formattazione.
Ciao.

http://www.megalab.it/articoli.php?id=220&pagina=2



Edited by - pidue on 06/10/2007 09:48:17
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » log come richiesto dal moderatore


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.