Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Virus mi ha attaccato la scheda rete Opzioni
nitrol1luigi
Inviato: Friday, July 03, 2009 2:32:58 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Salve ragazzi, ho appena preso un virus su un computer fresco fresco di negozio. Il virus mi ha attaccato l'anitivirus chiudendolo senza il mio permesso e arrestando il sistema. Ho riacesso il pc, appare sempre un messaggio di errore, e la "scansione all'avvio" di avast è compromessa, ma posso comunque avviare avast, e dopo una scansione, o cancellato tutti i file infetti poichè non potevano essere riparati ne messi nel cestino. Oltretutto il pc non riconosce più la rete wireless di casa mia, ma collegando con il cavo mi sono tranquillamente connesso. Cosa devo fare? Vi prego aiutatemi, il computer è nuovo nuovo e ci ho speso dietro tanti soldi, non posso credere di averlo già compromesso...
Sponsor
Inviato: Friday, July 03, 2009 2:32:58 PM

 
paolopa
Inviato: Friday, July 03, 2009 3:03:06 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
posta un log,renderai piu' agevole il compito a chi ti aiutera'!
http://www.aiutamici.com/software?ID=11175
intanto che aspetti potresti farti una scansione online:
http://www.bitdefender.com/scanner/online/free.html
devi usare internet explorer.
nitrol1luigi
Inviato: Friday, July 03, 2009 3:13:42 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.10.47, on 03/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files (x86)\Vtune\TBPANEL.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\TP-LINK\TP-LINK Wireless N Client Utility\jswtrayutil.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files (x86)\QuickTime\QTTask.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\oem\AppData\Roaming\m\flec006.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [jswtrayutil] "C:\Program Files (x86)\TP-LINK\TP-LINK Wireless N Client Utility\jswtrayutil.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TBPanel] C:\Program Files (x86)\Vtune\TBPanel.exe /A
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [nHancer] "C:\Program Files\nHancer\nHancer.exe" /tray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Users\oem\AppData\Roaming\drivers\winupgro.exe
O4 - HKCU\..\Run: [mule_st_key] C:\Users\oem\AppData\Roaming\m\flec006.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe
O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - TP-LINK TECHNOLOGIES CO., LTD. - C:\Program Files (x86)\TP-LINK\TP-LINK Wireless N Client Utility\jswpsapi.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\SysWOW64\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8703 bytes




Questo era il log, sto facendo la scansione online. Grazie per aver risposto.
shapiro
Inviato: Friday, July 03, 2009 5:37:45 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
ciao

purtroppo ti devo comunicare con dispiacere che sei infettato dal virus bagle

un po' di pazienza e lo elimineremo

esegui queste operazioni

disattiva il ripristino di sistema

Pannello di controllo e seleziona Sistema e manutenzione e quindi l’icona Sistema. Oppure clicca con il tasto destro del mouse sull’icona Computer che trovi sul desktop.


scarica http://dc108.4shared.com/download/75022994/b07bff/FindyKill.exe?tsid=20090209-102651-de3379fb


Una volta installato chiudi tutte le applicazioni attive e disconnettiti dal internet, poi clicca sull'icona di FindyKill e nella finestra dos che si aprirà scrivi 2 e premi Invio. Attendi il termine della scansione e posta qui il log che trovi in C:\FindyKill.txt
nitrol1luigi
Inviato: Friday, July 03, 2009 6:00:10 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Fatto tutto come dici tu. Il computer si riavvia e nessun cambiamento. E nessun file findykill.txt.

EDIT: Ah si scusate mi sono dimenticato: dato il danneggiamento dell'antivirus, non sono riuscito a chiuderlo quando ho avviato findykill. Devo disinstallarlo? Magari lo ritenevi scontato ma io in fatto di virus non capisco niente.
shapiro
Inviato: Friday, July 03, 2009 6:10:35 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
se ti funziona ancora l'antivirus disattivalo ed esegui nuovamente findykill

devi postarmi il log che ti rilascia
nitrol1luigi
Inviato: Friday, July 03, 2009 6:24:27 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Ho disinstallato l'antivirus. Chiuse tutte le applicazioni, scollegato internet. Avviato findykill, premuto 2, si riavvia il sistema, e nessun file log in C.

EDIT: ragazzi ho cercato informazioni e ho visto che ci sono programmi fatti apposta per questo virus tipo: Bagled, Elibagla, Combo Fix, Malwarebytes' Anti-Malware. Forse è meglio usare questi?
r16
Inviato: Friday, July 03, 2009 6:31:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Hai provato a disabilitare il UAC, ed eseguire findykill come Amministratore?
http://www.faqwindows.com/public/post/disabilitare-uac-da-pannello-di-controllo-disable-uac-12.asp
nitrol1luigi
Inviato: Friday, July 03, 2009 6:32:57 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
r16 ha scritto:
Hai provato a disabilitare il UAC


Uh... sarebbe?
EDIT: Non avevo visto il link.


Commenta:
ed eseguire findykill come Amministratore?


Provo.
r16
Inviato: Friday, July 03, 2009 6:36:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Per eseguirlo come Amministratore, clicca con il tasto DESTRO sopra l'icona di findykill , e scegli "Esegui come Amministratore".
nitrol1luigi
Inviato: Friday, July 03, 2009 6:46:17 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
r16 ha scritto:
Per eseguirlo come Amministratore, clicca con il tasto DESTRO sopra l'icona di findykill , e scegli "Esegui come Amministratore".


Guarda fino a questo riuscivo ad arrivarci XD. Comunque il UAC lo avevo già disabilitato, ho eseguito come amministratore, ma nessun file log. Però ho notato solo ora che non appare più una finestra di errore che appariva all'avvio, e che ora non ricordo. Sta di fatto che ho ancora gravi problemi con internet, che impiega una vita a caricarsi. Consigli?

P.S. Mi sono dimenticato di ringraziarvi, quindi grazie XD Boo hoo!
r16
Inviato: Friday, July 03, 2009 6:49:59 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ok, non trovi il log.
Ma la scansione è stata eseguita?
shapiro
Inviato: Friday, July 03, 2009 7:03:28 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
controlla meglio.....il og lo trovi in C:\ come FindyKill.txt
nitrol1luigi
Inviato: Friday, July 03, 2009 7:06:54 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
r16 ha scritto:
Ok, non trovi il log.
Ma la scansione è stata eseguita?


Come faccio a saperlo? Una volta fatto 2, invio in findykill, mi da un messaggio: "Findykill will delete files and folders known to be harmful. Thank you for waiting the message Cleaning done! Save your work and close it. There will be two reboots." Faccio Ok, unica opzione. Premo un qualsiasi pulsante e appare un messaggio arresto in corso findykill sta facendo il reboot o qualcosa di simile. Si riavvia, e fine. E' stata eseguita? Boh. Non so come funziona il programma. Saluti

EDIT: Ho fatto la ricerca. Non trova altri file findykill oltre a quelli nella directory del programma e i collegamenti.
shapiro
Inviato: Friday, July 03, 2009 7:12:55 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
non capisco cosa puo' essere successo...e' la prima volta che leggo questo

prova a scansionare il pc con combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop ed esci dalla rete.

doppio click sull'icona di combofix presente sul desktop, accetta il disclaimer che ti avvisa dell'utilizzo e lascia compiere la scansione senza fare nulla con il pc
al termine il pc dovrebbe riavvarsi, verrà creato un file log chiamato C:\ComboFix.txt.
allega il log creato al prossimo post in formato .TXT
r16
Inviato: Friday, July 03, 2009 7:15:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
@shapiro :
E' più indicata una scansione con Elibagle.
nitrol1luigi
Inviato: Friday, July 03, 2009 7:20:07 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Soprattutto perchè combofix non funziona su vista, o almeno la versione postata da shapiro.
r16
Inviato: Friday, July 03, 2009 7:24:53 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica elibagla : http://www.zonavirus.com/datos/descargas/95/elibagla.asp scorri a fondo pagina e clicca su "descargar elibagla".
Salva il file sul desktop
IMPORTANTE: Disconnettiti da internet e disattiva il tuo antivirus.
Doppio click sull'icona Elibagla.exe per avviare il programma.
Assicurati che la casella "Eliminar Ficheros Automaticamente" sia spuntata, e clicca sul pulsante "Explorar".
Al termine della scansione DEVI RIAVVIARE il pc,e postare il log che si trova in: C:\InfoSat.txt
shapiro
Inviato: Friday, July 03, 2009 7:25:33 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
dimenticavo che hai vista

scaricalo da qui

il download lo trovi in fondo alla pagina http://www.zonavirus.com/datos/descargas/95/elibagla.asp

lancia il programma e spunta '' ELIMINAR FICHEROS AUTOMATICAMENTE''

clicca su EXPLORAR per avviare la scansione


quando avra' finito vai in C:\ e salva il log che posterai qui nel forum
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.