www.MegaLab.it

da **Riky88** » sab mar 22, 2008 5:14 pm

All'avvio di windows mi appare questo "errore" e cercando un po' risulta un virus provocato da skype...programma che io non ho mai installato e usato.
Immagine

Comunque ho fatto partire "HijackThis" e questo è il log, cosa devo eliminare?:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.07.31, on 22/03/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msnnmaneger.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\emre1.exe
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [emre1] emre1.exe
O4 - HKLM\..\Run: [hotefix] msnnmaneger.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\RunServices: [emre1] emre1.exe
O4 - HKLM\..\RunServices: [hotefix] msnnmaneger.exe
O4 - HKLM\..\RunOnce: [hotefix] msnnmaneger.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [emre1] emre1.exe
O4 - HKCU\..\Run: [hotefix] msnnmaneger.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [hotefix] msnnmaneger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1715567821-1326574676-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1715567821-1326574676-725345543-1003\..\RunOnce: [hotefix] msnnmaneger.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [hotefix] msnnmaneger.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [hotefix] msnnmaneger.exe (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{6180DE38-6161-488B-9E14-9201DC066795}: NameServer = 85.37.17.4 85.38.28.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{6180DE38-6161-488B-9E14-9201DC066795}: NameServer = 85.37.17.4 85.38.28.70
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe (file missing)

Grazie a tutti anticipatamente

da **crazy.cat** » sab mar 22, 2008 5:39 pm

Prima di cancellare i file che ti indico più sotto, ti dispiacerebbe zipparli e caricarli su questo sito per poterli studiare
http://www.wikifortio.com/

Rifai la scansione con hijackthis, selezioni le caselle di queste righe e premi fix checked per eliminarle.
Poi con killbox o unlocker vai a cancellare i vari file exe che sono indicati e che trovi nel tuo pc.

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [emre1] emre1.exe
O4 - HKLM\..\Run: [hotefix] msnnmaneger.exe
O4 - HKLM\..\RunServices: [emre1] emre1.exe
O4 - HKLM\..\RunServices: [hotefix] msnnmaneger.exe
O4 - HKLM\..\RunOnce: [hotefix] msnnmaneger.exe
O4 - HKCU\..\Run: [emre1] emre1.exe
O4 - HKCU\..\Run: [hotefix] msnnmaneger.exe
O4 - HKCU\..\RunOnce: [hotefix] msnnmaneger.exe
O4 - HKUS\S-1-5-21-1715567821-1326574676-725345543-1003\..\RunOnce: [hotefix] msnnmaneger.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [hotefix] msnnmaneger.exe (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [hotefix] msnnmaneger.exe (User 'Default user')

da **Riky88** » sab mar 22, 2008 5:43 pm

Grazie per aver risposto...
Scusa la mia niubbità, ma in che senso zippare?

da **crazy.cat** » sab mar 22, 2008 5:59 pm

zippare=comprimere creare un archivio zippato o compresso

Volevo questi tre file Isass.exe, emre1.exe, msnnmaneger.exe che dovrebbero trovarsi tutti nella cartella windows\system32.

Lasci stare comunque se è un problema.

da **Riky88** » sab mar 22, 2008 6:16 pm

Sono riuscito a trovare solo ISASS.EXE lo ho messo in una cartella compressa e "uploadato" su quel sito e poi fatto il download...solo che mi fa salvare un'altra cartella con un file dentro....se è giusto quello che ho fatto poi che devo fare?

da **crazy.cat** » sab mar 22, 2008 6:22 pm

Lasci stare, pensa ad eliminare i file non importa che me li passi.

guarda bene nella cartella system32 ci devono essere anche gli altri, abilita la visione dei file nascosti e di sistema per trovarli.
Una volta eliminati, riavvia il pc e riprova a vedere se ritornano.

www.MegaLab.it

HijackThis,cosa eliminare

HijackThis,cosa eliminare

Re: HijackThis,cosa eliminare

Chi c’è in linea