MegaLab.it

Ciao a tutti,
credo di avere un virus nel pc, ho provato a leggere i vostri interventi ma essendo poco pratica del settore prima di metter mano al pc vorrei essere sicura di non fare danni, quindi in sostanza vi chiedo aiuto.

Il pc mi si blocca continuamente, quando sono su internet si riavvia da solo, e mi sono trovata delle icone strane sul desktop.
Ho fatto una scansione con ad aware, mi ha individuato dei files infetti e credevo di averli eliminati, ma il problema si ripropone.


Da profana ho dato un'occhiata in c e ho trovato iexplore.exe, avp.exe, spoolsv.exe. Mi si è aperta anche una finestrella in cui diceva che c'era un virus appunto in spool.exe, ma non mi fa aprire l'antivirus.

Cosa devo fare per eliminarlo?
Scusate se il mio post ricalca quello di tanti altri, ma io ho proprio bisogno di essere seguita dall'abc.

Posta un log di hijackthis, le istruzioni le trovi qui:

http://www.MegaLab.it/2286

mi compare questo:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.37.04, on 06/12/2007
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINNT\avp.exe
C:\WINNT\mgrs.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINNT\system32\ntvdm.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programmi\E404 Helper\e404.v5.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [BioniXWallpaper] "C:\WINNT\BioniX Wallpaper v5.1 RC1\BionixWallpaper5.exe"
O4 - HKCU\..\Run: [spoolw] C:\WINNT\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINNT\system32\igfxsvc.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Aggiornavirus.lnk = ?
O4 - Startup: Collegamento a DataBridge3.lnk = C:\Documents and Settings\palmare\Desktop\Palmare\DataBridge3\DataBridge3.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{790273EC-69F4-40B1-B6B2-DE86316F1D6C}: NameServer = 10.11.1.51,10.11.1.61
O21 - SSODL: E404Helper - {f3e7f26b-25a6-498a-84d0-f549b4f78869} - e404d.dll (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoTask.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programmi\RealVNC\VNC4\WinVNC4.exe

--
End of file - 3645 bytes

prima di fare la scansione mi compare una maschera che dice
your sistem denied write access to the hots file in ani hujacked domains are in this file, hijack this may not be able to fix this
you need to edit the file your self
to do this
start run and type note pad
c:\winnt\system32\drivers\etc\hots
and press enter
find reports and delete they save files as hosts and reboot

Seleziona queste voci e premi fix checked in basso:

O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [spoolw] C:\WINNT\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINNT\system32\igfxsvc.exe
O21 - SSODL: E404Helper - {f3e7f26b-25a6-498a-84d0-f549b4f78869} - e404d.dll (file missing)

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINNT\avp.exe
C:\WINNT\mgrs.exe
C:\WINNT\system32\spoolw.exe
C:\WINNT\system32\igfxsvc.exe


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

ste_95 ha scritto:C:\WINNT\system32\spoolw.exe
C:\WINNT\system32\igfxsvc.exe

Per questi due file, usa invece questa procedura
http://www.MegaLab.it/2761
altrimenti rischi al riavvio del pc di trovarti il desktop vuoto e il pc ancora infetto.

Non installi il service pack 4 di windows 2000?
E tutte le altre patch?

Dopo per forza arrivano i virus.....

mi metti il link per scaricare avanger perché se clicco su quello che mi hai messo mi apre in automatico una pagina di pubblicità credo sia il virus

crazy.cat ha scritto:

ste_95 ha scritto:C:\WINNT\system32\spoolw.exe
C:\WINNT\system32\igfxsvc.exe

Per questi due file, usa invece questa procedura
http://www.MegaLab.it/2761
altrimenti rischi al riavvio del pc di trovarti il desktop vuoto e il pc ancora infetto.

Non installi il service pack 4 di windows 2000?
E tutte le altre patch?

Dopo per forza arrivano i virus.....

e' il pc dell'ufficio e sti pirla nn hanno installato un tubo di niente ditemi che posso fare e ci penso io

Questo non funziona?

http://swandog46.geekstogo.com/avenger.zip

Prova allora con questo:

www.softnews.altervista.org/files_download/avenge.zip

mi si apre questo
http://dns4error.com/

Prova a scaricarlo da qui:

http://www.freefilehosting.net/download/NDY0NjI=

Prima però vedi di fare pulizia dai virus
Download Sp4
dopo il sp4, vai subito sul sito di windows update e scarichi quello che manca.

se avenger proprio non riesce ad avviarsi, puoi usare unlocker o killbox per rimuovere i file che ti sono stati indicati.

ste_95 ha scritto:Seleziona queste voci e premi fix checked in basso:

O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [spoolw] C:\WINNT\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINNT\system32\igfxsvc.exe
O21 - SSODL: E404Helper - {f3e7f26b-25a6-498a-84d0-f549b4f78869} - e404d.dll (file missing)

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINNT\avp.exe
C:\WINNT\mgrs.exe
C:\WINNT\system32\spoolw.exe
C:\WINNT\system32\igfxsvc.exe


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Compare questo
/////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create driver file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!

Sei sicura di copiare tutto lo script?

Hai fixato le voci da me indicate?

Esegui prima le istruzioni della guida linkata da crazy e poi reinserisci lo script:




Files to delete:
C:\WINNT\avp.exe
C:\WINNT\mgrs.exe

Ho fatto questo percorso da task manager come suggeriva la guida

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

ma non c'è explorer.exe nè iexplorer.exe

può essere siano in un'altra cartella?

e con advanger mi esce sempre la scritta di prima

Se non trova le chiavi, non ti preoccupare, vai pure avanti...

Alla fine, entra in modalità provvisoria ed elimina i seguenti files:

C:\WINNT\avp.exe
C:\WINNT\mgrs.exe

ma per andare in modalità provvisoria come faccio? lo avevo fatto una volta e nn mi ricordo più.. scusate sono imbranata
e lo script che mi hai detto dove lo inserisco

Avenger per qualche motivo non funziona, bisogna quindi operare manualmente, per farlo:

Avvia in modalità provvisoria e cancella i seguenti files:

C:\WINNT\avp.exe
C:\WINNT\mgrs.exe

ho fatto una scansione online con bitdefender. Ha trovato 3 virus e li ha eliminati. secondo voi posso star tranquilla o devo fare altro?
Intanto grazie

Ricordi dove li aveva trovati?