www.MegaLab.it

da **sissifra** » mar feb 27, 2007 11:27 pm

Allora... l'antivirus mi individua un trojan dal nome system.exe e logon.exe ma io credo che si tratti di file utili camuffati da virus dal momento che non me li fa eliminare... comunque l'antivirus (mcafee) non mi carica in automatico la protezione... cosa devo flaggare e poi cosa devo fare per ripulire il mio pc??? Aiuto!!!!!!
[acc2]

Logfile of HijackThis v1.99.1
Scan saved at 22.20.28, on 27/02/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\zxcm.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\config.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\File comuni\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FILECO~1\mcafee\redirsvc\redirsvc.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programmi\McAfee\MPF\MPFSrv.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system\system.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\sissi\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {40DD12F6-6165-4A19-BD65-3DFB8510D3D5} - C:\WINDOWS\System32\tuvurom.dll (file missing)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programmi\mcafee\virusscan\scriptcl.dll
O2 - BHO: (no name) - {896C6939-1B7C-4C1F-A55D-F20FDBA1673D} - (no file)
O2 - BHO: (no name) - {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\zxcm.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7C77CEF-AF04-4EAA-995B-5414BB3659A6}: NameServer = 151.99.125.1 151.99.0.100
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FILECO~1\McAfee\EmProxy\emproxy.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programmi\File comuni\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programmi\McAfee\MPF\MPFSrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: Windows System Service (SYSTEMSVC) - Unknown owner - C:\WINDOWS\system\system.exe

da **egidiociuf** » mar feb 27, 2007 11:49 pm

C:\WINDOWS\System32\zxcm.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\config.exe

C:\WINDOWS\system\system.exe

O2 - BHO: (no name) - {40DD12F6-6165-4A19-BD65-3DFB8510D3D5} - C:\WINDOWS\System32\tuvurom.dll (file missing)

O2 - BHO: (no name) - {896C6939-1B7C-4C1F-A55D-F20FDBA1673D} - (no file)
O2 - BHO: (no name) - {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C} - (no file)

O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\zxcm.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Windows Config System] config.exe

O4 - HKLM\..\RunServices: [Windows Config System] config.exe

O23 - Service: Windows System Service (SYSTEMSVC) - Unknown owner - C:\WINDOWS\system\system.exe

Io tutte queste voci le eliminerei a meno che tu non conosca il significato.

da **sissifra** » mar feb 27, 2007 11:52 pm

Sei sicuro? non è che faccio qualche danno? Come devo procedere? Li devo flaggare da hijacktis e poi per eliminarli definitivamente?

da **egidiociuf** » mar feb 27, 2007 11:59 pm

Se vuoi essere più tranquillo creati un punto di ripristino e poi cancella quei file, se vedi che qualcosa è andato storto (ne dubito), basta che ripristini il pc.

ciao, fammi sapere

da **sissifra** » mer feb 28, 2007 12:11 am

come faccio a eliminarli? non basta flaggarli vero? mi ricordi coma si fa a creare un punto di ripristino...
grazie

da **egidiociuf** » mer feb 28, 2007 12:17 am

Per creare un punto di ripristino devi cliccare su start>programmi>accessori>utilità di sistema>ripristino configurazione di sistema.

Per il momento selezionali e premi fix, dopodichè riavvii il sistema e fai un'altra scanzione se non l' ha eliminati dobbiamo mettere mano al registro di sistema

da **Amantide** » mer feb 28, 2007 12:23 am

Abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti) ed elimina dalla modalità provvisoria o con aiuto di Unlocker questi file in rosso:

C:\WINDOWS\System32\zxcm.exe

C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\config.exe
C:\WINDOWS\system\system.exe

Dopo vai su Start--> Esegui--> digita CMD e premi Ok.
Nel prompt dei comandi inserisci uno alla volta questi comandi premendo ogni volta Invio:
sc stop SYSTEMSVC
sc delete SYSTEMSVC

Alla fine rifai la scansione con Hijackthis e fixa le voci che ti sono state indicate prima.

Ma la scansione con Superantispyware avevi fatto? Non ha rilevato nulla?

da **sissifra** » mer feb 28, 2007 12:35 am

grazie. sono solo questi dal mio log da eliminare? adesso provo a rifare anche la scansione con superantisp... prima aveva individuato alcuni spyware ma non mi aveva risolto il problema.

da **sissifra** » mer feb 28, 2007 1:23 am

Ecco il risultato dopo aver fatto le operazioni indicate... l'antivirus mcafee continua a rilevare un malaware su system.exe e mi dice che il computer non è protetto e devo cliccare su risolvi anche se dopo poco sono punto e a capo... help!!!

Logfile of HijackThis v1.99.1
Scan saved at 0.20.06, on 28/02/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\File comuni\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FILECO~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programmi\McAfee\MPF\MPFSrv.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system\system.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\Programmi\Internet Explorer\iexplore.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe

da **egidiociuf** » mer feb 28, 2007 1:45 am

Ma hai eseguito tutti i passaggi che ti ha consigliato Amantide???

da **sissifra** » mer feb 28, 2007 1:55 am

si ho seguito le indicazioni e dopo il riavvio sembra tutto ok... adesso mcafee ha messo il cavallo di troia system.exe in quarantena... è pericoloso che resti qui? come devo fare.... all'avvio mi sembra un po' lento... carica tutte le icone dei programmi e un po' dopo l'antivirus e l'antispywares... posso migliorare le prestazioni e risolvere questo problema?
Ci mette un po' troppo rispetto alla velocità che aveva prima della formattazione che ho dovuto fare oggi...

da **egidiociuf** » mer feb 28, 2007 2:04 am

Ma hai eseguito tutti i passaggi che ti ha consigliato Amantide???

da **egidiociuf** » mer feb 28, 2007 2:14 am

Per velocizzare l'accenzione del pc devi semplicemente togliere tutti quei programmi che partono all'avvio ma che non servono, ma mi sembra che tu all'avvio non hai programmi superflui, quindi prova così:

Start>Esegui> digiti CMD e dal prompt dei comandi digiti:

defrag c: /b

P.S. sei sicuro che l'ultimo log di HiJackThis sia completo perché mi sembra molto corto!!!

da **crazy.cat** » mer feb 28, 2007 9:10 am

egidiociuf ha scritto:P.S. sei sicuro che l'ultimo log di HiJackThis sia completo perché mi sembra molto corto!!!

Il log è tagliato, manca tutta la seconda parte.
Però si vede che manca il Sp2 e quindi non bisogna meravigliarsi che virus entrino come meglio gli pare.

da **sissifra** » mer feb 28, 2007 9:34 am

il log non era tagliato... era tutto quello che mi dava.... comunque appena posso lo faccio di nuovo e ve lo mando ancora...

da **crazy.cat** » mer feb 28, 2007 9:42 am

sissifra ha scritto:il log non era tagliato... era tutto quello che mi dava.... comunque appena posso lo faccio di nuovo e ve lo mando ancora...

La risposta a quello che mi hai chiesto non è possibile.

www.MegaLab.it

aiuto... virus... antivirus non li elimina...

aiuto... virus... antivirus non li elimina...

Chi c’è in linea