www.MegaLab.it

da **alexbor1979** » lun giu 18, 2007 10:01 pm

Ho il computer infetto peggio di una pestilenza!!!
vi prego aiutatemi.

ho come antivirus AVAST
ho come controllo spyware avg antispyware che individua:

donwloader.tiny.hi
hijacker.agent.hx

oltre a vari euristic.32dialer.

mi hanno infettato i seguenti file:
iexplore.exe
spoolw.exe
igfxsvg.exe
oltre a costruirmi dei file numerati.dll in c:

non riesco a sradicare il male in quanto se metto in quarantena i file, logicamente, non mi si avvia il computer...

che fare?
ho installato gmer ed allego il tracciato ed ho installato the avenger ma non so come utilizzarlo.

grazie per il vostro aiuto.
ciao a tutti
alessandro

da **wolly76** » lun giu 18, 2007 11:29 pm

Inizia col disinstallare avast e metti su o active virus shield oppure antivir, poi disintstalla anche avgantispyware e sostituiscilo con spywareterminator per il controllo reale e ad-squared per la scansione.
Installa questi aggiornali e fagli fare la scansione, scaricati anche hijackthis e posta qui il suo risultato

da **crazy.cat** » mar giu 19, 2007 9:38 am

Oltre a seguire i consigli di wolly76, mi puoi dire se questi file sono ancora presenti nel tuo pc.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run@5T19I3B27A = C:\WINDOWS\csrs.exe /*file not found*/
@spoolwC:\WINDOWS\System32\spoolw.exe /*file not found*/ = C:\WINDOWS\System32\spoolw.exe /*file not found*/
@igfxsvcC:\WINDOWS\System32\igfxsvc.exe /*file not found*/ = C:\WINDOWS\System32\igfxsvc.exe /*file not found*/

Aspettiamo il log di hijackthis.

da **alexbor1979** » gio giu 21, 2007 1:43 am

grazie per i consigli provo domani mattina e vi mando il tutto.
ciao
alessandro

da **alexbor1979** » gio giu 21, 2007 9:43 pm

Ciao,

seguito strettamente le vostre indicazioni e logicamente sia l'antivirus che l'antispyware hanno iniziato a segnalare virus a raffica.
per riuscire a fare il log di hijackthis li ho disattivati se no continuavano ad aprirsi loro finestre sul desktop....

ecco il log.

Logfile of HijackThis v1.99.1
Scan saved at 20.41.57, on 21/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\spoolw.exe
C:\WINDOWS\System32\igfxsvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\spoolw.exe
C:\WINDOWS\System32\igfxsvc.exe
C:\Programmi\Olympus\DeviceDetector\DevDtct2.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Documents and Settings\Caterina\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\62191440.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\System32\igfxsvc.exe
O4 - Global Startup: Device Detector 3.lnk = C:\Programmi\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Programmi\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7920331575
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programmi\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: DirectX Service (Wojaz) - Unknown owner - C:\WINDOWS\System32\directx.exe (file missing)

fatemi sapere come procedere.
grazie davvero per l'aiuto
alessandro

da **crazy.cat** » ven giu 22, 2007 8:41 am

Lascia lavorare l'antivirus e che ripulisca lui i virus, i file sospetti li avevi già individuati
rifai la scansione con hijackthis, selezioni le caselle di queste due righe e premi fix checked per eliminarle.
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\System32\igfxsvc.exe

da **alexbor1979** » ven giu 22, 2007 11:01 am

ciao,

l'antivirus non riesce a "disinfettare i virus" ma mi da la possibilità di cancellare il file (delete).
non è che cancellando i file, essendo questi file di sistema (tipo explorer.exe, iexplore.exe), non si riesca più ad accendere il computer o quant'altro?

thanks
ale

da **crazy.cat** » ven giu 22, 2007 11:29 am

E no i file di sistema lasciali stare, come chiama il virus Active virus shield.
In quanti file lo trova?

da **alexbor1979** » ven giu 22, 2007 10:27 pm

ecco tutto quello che trova:

detected: Trojan program Trojan-Downloader.Win32.Tiny.hi File: c:\windows\w32dbg.exe/UPX
detected: Trojan program Trojan-Downloader.Win32.Tiny.hi File: c:\windows\iexplore_32.exe/UPX
detected: Trojan program Trojan-Downloader.Win32.Tiny.hi File: C:\WINDOWS\system32\spoolw.exe/UPX
detected: Trojan program Trojan-Clicker.Win32.Small.kj File: C:\WINDOWS\csrs.exe
detected: Trojan program Trojan-Downloader.Win32.Tiny.hi File: C:\WINDOWS\system32\igfxsvc.exe/UPX
detected: Trojan program Trojan-Clicker.Win32.Small.kj File: C:\WINDOWS\csrss.dll
detected: Trojan program Trojan-Clicker.Win32.Agent.hz File: C:\62191440.dll

da **winman** » lun giu 25, 2007 12:13 am

piccolo consiglio ....
1) AVS Antivirus Shield
2) Agisci sui servizi di windows xp ( su www.blackviper.com)
3) Disabilitazione servizio di rispristino ,segnalazioni errori, aggiornamenti automatici, il deselezionamento di tutte le voci da sistema - connessione remota ( da pannello di controllo) + sempre una o più partizioni oltre al C al fine di preservare i propri dati

da **crazy.cat** » lun giu 25, 2007 9:02 am

alexbor1979 ha scritto:ecco tutto quello che trova:

detected: Trojan program Trojan-Downloader.Win32.Tiny.hi File: c:\windows\w32dbg.exe/UPX
detected: Trojan program Trojan-Downloader.Win32.Tiny.hi File: c:\windows\iexplore_32.exe/UPX
detected: Trojan program Trojan-Downloader.Win32.Tiny.hi File: C:\WINDOWS\system32\spoolw.exe/UPX
detected: Trojan program Trojan-Clicker.Win32.Small.kj File: C:\WINDOWS\csrs.exe
detected: Trojan program Trojan-Downloader.Win32.Tiny.hi File: C:\WINDOWS\system32\igfxsvc.exe/UPX
detected: Trojan program Trojan-Clicker.Win32.Small.kj File: C:\WINDOWS\csrss.dll
detected: Trojan program Trojan-Clicker.Win32.Agent.hz File: C:\62191440.dll

Mi ero dimenticato di te....questi file li puoi cancellare tutti senza problemi, unlocker o killbox e fai pulizia.
Visto che c'è anche un trojan clicker, dai una passata con un programma antirootkit
http://www.MegaLab.it/2714/2

da **alexbor1979** » mar lug 03, 2007 2:06 am

ho risolto il problema, da non crederci...
grazie davvero per l'aiuto.
pubblicizzerò la professionalità e la cortesia trovata da voi tutti!!!.
a presto
alessandro

www.MegaLab.it

Ho il computer infetto peggio di una pestilenza!!!

Ho il computer infetto peggio di una pestilenza!!!

piccolo consiglio ....

Chi c’è in linea