Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

penso di avere più di un virus sul pc

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

penso di avere più di un virus sul pc

Messaggioda treccine » gio dic 06, 2007 2:06 pm

Ciao a tutti,
credo di avere un virus nel pc, ho provato a leggere i vostri interventi ma essendo poco pratica del settore prima di metter mano al pc vorrei essere sicura di non fare danni, quindi in sostanza vi chiedo aiuto.

Il pc mi si blocca continuamente, quando sono su internet si riavvia da solo, e mi sono trovata delle icone strane sul desktop.
Ho fatto una scansione con ad aware, mi ha individuato dei files infetti e credevo di averli eliminati, ma il problema si ripropone.


Da profana ho dato un'occhiata in c e ho trovato iexplore.exe, avp.exe, spoolsv.exe. Mi si è aperta anche una finestrella in cui diceva che c'era un virus appunto in spool.exe, ma non mi fa aprire l'antivirus.

Cosa devo fare per eliminarlo?
Scusate se il mio post ricalca quello di tanti altri, ma io ho proprio bisogno di essere seguita dall'abc.
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm

Messaggioda ste_95 » gio dic 06, 2007 2:29 pm

Posta un log di hijackthis, le istruzioni le trovi qui:

http://www.MegaLab.it/2286
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda treccine » gio dic 06, 2007 4:40 pm

mi compare questo:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.37.04, on 06/12/2007
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINNT\avp.exe
C:\WINNT\mgrs.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINNT\system32\ntvdm.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programmi\E404 Helper\e404.v5.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [BioniXWallpaper] "C:\WINNT\BioniX Wallpaper v5.1 RC1\BionixWallpaper5.exe"
O4 - HKCU\..\Run: [spoolw] C:\WINNT\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINNT\system32\igfxsvc.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Aggiornavirus.lnk = ?
O4 - Startup: Collegamento a DataBridge3.lnk = C:\Documents and Settings\palmare\Desktop\Palmare\DataBridge3\DataBridge3.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{790273EC-69F4-40B1-B6B2-DE86316F1D6C}: NameServer = 10.11.1.51,10.11.1.61
O21 - SSODL: E404Helper - {f3e7f26b-25a6-498a-84d0-f549b4f78869} - e404d.dll (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Antivirus\InoTask.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programmi\RealVNC\VNC4\WinVNC4.exe

--
End of file - 3645 bytes
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm


Messaggioda treccine » gio dic 06, 2007 4:59 pm

prima di fare la scansione mi compare una maschera che dice
your sistem denied write access to the hots file in ani hujacked domains are in this file, hijack this may not be able to fix this
you need to edit the file your self
to do this
start run and type note pad
c:\winnt\system32\drivers\etc\hots
and press enter
find reports and delete they save files as hosts and reboot
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm

Messaggioda ste_95 » gio dic 06, 2007 5:02 pm

Seleziona queste voci e premi fix checked in basso:

O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [spoolw] C:\WINNT\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINNT\system32\igfxsvc.exe
O21 - SSODL: E404Helper - {f3e7f26b-25a6-498a-84d0-f549b4f78869} - e404d.dll (file missing)

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINNT\avp.exe
C:\WINNT\mgrs.exe
C:\WINNT\system32\spoolw.exe
C:\WINNT\system32\igfxsvc.exe


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà. [^]

[ciao]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda crazy.cat » gio dic 06, 2007 5:07 pm

ste_95 ha scritto:C:\WINNT\system32\spoolw.exe
C:\WINNT\system32\igfxsvc.exe

Per questi due file, usa invece questa procedura
http://www.MegaLab.it/2761
altrimenti rischi al riavvio del pc di trovarti il desktop vuoto e il pc ancora infetto.

Non installi il service pack 4 di windows 2000?
E tutte le altre patch?

Dopo per forza arrivano i virus.....
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda treccine » gio dic 06, 2007 5:08 pm

mi metti il link per scaricare avanger perché se clicco su quello che mi hai messo mi apre in automatico una pagina di pubblicità credo sia il virus
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm

Messaggioda treccine » gio dic 06, 2007 5:09 pm

crazy.cat ha scritto:
ste_95 ha scritto:C:\WINNT\system32\spoolw.exe
C:\WINNT\system32\igfxsvc.exe

Per questi due file, usa invece questa procedura
http://www.MegaLab.it/2761
altrimenti rischi al riavvio del pc di trovarti il desktop vuoto e il pc ancora infetto.

Non installi il service pack 4 di windows 2000?
E tutte le altre patch?

Dopo per forza arrivano i virus.....


e' il pc dell'ufficio e sti pirla nn hanno installato un tubo di niente ditemi che posso fare e ci penso io
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm

Messaggioda ste_95 » gio dic 06, 2007 5:11 pm

«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda treccine » gio dic 06, 2007 5:16 pm

mi si apre questo
http://dns4error.com/
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm

Messaggioda ste_95 » gio dic 06, 2007 5:20 pm

«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda crazy.cat » gio dic 06, 2007 5:24 pm

Prima però vedi di fare pulizia dai virus
Download Sp4
dopo il sp4, vai subito sul sito di windows update e scarichi quello che manca.

se avenger proprio non riesce ad avviarsi, puoi usare unlocker o killbox per rimuovere i file che ti sono stati indicati.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda treccine » ven dic 07, 2007 10:12 am

ste_95 ha scritto:Seleziona queste voci e premi fix checked in basso:

O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [spoolw] C:\WINNT\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINNT\system32\igfxsvc.exe
O21 - SSODL: E404Helper - {f3e7f26b-25a6-498a-84d0-f549b4f78869} - e404d.dll (file missing)

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINNT\avp.exe
C:\WINNT\mgrs.exe
C:\WINNT\system32\spoolw.exe
C:\WINNT\system32\igfxsvc.exe


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà. [^]

[ciao]

Compare questo
/////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create driver file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!

[cry+]
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm

Messaggioda ste_95 » ven dic 07, 2007 1:54 pm

Sei sicura di copiare tutto lo script?

Hai fixato le voci da me indicate?

Esegui prima le istruzioni della guida linkata da crazy e poi reinserisci lo script:




Files to delete:
C:\WINNT\avp.exe
C:\WINNT\mgrs.exe
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda treccine » ven dic 07, 2007 3:00 pm

Ho fatto questo percorso da task manager come suggeriva la guida

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

ma non c'è explorer.exe nè iexplorer.exe

può essere siano in un'altra cartella?

e con advanger mi esce sempre la scritta di prima
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm

Messaggioda ste_95 » ven dic 07, 2007 3:02 pm

Se non trova le chiavi, non ti preoccupare, vai pure avanti...

Alla fine, entra in modalità provvisoria ed elimina i seguenti files:

C:\WINNT\avp.exe
C:\WINNT\mgrs.exe
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda treccine » ven dic 07, 2007 3:05 pm

ma per andare in modalità provvisoria come faccio? lo avevo fatto una volta e nn mi ricordo più.. scusate sono imbranata
e lo script che mi hai detto dove lo inserisco
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm

Messaggioda ste_95 » ven dic 07, 2007 3:09 pm

Avenger per qualche motivo non funziona, bisogna quindi operare manualmente, per farlo:

Avvia in modalità provvisoria e cancella i seguenti files:

C:\WINNT\avp.exe
C:\WINNT\mgrs.exe
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda treccine » ven dic 07, 2007 3:55 pm

ho fatto una scansione online con bitdefender. Ha trovato 3 virus e li ha eliminati. secondo voi posso star tranquilla o devo fare altro?
Intanto grazie
Avatar utente
treccine
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio dic 06, 2007 1:29 pm

Messaggioda ste_95 » ven dic 07, 2007 3:58 pm

Ricordi dove li aveva trovati?
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 20 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising