www.MegaLab.it

[pavel87]

Ciao a tutti , sono un nuovo utente appena registrato a questo magnifico sito.Ho letto un articolo riguardo alla rimozione di un virus che in task manager mi occupa tanto spazio e mi fa rallentare molto e spero che questi non siano la causa anche di alcuni spegnimenti improvvisi del pc....sto parlando dei file :spoolw e igfxsvc e iexplorer.ho letto il tuo articolo (http://www.MegaLab.it/2761/2) molto interessante. Ho avg 7.5, in passato mi si bloccava tutto, riavviavo e il desktop appariva vuoto ma grazie al task manager facevo il punto di ripristino e così si ripristinava tutto ma sempre con questi virus. Ora la procedura nell'articolo, non so come utilizzarla, visto che i vari spoolw ,iexplorer, igfxsvc ci sono sempre ma il desktop grazie ai punti di ripristino fatti in passato non mi appare piu vuoto e se rifaccio la scansione con avg non me li elimina e quindi quando riavvio mi appaiono le icone normalmente e non piu il desktop vuoto come accadeva prima. poi volevo scaricare il file allegato : rimuovi.cmd ma non me lo fa scaricare forse perkè sono un utente nuovo. che mi consigliate per sbarazzarmi di questi virus/dialer????. grazie molto.scusate il disturbo aspetto con impazienza una vostra risposta..scusate per la confusione nel messaggio..in questo momento mi trovo su un altro pc mentre su quello infetto sto effettuando una scansione con VIRIT,ci sta mettendo molto tempo perché sta trovando tantissimi file infetti dal trojan VUNDO.CJ e poi con le scansioni normalmente effettuate mi trova la famiglia dialer: backdoor.hacdef.073.b . è un macello il mio pc..che mi consigliate?spero di riuscire a sbarazzarmi di questi ospiti indesiderati che si trovano da molto tempo tra i miei file :-(

[crazy.cat]

Quando hai finito la scansione con prova ad usare anche superantispyware o malwarebytes e fai rumuovere anche a loro quello che trovano.

Ti allego alla discussione il file rimuovi.cmd vediamo se riesci a scaricarlo (ma ti dava qualche messaggio di errore?)

Se ancora non risolvi scarica Hijackthis fai la scansione e allega il log alla discussione.

[pavel87]

ciao, grazie per la risposta. comunque è da stamattina dalle nove che è iniziata la scansione di virit, ed è ancora tutt'ora all'opera.fin ad ora mi ha trovato quasi 1300 file infetti dal trojan Vundo. all'inizio mi ha fatto notare i vari virus incriminati : spoolw, iexplorer,igfxscvc ma non ho messo rimuovi, bensì ok ed è andato avanti con la scansione... ho sbagliato? comunque il log di hjh(quel tipo di programma)... ce l'ho disponibile sul pc tutt'ora sotto osservazione da VIRIT. quello che non ho capito bene, qualora mi dovrebbe servire..le chiavi relative che si devono cancellare di explorer e iexplorer,cosa bisogna cancellare esattamente?tutta la cartella nel registro di hkeylocalmachine explorer e iexplorer??questo non ho capito o qualcosa di quello che dovrebbe uscire nella schermata a destra del registro??
questo file allegato ora me l'ho fa scaricare da qui, non so perché ieri non me lo faceva scaricare,comunque non mi dava errore. grazie di tutto. ma come bisogna usarlo??ora gia sto facendo la scansione.scusate ma sto alle prime armi con questi virus e dialer.. :-(

grazie di tutto

[crazy.cat]

1) Lascia finire virit e rimuovi tutto quello che trova.
2) estrai i file dall'archivio zip e lanci rimuovi.cmd cliccandoci due volte sopra. (rimuove lui le chiavi dal registro)
3) rifai la scansione con hijackthis in modo che il pc sia già parzialmente ripulito e poi vedremo di togliere il resto.
4) Fatta la scansione con hijackthis copi e incolli il testo del risultato nella discussione.

[pavel87]

Ok, farò come mi dici,spero solo che alla fine non mi chiede di riavviare e di ritrovarmi senza desktop, senò dovrò fare tutto manualmente e non potrò trovare il file che mi hai allegato per aprirlo e fargli fare tutto a lui...giusto?

[pavel87]

virit è arrivato in windows e noto che mi ha trovato un altro trojan che ha infettato anche i file del modem che ho e i file del pc suite del nokia che ho installato.. è il trojan win32 agent.GEN e in windows ci sono tanti file .exe con scritto tanti numeri,ad esempio (1113457.exe e tanti altri con numeri diversi...ma che sono?) e virit ora me li sta facendo notare con la scansione...sono arrivato a 1600 file infetti..incredibile... :-(

[crazy.cat]

ma che sono?

Virus.

Con così tanti virus è già un miracolo che ti funzioni qualcosa su quel pc.
Ma che antivirus avevi?

[enea83]

be penso che ho tu non avessi antivirus o qualsiasi AV avessi non fosse aggiornato! ormai anche l'antivirus aggiornato di roccacannuccia blocca vundo e compagnia bella e comunque mi sembra impossibile beccarsi tutte ste infezioni anche solo con un buon AV aggiornato ciao

[pavel87]

purtroppo ho avg 7.5 non aggiornato e fino ad ora bloccavo i dialer che mi fanno cadere la connessione grazie a lui. la scansione me li rilevava ma non me li eliminava. da alcuni giorni il pc con emule acceso si spegneva di colpo mentre senza emule acceso non si spegne...ed è stato da questo che mi son voluto impegnare nel cercare la causa del rallentamento della macchina..e ho visto tutti questi processi dal task manager che succhiavano memoria, tutti quei file numerati.exe in windows e mi sono accorto che ero super infettato, ma gia lo sapevo perché vedevo le scansioni di avg che me li metteva in quarantena. ora ho scaricato virit, e da stamattina sta ancora scansionando in windows le tantissime voci obsolete come ctfmon.exe, igfxsvc.exe,spoolw e altre... chissà se per stasera finisce...mai vista una scansione del genere,sono oltre 7 ore e comunque me li sta rimuovendo automaticamente i file infetti...spero che non combino guai...consigli?? :-(

[crazy.cat]

Se proprio sei un fan di avg passa almeno alla versione 8, altrimenti Avira freeware il meglio che c'è per i gratuiti.

[pavel87]

grazie crazy.cat..prima di parlare di questo,xò, spero che vada tutto bene dopo questa scansione e riesco a sbarazzarmi di questi virus..e gia mi sto chiedendo che fare alla fine di questa..spero riesco a risalire al tuo allegato dal pc ora sotto controllo da Virit..ora sto scrivendo da un altro pc..vi ringrazio per i vostri consigli

[pavel87]

pazzesco..ora sono arrivato a casa e VIRIT sta scansionando ancora in windows. è arrivato a 3000 file infetti su 70.000 e non è finita ancora..che preoccupazione..

[Amantide]

Io stento a credere che un pc può contenere più di 3000 file per cause naturali

Ma almeno la versione di Virit che hai è quella a pagamento? No, è perché Virit free non rimuove nemmeno i file rilevati ed inizio a pensare che si è preso un grande abbaglio

Fosse in te terminerei la scansione con Virit ed userei un antivirus più efficace per effettuare la scansione e pulizia, ad esempio Antivir.

[pavel87]

ciao amantide, sono appena rientrato a casa, e la scansione con virit non è ancora terminata. i file infetti sono 4500 su 65000 e sotto ognuno di quelli che sta scansionando mi esce ***RIMOSSO*** . è da stamattina dalle 9 che sta scansionando, ora è arrivato in windows, alla S DI SPOOLW E qui ne sono parecchi, accompagnati da numeri, ad esempio (spoolw.exe13322255 infetto da trojan win32 agent.AXI,spoolw 123999994.exe infetto da trojan win32 Vundo.CJ)

LA versione di virit è free e aggiornata presa dal sito, virit explorer lite 6.3. sono piu di 12 ore di scansione.... ma che sta facendo....

[pavel87]

buongiorno a tutti.è stata una lunga notte per me, aspettando che VIRIT completasse la scansione. Ci ha messo oltre 12 ore per rimuovere quasi 5000 file infetti da vari trojan.alla fine ho riavviato, ho riacceso e andando nel registro le due chiavi che dovevo eliminare non ci sono piu, e in task manager non mi compaiono piu i vari spoolw, igfxsvc ma sono rimasti iexplorer.exe e ctfmon.exe.;qualcuno puo spiegarmi se è normale?ha eliminato tutto Virit? di seguito ho eliminato avg 7,5 e ho installato avira free come voi mi avete consigliato. Ho scansionato anche con avira che mi ha trovato 25oo file numerati.exe infetti da trojan e poi li ho eliminati tutti. Poi ho installato malwarebytes e ho fatto una scansione veloce dove mi ha trovato un altro trojan e l ho eliminato. infine ho fatto il log con hjackthis che ora vi incollo e dove vorrei una mano per capirci qualcosa. grazie di tutto ragazzi. ma cosa cambia scansionare in modalità provvisoria e modalità normale?? in modalità provvisoria non ci sono mai andato..

un ultimo consiglio,ora il computer sembra che vada un po lento..dovrei disistallare virit,malware o avira.. o li rimango tutti e tre??perché ora si è rallentato?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.00.21, on 18/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\ezSP_Px .exe
C:\WINDOWS\System32\dmadmin.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://VeryCD.265.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Virgilio Toolbar - {D3403F28-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Virgilio Toolbar\VirgilioBand.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px .exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SAA.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Alice - {7FCEAB53-F287-4BB4-B944-BC581C7603AA} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/re ... NPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://pavel87italy.spaces.live.com/Pho ... nPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0A45B6B-8070-498C-88CB-5B79528CB3A5}: NameServer = 85.37.17.11 85.38.28.69
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MsnHelp - Unknown owner - C:\WINDOWS\system32\msnhelp.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 7617 bytes

[crazy.cat]

con 7000 o 8000 file infetti in quel pc si può essere danneggiato qualche file di sistema o lo stesso registro di configurazione, avresti fatto prima a formattare piuttosto che fare una scansione del genere.
Virit lo puoi rimuovere senza problemi.

come rimuovere ctfmon.exe http://www.MegaLab.it/2770

Controlla se è ancora presente questo file nel tuo pc C:\WINDOWS\system32\msnhelp.exe se lo trovi cancellalo.

Rifai la scansione con hijackthis, selezioni le caselle di queste righe e premi fix checked per rimuovere (la prima solo se non la riconosci come tua impostazione)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://VeryCD.265.com
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll

Altri programmi inutili in fase di avvio che puoi rimuovere sempre con hijackthis.
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

[pavel87]

Ciao crazy.cat,grazie dei tuoi tanti consigli.
Ma questa chiave, (O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe) posso fixarla visto che pinnacle lo disistallai tanto tempo fa?o deve rimanere nei processi?

[crazy.cat]

fixa anche quella allora

[pavel87]

ciao crazy.cat e ciao a tutti . ho un nuovo problema. se apro task manager, noto che c'è il processo scritto tutto in minuscolo: iexplore.exe e vedo che ce ne sono piu di uno e alcuni arrivano al 100% dell utilizzo CPU. Non so cosa fare, potete aiutarmi ancora per favore?? che processo è?? ora sono scomparsi i vari spoolw e igfxsvc dal task grazie alle varie scansioni effettuate da virit, malwerbytes e avira ma rimane iexplore.exe. aspetto vostri consigli..

[Amantide]

Allega qui il nuovo log di Hijackthis.