• User Attivo

    [Risolto] Virus : come eliminarlo ?

    Premetto che utilizzo Firefox per navigare, da qualche giorno random mi si apre una pagina explorer che tenta di connettersi ad una pagina del tipo a.doginhispen...........

    Ho cercato un pochino per la rete qualche soluzione ma il problema resta, questo è il log di Hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 6.59.31, on 06/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
    C:\PROGRA~1\EASYPH~1\Apache\apache.exe
    C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
    C:\Programmi\FileZilla Server\FileZilla Server.exe
    C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\PROGRA~1\EASYPH~1\Apache\apache.exe
    C:\Programmi\SigmaTel\C-Major Audio\WDM\STacSV.exe
    C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\ups.exe
    C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe
    C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programmi\APC\APC PowerChute Personal Edition\apcsystray.exe
    C:\Programmi\Mozilla Firefox\firefox.exe
    D:\hjack\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
    O4 - HKLM..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc
    O4 - HKLM..\Run: [IntelAudioStudio] "C:\Programmi\Intel Audio Studio\IntelAudioStudio.exe" BOOT
    O4 - HKLM..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKLM..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM..\Run: [FileZilla Server Interface] "C:\Programmi\FileZilla Server\FileZilla Server Interface.exe"
    O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
    O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
    O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
    O4 - Global Startup: APC UPS Status.lnk = ?
    O4 - Global Startup: Barra delle applicazioni di ATI CATALYST.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?ffca5d4523554eb58da81893039f8008
    O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?ffca5d4523554eb58da81893039f8008
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip..{71E41CCE-5DF5-4436-85F3-A04C093C6F8D}: NameServer = 85.37.17.6 85.38.28.89
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
    O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Kana Solution - C:\Programmi\DynDNS Updater\DynDNS.exe
    O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programmi\FileZilla Server\FileZilla Server.exe
    O23 - Service: GoogleDesktopManager - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
    O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programmi\OpenVPN1\bin\openvpnserv.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
    O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programmi\SigmaTel\C-Major Audio\WDM\STacSV.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

    Grazie a chi saprà aiutarmi a risolvere il problema.


  • User Attivo

    Penso di aver risolto.

    L'ultimo step che mi mancava era la scansione ed il ripristino dei file nelle cartelle .bak con AWF

    Ecco il log di AWF.

    Duplicate files of bak directory contents

    
       14348  4 Jan 2008 "C:\WINDOWS\NCLAUNCH.EXe"
       65536 10 Jul 2007 "C:\WINDOWS\bak\NCLAUNCH.EXe"
      249896  5 Jan 2008 "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe"
      249896 10 Oct 2007 "C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe"
      127016 30 Sep 2004 "D:\antivir\disk_1\AVGNT.EXE"
       14348  4 Jan 2008 "C:\Programmi\Intel Audio Studio\IntelAudioStudio.exe"
     9134080  2 Aug 2006 "C:\Programmi\Intel Audio Studio\bak\IntelAudioStudio.exe"
       14348  4 Jan 2008 "C:\Programmi\REGSHAVE\REGSHAVE.EXE"
       53248  4 Feb 2002 "C:\Programmi\REGSHAVE\bak\REGSHAVE.EXE"
       15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
       15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
       14348  4 Jan 2008 "C:\WINDOWS\system32\NeroCheck.exe"
      155648  9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
       14348  4 Jan 2008 "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe"
     4341760  3 May 2002 "C:\Programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe"
       14348  4 Jan 2008 "C:\Programmi\Alice ti aiuta\SmartBridge\MotiveSB.exe"
      438359 21 Apr 2006 "C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe"
       14348  4 Jan 2008 "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe"
       57344 21 Sep 2005 "C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe"
     1501696 15 Jul 2007 "C:\Programmi\Free Monitor for Google\GoogleMon.exe"
       52272 27 Jan 2007 "C:\Programmi\Google\googletoolbar3user.exe"
     1608182 13 Aug 2007 "C:\Documents and Settings\Ernesto\Documenti\googlemon.exe"
       14348  4 Jan 2008 "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
     1832248 30 May 2007 "C:\Programmi\Google\Google Desktop Search\GoogleDesktopSetup.exe"
      138168 27 Jan 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
       68856 21 Jun 2007 "C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe"
    22522418  4 Dec 2007 "D:\megaupload\musica\Google Earth Pro & Crack.exe"
    
    
    end of report
    
    
    Ho ripristinato manualmente tutti i file di dimensione sospetta (14348) e adesso sembra essere tornato a funzionare tutto normalmente.
    
    Ciao

  • Consiglio Direttivo

    @Dragone67 said:

    Penso di aver risolto.
    Ho ripristinato manualmente tutti i file di dimensione sospetta (14348) e adesso sembra essere tornato a funzionare tutto normalmente.

    Bene Dragone67! 🙂

    p.s. installa un buon firewall! 😉


  • User Newbie

    @Dragone67 said:

    Penso di aver risolto.

    L'ultimo step che mi mancava era la scansione ed il ripristino dei file nelle cartelle .bak con AWF

    Ecco il log di AWF.

    Ho ripristinato manualmente tutti i file di dimensione sospetta (14348) e adesso sembra essere tornato a funzionare tutto normalmente.

    Ciao
    Ciao, ho avuto anche io lo stesso problema, e una volta eliminato dall'antivirus lo spyware, l'ho semplicemente risolto disinstallando la windows live tollbar , penso sia più facile per chi non sa usare awf .
    Spero serva a qualcuno , salutoni


  • Consiglio Direttivo

    Ciao enzobis e benvenuto nel Forum GT! 🙂

    @enzobis said:

    Ciao, ho avuto anche io lo stesso problema, e una volta eliminato dall'antivirus lo spyware, l'ho semplicemente risolto disinstallando la windows live tollbar , penso sia più facile per chi non sa usare awf .
    Spero serva a qualcuno , salutoni

    😉