Virus che stressa la CPU - Utilizzo Cpu sospetto

[katya15P]

grazie mille

[katya15P]

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - blank (file missing)

questo dice che è in esecuzione e non lo elimina boh vabbe se non causa niente lo lascio pure

[katya15P]

Logfile of HijackThis v1.99.1

Scan saved at 19.13.40, on 30/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\MessengerPlus! 3\MsgPlus.exe

C:\Programmi\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programmi\D-Tools\daemon.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\WINDOWS\system32\hldrrr.exe

C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe

C:\Programmi\Alwil Software\Avast4\ashWebSv.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\WinRAR\WinRAR.exe

C:\DOCUME~1\AMINIS~1\IMPOST~1\Temp\Rar$EX01.141\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /M "Stylus DX3800" /EF "HKCU"

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://busollo.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppD...ap/DigWXMSN.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3E090F3D-7598-4002-86F9-5E281614CAA3}: NameServer = 212.216.172.62 151.99.125.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{3E090F3D-7598-4002-86F9-5E281614CAA3}: NameServer = 212.216.172.62 151.99.125.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

volevo farti notare che ci sono due trojan o il virus non si elimina (nota quello che ti ho mandato prima e quello di adesso) o il virus si sta diffondendo <_< .

Io voto per la seconda perchè in quello prima il virus era uno in questo ora sono 2... ... i entro nella cartella di system32 e lo elimino manualmente tanto che se vado nelle chiavi di sistema uno rimane sempre...

[Kuma]

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - blank (file missing)

questo dice che è in esecuzione e non lo elimina boh vabbe se non causa niente lo lascio pure

OK, questo puoi lasciarlo... non è pericoloso...

Per quello che riguarda il log:

Scarica questo programma:

KILLBOX

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Inserisci il percorso completo in Full Path: (C:\WINDOWS\system32\hldrrr.exe)

poi seleziona DELETE ON REBOOT

e clicca sulla X rotonda a destra

Il pc verrà riavviato ed il file eliminato...

Se per caso ricevi il messaggio "File Pending" allora il file non esiste

Poi fissa nuovamente le voci che lo riguardano in Hijack:

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\system32\hldrrr.exe

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

[katya15P]

si grazie comunque ma lo gia eliminato anzi piu che altro ho rischiato , sono andata in modalità provvisoria in windows/system32 e ho cercato il file lo eliminato (era una copia del virus che lo rigenerava ogni volta che veniva eliminato) e poi sono andata nelle chiavi di registro eliminando il virus cosi lo ammazzato definitivamente

grazie mille per avermi aiutato!!!!!!!!

[katya15P]

salve pultroppo il mio pc è stato infettato di nuovo (vorrei sapere perche tutti i mesi la solita storia...) il problema è che ho cercato di eliminarlo in modalità provvisoria con hijackthis ma nulla non lo elimina vi posto come è adesso

Logfile of HijackThis v1.99.1

Scan saved at 16.07.46, on 10/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\MessengerPlus! 3\MsgPlus.exe

C:\Programmi\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programmi\D-Tools\daemon.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Programmi\eMule\emule.exe

C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\Programmi\FileOpen\plug_ins\FileOpenAPI.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Programmi\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {74158421-AB65-1634-7906-22ADBEB8A47F} - C:\WINDOWS\wulba1.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programmi\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD

O4 - HKLM\..\Run: [AnyDVD] C:\DOCUME~1\AMINIS~1\IMPOST~1\Temp\Rar$EX04.219\Elby Clone Dvd V1.3.10.1 Anydvd 2.0.0.4 Ger Key\Anydvd V2.0.0.4\AnyDVD.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [wtga1.exe] C:\WINDOWS\TEMP\wtga1.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: FileOpenAPI.exe.lnk = C:\Programmi\FileOpen\plug_ins\FileOpenAPI.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://busollo.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppD...ap/DigWXMSN.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{3E090F3D-7598-4002-86F9-5E281614CAA3}: NameServer = 212.216.172.62 151.99.125.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{3E090F3D-7598-4002-86F9-5E281614CAA3}: NameServer = 212.216.172.62 151.99.125.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

ecco qui i virus che intendo io:

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {74158421-AB65-1634-7906-22ADBEB8A47F} - C:\WINDOWS\wulba1.dll (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

Modificato August 10, 2006 da katya15P

[Kuma]

Allora...

questo non è un virus, ma un bug del controllo automatico online (oltretutto riguarda MSN)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

Diverso invece il discorso per gli atri due (sospetto RootKit <_< )

insieme a questo:

O4 - HKLM\..\Run: [wtga1.exe] C:\WINDOWS\TEMP\wtga1.exe

Se si tratta di un ROOTKIT, cancellarli non serve, perchè si ripresenteranno

______________________________

Controlla se hai la presenza di una cartella chiamata LINK OPTIMIZER (NON ELIMINARLA/DISINSTALLARLA)

LA cartella non è sempre visibile anche se il rootkit è presente

Per il momento, scarica VIRIT

Installalo, aggiornalo ed usalo dalla modalità provvisoria

... se non risolve occorre fare tutto in modalità manuale

[katya15P]

ho eliminato i virus

[2ee25147-37d4-4640-832c-fccfac8b21d9] infetto da BHO.Agent.AR

C:\Documents and setting\aministrator\desktop\file infetto da I-WORM.beagle.AS

C:\impostazioni locali\temp\m infetto da trojan.Win32.Agent.AEA

C:\WINDOWS\SYSTEM32\rkaa.dll infetto da trojan Win32.Agent.AEA

C:\WINDOWS\temp\wtga1.exe infetto da trojan Win32.Agent.ADM

CHIAVI INFETTE 1

FILE INFETTI 4

pero il programma ViriT dice che il registro di esecuzione dei programmi è stato modificato e che il seguente programma è in esecuzione automatica: C:\PROGRAMMI\FILE COMUNI\SYSTEM\DJE.EXE e che è ritenuto sospetto... che potrebbe essere un nuovo virus che si è installato in automatico

[Kuma]

Comincia con l'installare questa patch:

http://www.microsoft.com/downloads/details...9B-215B7BB4D8E9

LA scansione l'hai fatta in modalità provvisoria ???

Quel file (DJE.EXE) lo devi eliminare

E deciditi ad intallare un firewall

[katya15P]

si lo fatta in modalità provvisoria

azz.. il firewall ma non c'è gia in windows xp? quello gia installato <_< se no cosa mi consigli?

emm...dove si trova il file DJE.EXE ???

e poi ho rinotato che solo alcuni virus si sono eliminati mentre altri non riesce proprio a eliminarli...

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\MessengerPlus! 3\MsgPlus.exe

C:\Programmi\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programmi\D-Tools\daemon.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

C:\Programmi\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Programmi\MSN Messenger\msnmsgr.exe

C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programmi\FileOpen\plug_ins\FileOpenAPI.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\WINDOWS\system32\svchost.exe

C:\VEXPLITE\viritsvc.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\DVDREG~1\DVDRegionFree.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ntvdm.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {74158421-AB65-1634-7906-22ADBEB8A47F} - C:\WINDOWS\wulba1.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programmi\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD

O4 - HKLM\..\Run: [AnyDVD] C:\DOCUME~1\AMINIS~1\IMPOST~1\Temp\Rar$EX04.219\Elby Clone Dvd V1.3.10.1 Anydvd 2.0.0.4 Ger Key\Anydvd V2.0.0.4\AnyDVD.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [wtga1.exe] C:\WINDOWS\TEMP\wtga1.exe

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart

O4 - Startup: FileOpenAPI.exe.lnk = C:\Programmi\FileOpen\plug_ins\FileOpenAPI.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://busollo.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppD...ap/DigWXMSN.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {CE8267C2-D41A-4A50-A69D-F32B5C289F14} (FileOpenInstaller) - http://plugin.fileopen.com/current/FileOpen.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{3E090F3D-7598-4002-86F9-5E281614CAA3}: NameServer = 212.216.172.62 151.99.125.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{3E090F3D-7598-4002-86F9-5E281614CAA3}: NameServer = 212.216.172.62 151.99.125.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: LogNld - Unknown owner - C:\Programmi\File comuni\System\Dje.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

poi tanto che ci sono continua uscirmi una finestra ogni volta che inserisco una parola di ricerca in google:

non mi è mai successo di avere sempre cosi tanti virus

Modificato August 10, 2006 da katya15P

[Kuma]

Se ti appare quella finestra il rootkit è ancora presente

(è duro da rimuovere... ma non avevi detto che formattavi ??? )

Il firewall di Xp non vale molto.... leggi qui (Zone Alarm è il più semplice)

http://forum.wininizio.it/index.php?showtopic=12143

_______________________________________

Rifai la scansione con Virit e posta tutto il log completo

.

[katya15P]

l avevo formattato il pc... <_< non è possibile che tutte le volte mi entrano virus ora rifaccio la scansione con Virit

è meglio ZoneAlarm o SpywareBlaster?

Modificato August 11, 2006 da katya15P

[Kuma]

Anche se lo avevi formattato, ma non installi per prima cosa i service pack e gli aggiornamenti sulla sicurezza rilasciati da microsoft, oltre ad un antivirus e un firewall, quando ti connetti da qualche parte rimarrai sempre infetta...

Nel tuo caso specifico, penso che la colpa sia di una patch rilasciata qualche tempo fa che riguarda un Exploit WMF (windows Media File) che ti manca...

In pratica basta navigare in una pagina che contiene un file WMF (appositamente confezionato) senza aver aggiornato il computer per rimanere infetti.... senza scaricare nulla... basta aprire la pagina.

è meglio ZoneAlarm o SpywareBlaster?

Sono due programmi totalmente diversi... e servono entrambi

[katya15P]

ecco qui il log:

VirIT eXplorer Lite Log

SCANSIONE DELLA MEMORIA

OK

SCANSIONE DELLA MEMORIA

OK

--------------------------------------------------------

10/08/2006 - 18:14:59

[sCANSIONE DEL REGISTRO]

{2ee25147-37d4-4640-832c-fccfac8b21d9} Infetto da BHO.Agent.AR

* * * RIMOSSO * * *

[A:]

BOOT SECTOR: OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\Documents and Settings\aministrator\Desktop\file\the sims 2 body shop editor crack.exe Infetto da I-WORM.Beagle.AS

* * * RIMOSSO * * *

C:\Documents and Settings\aministrator\Impostazioni locali\Temp\m Infetto da Trojan.Win32.Agent.AEA

* * * RIMOSSO * * *

C:\WINDOWS\system32\rkaa.dll Infetto da Trojan.Win32.Agent.AEA

* * * RIMOSSO * * *

C:\WINDOWS\Temp\wtga1.exe Infetto da Trojan.Win32.Agent.ADM

* * * RIMOSSO * * *

[D:]

[E:]

[F:]

[G:]

[H:]

Chiavi Registro infette: 1.

Files Infetti: 4.

Files Sospetti: 0.

Files Analizzati: 36171.

Files Totali: 36171.

Chiavi Registro rimosse: 1.

Virus Rimossi: 4.

SCANSIONE DELLA MEMORIA

OK

--------------------------------------------------------

10/08/2006 - 18:41:39

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 35971.

Files Totali: 35971.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

--------------------------------------------------------

10/08/2006 - 18:59:34

[sCANSIONE DEL REGISTRO]

OK

[A:]

BOOT SECTOR: OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[D:]

[E:]

[F:]

[G:]

[H:]

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 36232.

Files Totali: 36232.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

SCANSIONE DELLA MEMORIA

OK

SCANSIONE DELLA MEMORIA

OK

SCANSIONE DELLA MEMORIA

OK

--------------------------------------------------------

11/08/2006 - 13:41:06

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 39356.

Files Totali: 39356.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

SCANSIONE DELLA MEMORIA

OK

--------------------------------------------------------

11/08/2006 - 14:20:43

[sCANSIONE DEL REGISTRO]

OK

[A:]

BOOT SECTOR: OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 12301.

Files Totali: 12301.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

--------------------------------------------------------

11/08/2006 - 14:28:28

[sCANSIONE DEL REGISTRO]

OK

[C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 6.

Files Totali: 6.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

--------------------------------------------------------

11/08/2006 - 14:28:40

[sCANSIONE DEL REGISTRO]

OK

[A:]

BOOT SECTOR: OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[D:]

[E:]

[F:]

[G:]

[H:]

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 39665.

Files Totali: 39665.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

SCANSIONE DELLA MEMORIA

OK

--------------------------------------------------------

11/08/2006 - 14:52:30

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 0.

Files Sospetti: 0.

Files Analizzati: 167.

Files Totali: 167.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

[Kuma]

FAi una cosa:

da start\esegui ...

copia e incolla questo: control userpasswords2

Cattura l'immagine che appare ed allegala qui

[katya15P]

ho inserito pure il task manager

[Kuma]

il rootkit (virus) è ancora presente... (---> linkOptimizer)

Ti mando un PM