Olimpo Informatico

palmio · Inviato: 03 Feb 2008 20:51 Oggetto: Sospetto virus

Ciao a tutti i dei dell'OLIMPO.
Da un po' di tempo a questa parte ho numerosi fastidi con il pc. Crying or Very sad

Uso Windows Xp SP2, Explorer come browser per internet, Avast come antivirus ed il classico firewall di Windows.
Fino a poco fa, tutto mi era bastato, ora non più!

Ho fatto un'analisi con Hijackthis ed ho analizzato i risultati ottenuti (dietro vostro consiglio) su internet con i segg. risultati.
I problemi che ho riscontrato sul mio pc sono i segg.:
- continue disconnessioni;
- apertura di pagg. pubblicitarie non richieste;
- lentezza allucinante della connessione.

Vi allego dei risultati di Hijackthis che sono insoliti o sospetti.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ycevulehgz] c:\documents and settings\tommaso\impostazioni locali\dati applicazioni\ycevulehgz.exe ycevulehgz
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO DI RETE')

Illuminatemi a riguardo se avete avuto probemi simili al mio.
Ringrazio tutti voi in anticipo
p@lmio

ste_95 · Inviato: 03 Feb 2008 21:01 Oggetto:

Puoi postare tutto il log di hijackthis?

Poi scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

palmio · Inviato: 05 Feb 2008 14:42 Oggetto:

Ti ringrazio per l'interessamento.
Questo è il log completo di HijackThis:
link

Questi sono i log di GMER:
link

link

P.S. Non so se l'informazione può essere utile, ma facendo una scansione con Spyware Doctor il programma ha trovato le segg. minacce:
? dialer.netvision_dialer
? trojan.mailskinner
? dialer.instant_access

GRAZIE ancora!

ste_95 · Inviato: 05 Feb 2008 15:51 Oggetto:

Dove trova le infezioni spyware doctor? Le voci che hai segnalato le puoi fixare tranquillamente tutte, vedi però se la seguente si ricrea:

O4 - HKCU\..\Run: [ycevulehgz] c:\documents and settings\tommaso\impostazioni locali\dati applicazioni\ycevulehgz.exe ycevulehgz

palmio · Inviato: 07 Feb 2008 09:38 Oggetto:

Ti ringrazio STE_95
Ecco i risultati completi di Spyware Doctor:
link

...scusa l'ignoranza, ma il termine "FIXARE" indica l'esclusione dei file corrotti con HijackThis, giusto? Ho cominciato ad usarlo da poco...

ste_95 · Inviato: 07 Feb 2008 14:26 Oggetto:

Fixare vuol dire selezionare le voci incriminate e premere in basso il pulsante Fix Checked.

palmio · Inviato: 09 Feb 2008 10:23 Oggetto:

FIXATE tutte le voci che mi hai consigliato.
La voce
O4 - HKCU\..\Run: [ycevulehgz] c:\documents and settings\tommaso\impostazioni locali\dati applicazioni\ycevulehgz.exe ycevulehgz

fortunatamente non si ricrea!
A posto così?

ste_95 · Inviato: 09 Feb 2008 10:26 Oggetto:

Un'ultima cosa:

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il flag su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

palmio · Inviato: 09 Feb 2008 12:43 Oggetto:

Ecco i risultati del log di Avenger...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xlyhdurs

*******************

Script file located at: icuxoghr

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!

ste_95 · Inviato: 09 Feb 2008 12:44 Oggetto:

Sei sicuro di incollare correttamente tutto lo script?

palmio · Inviato: 09 Feb 2008 12:47 Oggetto:

...è tutto quello che mi appare all'interno del blocco note!!!

ste_95 · Inviato: 09 Feb 2008 12:48 Oggetto:

Lo script da inserire in avenger è questo:

palmio · Inviato: 09 Feb 2008 12:55 Oggetto:

Devo aver dimenticato qualche passaggio!!!
Ecco il nuovo risultato:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lgfjelen

*******************

Script file located at: \??\C:\Program Files\jdkfqrjo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\documents and settings\tommaso\impostazioni locali\dati applicazioni\ycevulehgz.exe not found!
Deletion of file c:\documents and settings\tommaso\impostazioni locali\dati applicazioni\ycevulehgz.exe failed!

Could not process line:
c:\documents and settings\tommaso\impostazioni locali\dati applicazioni\ycevulehgz.exe
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

ste_95 · Inviato: 09 Feb 2008 12:57 Oggetto:

Sembra che sia tutto a posto. Very Happy

palmio · Inviato: 09 Feb 2008 13:00 Oggetto:

Ti ringrazio ancora una volta per la disponibilità

Alla prossima (sperando che non si tratti di VIRUS)

CIAO

ste_95 · Inviato: 09 Feb 2008 13:02 Oggetto: