Olimpo Informatico

boninba · Mortale devoto Registrato: 14/08/07 01:42 Messaggi: 5

ciao ragazzi,
sono nuovo e ho un problema (mi sembra) gravissimo!!

Da un paio di giorni sulla mia toolbar (si chiama così quella in basso a destra?? Embarassed

) compare un segnale di avvertimento (un triangolo giallo con un punto esclamativo in mezzo) che mi dice "your computer is infected" e mi invita a scaricare l'aggiornamento di un antispyware da un fantomatico sito www.amaena.com

A prescindere dall'affidabilità di questo sito io ho dei problemi oggettivi ad oggi, che sono molteplici e i più gravi sono quelli che mi è sparito il pannello di controllo (non c'è più! non posso più accedervi in nessun modo!) e non ho più nemmeno attivo il task manager!

il mio antivirus(avast) subito prima che incominciasse a comparire questo messaggio di infezione aveva rilevato un virus, un trojan horse, ma mi aveva detto che l'aveva cancellato con successo!!

ora ho già provato a fare tutto quello che è in mio possesso e conoscenza (limitatissima!)
Ho fatto una scansione completa con l'antivirus (nessun virus rilevato) ho usato ccleaner, ad-aware e hijackthis.
Gli ultimi 2 però mi rilevano e cancellano dei file che a ogni nuova scansione ricomapiono!

Ragazzi sono disperato!

il prossimo passo è quello di formattare tutto, ma se qualche anima pia tra voi ha già sentito casi simili, o ha comunque voglia di aiutarmi gliene sarei eternamente grato! (scusate l'enfasi, ma la vedo davvero buia!)

Grazie a tutti quelli che vorranno interessarsi al "mio caso"

Saluti

Paolo

bdoriano

Ciao boninba, Ciao

Segui le istruzioni di questo topic per postare il log di hijackthis.

Purtroppo, hai sbagliato area... ma non preoccuparti, verrai magicamente teletrasportato nell'area corretta. Wink

PS: se vuoi, puoi presentarti qui

chemicalbit · Dio maturo Registrato: 01/04/05 18:59 Messaggi: 18597 Residenza: Milano

alessandro.polo

bdoriano

bdoriano

Ri-ciao boninba

Scarica Rogue Remover free, installalo ed eseguilo.
Clicca su Scan e fagli eliminare tutte le voci che trova.

Al termine posta un log di hijackthis

boninba · Mortale devoto Registrato: 14/08/07 01:42 Messaggi: 5

ciao ragazzi!
scusate per l'errore di "postaggio"! Embarassed

come già detto sono nuovo, non mi so "muovere" nel forum!

innanzitutto grazie molte per l'interesse, siete la mia ultima "ancora di salvezza"!

ho fatto come mi diceva doriano.
ho scaricato rogue remover, l'ho updatato e ho fatto lo scan.
niente rilevato!

di seguito vi riporto il log di hijacjthis fatto subito dopo (la data è 01/01/2002 perchè ogni volta che accendo il computer ormai mi azzera la data, e non mi permette di cambiarla!!
ormai temo per il peggio...

comunque spero ancora in voi!
e in ogni caso grazie moltissime a chi si è già interessato!
(se poi riuscite a risolvermi il problema io sono della provincia di cuneo, se c'è qualcuno vicino ha una cena pagata! Smile

)

ecco il log

Logfile of HijackThis v1.99.1
Scan saved at 0.22.16, on 01/01/2002
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\printer.exe
C:\WINNT\Mixer.exe
C:\Programmi\File comuni\ACD Systems\EN\DevDetect.exe
C:\Program Files\Conexant\Adsl\dslstat.exe
C:\Program Files\Conexant\Adsl\dslagent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\wuauclt.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\RegClean\RegClean.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Administrator\Desktop\antispyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da PC Magazine
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\system32\printer.exe
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,userinit.exe
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Conexant\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Conexant\Adsl\dslagent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [tskoclbg] "c:\winnt\system32\tskoclbg.exe"
O4 - HKLM\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
O4 - HKLM\..\Run: [RegClean] "C:\Program Files\RegClean\RegClean.exe" -boot
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinAVX] C:\WINNT\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CBFC06B-7A10-4E74-89D4-4D33F2DD87C1}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINNT\system32\lxcfcoms.exe

bdoriano

Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
(ho un dubbio sulle voci in rosso, se le conosci non spuntarle)

boninba · Mortale devoto Registrato: 14/08/07 01:42 Messaggi: 5

Non mi lascia disabilitare il ripristino di sistema!
nel menu di avvio non ho più "risorse di computer" e se clicco col destro sull'icona presente sul desktop, e clicco "proprietà" mi dice

"operazione annullata. sul computer sono presenti restrizioni. contattare l'amministratore del sistema"

disastro...è tutto da buttare!

p.s. grande doriano, sei presente ed efficiente anche a ferragosto!!
grazie!!!!!!!!!!!!!

bdoriano

Si, delle restrizioni ci sono. E, in effetti, con le istruzioni precedenti te le faccio disabilitare.
Allora, per il momento, non cercare di disattivare il ripristino di sistema.
Vai in modalità provvisoria e fai le operazioni che ti ho indicato con hijackthis.

PS: ieri mi sono preso una giornata di ferie!!! Razz

boninba · Mortale devoto Registrato: 14/08/07 01:42 Messaggi: 5

seguito alla lettera le istruzioni di doriano:
avviato in modalità provvisoria, fixato le voci che mi hai detto e rifatto lo scan in modalità normale.
primo GRANDE risultato ottenuto!
non mi compare più la scritta "your computer is infected" e sono già soddisfatto!

di seguito posto il nuovo log di hijackthis

una cosa che non avevo detto, però, è che OGNI volta che mi collego, dopo poco mi arriva l'avviso "svchost.exe ha provocato degli errori. sarà necessario riavviare il programma"
Io lo associavo a un conflitto con messenger, perchè le prime volte che mi è successo era quando avevo appena installato messenger, ma magari fa tutto parte della stessa "malattia"!

ogni cosa a suo tempo...
ora devo riuscire a eliminare le restrizioni e a farmi tornare il pannello di controllo! (allora per l'ora dici che è un problema hardware?! come potrei fare per verificarlo?)

intanto grazie davvero doriano, a prescindere dal fatto che sia o meno in grado di evitarmi il format sei stato davvero gentile a dedicarmi il tuo tempo!

Saluti a tutti

Paolo

Logfile of HijackThis v1.99.1
Scan saved at 0.11.31, on 01/01/2002
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Mixer.exe
C:\Programmi\File comuni\ACD Systems\EN\DevDetect.exe
C:\Program Files\Conexant\Adsl\dslstat.exe
C:\Program Files\Conexant\Adsl\dslagent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\wuauclt.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Administrator\Desktop\antispyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da PC Magazine
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,userinit.exe
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Conexant\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Conexant\Adsl\dslagent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINNT\system32\lxcfcoms.exe

bdoriano

Dunque, le restrizioni non ci sono più.
Quindi dovresti poter riavviare il pc in modalità provvisoria.

Per sicurezza, fai anche questi passaggi:
Scansione con FindAWF
Scansione con GMER

Fai sapere se non riesci ad accedere ancora al pannello di controllo.

boninba · Mortale devoto Registrato: 14/08/07 01:42 Messaggi: 5

doriano sei incredibile!!
ora rispondi anche con una velocità impressionante...
sono ammirato!!

comunque...
ho fatto (spero) come mi hai detto:
mi sono scaricato AWF e ho seguito le indicazioni del link...
con avenger ho sostituito i bak ai file che ha trovato AWF e ho cancellato gli originali.

Poi ho usato gmer e di seguito ti riporto i link che mi ha dato freefilehosting (il primo per autostart e il secondo per i rootkit)

http://www.freefilehosting.net/download/MTI0MTc=

http://www.freefilehosting.net/download/MTI0MjA=

la buona notizia è che ora l'ora ha ripreso a non azzerarsi più ad ogni accensione...però continuo a non poterla modificare e a non poter visualizzare il pannello di controllo, nemmeno in modalità provvisoria!
per qualsiasi cosa mi dice che sul computer ci sono restrizioni e di contattare l'amministrazione, persino per scollegare una chiave USB!

buona notte a tutti!

bdoriano

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe: