Olimpo Informatico

gius_966 · Mortale devoto Registrato: 23/11/07 04:24 Messaggi: 11 Residenza: Napoli

Ho neccessità di un aiuto risolutivo!!
Da giorni sto cercando di eliminare questi virus dal pc.
Mi sono edotto leggendo i diversi casi presentati su questo forum, ma nonostante l'esecuzione di alcune "pulizie" non riesco a liberarmene!! Embarassed

Adesso hijackthis non mi segnala alcun file da cancellare, ho anche verificato il registro di sistema. Le chiavi Run non presentano "infezioni".
caggià fà??? (cosa deve fare?) Question

Logfile of HijackThis v1.99.1
Scan saved at 1.19.20, on 23/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\Elena\IMPOST~1\Temp\Directory temporanea 2 per hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q305&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programmi\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [EPSON Stylus D78 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINDOWS\TEMP\E_S7E.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [33194d73] rundll32.exe "C:\WINDOWS\system32\cvxenddx.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: VirtualExpander.lnk = C:\WINDOWS\system32\VirtualExpander\VirtualExpander.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare Software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?8c1c92eead6e426d9b791c2665ee8519
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?8c1c92eead6e426d9b791c2665ee8519
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q305&bd=pavilion&pf=laptop
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00F44B9.dat
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\rqxulbdi.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programmi\File comuni\LightScribe\LSSrvc.exe

ste_95 · Inviato: 23 Nov 2007 08:12 Oggetto:

hai detto bene...

Disattiva il ripristino e avvia in modalità provvisoria
avvia HijackThis, seleziona Do a system scan only, metti la spunta alle voci indicate e premi Fix checked:

O4 - HKLM\..\Run: [33194d73] rundll32.exe "C:\WINDOWS\system32\cvxenddx.dll",b
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00F44B9.dat

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\system32\cvxenddx.dll C:\WINDOWS\system32\__c00F44B9.dat

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

bdoriano · Inviato: 23 Nov 2007 10:28 Oggetto:

Ciao gius_966, Ciao

Aspetta un attimo, mi sembra che ci siano altre voci da eliminare. Think

Prima di fare i passaggi indicati da ste_95, fai queste scansioni con GMER e posta i logs su FreeFileHosting come indicato qui.

PS: se vuoi, puoi presentarti qui

gius_966 · Inviato: 23 Nov 2007 12:40 Oggetto: HELP!

Desidero ringraziarVi per l'immediato feedback!! Laughing

Questa sera a casa proverò a seguire l'indicazione di bdoriano.
Vi aggiornerò stanotte..
Ciao Wink

gius_966 · Inviato: 24 Nov 2007 00:53 Oggetto: Risultato frefilehosting

ho eseguito la duplice scansione con GMER, upload su FREEFILEHOSTING.
Questi i 2 risultati:

http://www.freefilehosting.net/files/Mzk4NDE=
http://www.freefilehosting.net/files/Mzk4NDQ=

Bdoriano, attendo prezioso feedback Exclamation

ste_95 · Inviato: 24 Nov 2007 07:56 Oggetto:

le voci da cancellare sono le stesse, ma c'è questo che mi sa di poco di buono:

C:\WINDOWS\system32\rqxulbdi.exe

gius_966 · Inviato: 24 Nov 2007 12:24 Oggetto: HELP WIN32

Ciao Ste_95,
allora procedo come mi avevi indicato, aggiungendo anche quest'ultimo.
Al riavvio del computer, copio e incollo qui il contenuto del blocco note che apparirà.
A dopo, grazie!

ste_95 · Inviato: 24 Nov 2007 12:26 Oggetto:

lo script è questo:

Files to delete:
C:\WINDOWS\system32\cvxenddx.dll
C:\WINDOWS\system32\__c00F44B9.dat
C:\WINDOWS\system32\rqxulbdi.exe

gius_966 · Inviato: 24 Nov 2007 12:34 Oggetto: HELP WIN32

ok ste_95,
per le 12:00 pubblico il risultato, se puoi darci un occhio te ne sarei grato.
Vediamo se riusciamo a chiudere questo argomento.
A dopo.

gius_966 · Inviato: 24 Nov 2007 13:08 Oggetto: Log avenger

Ste_95, di seguito i log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\owxulefk

*******************

Script file located at: \??\C:\neakehih.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\cvxenddx.dll deleted successfully.
File C:\WINDOWS\system32\__c00F44B9.dat deleted successfully.
File C:\WINDOWS\system32\rqxulbdi.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Sto esguendo adesso una scansione con avast aggiornato.
Mi pare che sia tutto risolto?
che dici???

ste_95 · Inviato: 24 Nov 2007 13:10 Oggetto:

si, pare anche a me...come ti trovi?

gius_966 · Inviato: 24 Nov 2007 16:36 Oggetto: GRAZIE!

STE,
mi hai risolto una bella rogna, va molto meglio, ho eseguito una scansione totale con avast aggiornato, avast ha cestinato alcuni virulenti residui, sembra tutto ok.
Desidero eseguire adesso una pulizia di file inutili tipo i TEMP e altro.
Hai un processo da suggerirmi?

Per l'aiuto ricevuto fin qui, hai una sfogliatella riccia e un caffè, rigorosamente di manifattura napoletana, pagati Exclamation

ste_95 · Inviato: 25 Nov 2007 19:54 Oggetto:

per la pulizia dei temporanei e simili, puoi affidarti a CCleaner...

Ciao

gius_966 · Inviato: 26 Nov 2007 11:55 Oggetto:

Ok,
ma mi sembra che CCleaner va a lavorare anche sul registro di sistema, mentre Atf cleaner (quello che in genere utilizzo) non lo fa ed è anche stand-alone.

Consigli comunque CCleaner? Think

ste_95 · Inviato: 26 Nov 2007 15:02 Oggetto:

atf-cleaner pulisce solo la cache e i temporanei e simili del browser, CCleaner oltre a quello pulisce anche il sistema e il registro...a te la scelta

gius_966 · Inviato: 26 Nov 2007 16:52 Oggetto:

ok
ti ringrazio per le tue immediate risposte e per avermi aiutato.
Quando passi da Napoli fammelo sapere.
Ciao

ste_95 · Inviato: 26 Nov 2007 17:10 Oggetto:

Alla prossima! Very Happy