• Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Problema Sistema pieno di virus..

pierpy-fabian

Utente Senior
Autore del topic
25 Ottobre 2009
1.977
59
Miglior risposta
0
Ciao...Sul mio pc portatile(ora ho un fisso nuovo)sono stato scammato su habbo a giugno.Avevo solo nod32 2.70.Da un mese su questo pc ho istallato:Avira free,Spybot,Malwarebyt,Comodo internet security e keyscrambler.Spybot mi ha cancellato i keylogger e avira i virus troyan ardamax.Ma sono sicuro che ci sono altri malware.Ho pensato a combofix ma non so se è opportuno...Che ne pensate?
Ps: Il pc è molto lento pur avendo 1 gb di ram e 80 gb di hard disch...windows XP e ho pochi file sopra....
 
Ciao...Sul mio pc portatile(ora ho un fisso nuovo)sono stato scammato su habbo a giugno.Avevo solo nod32 2.70.Da un mese su questo pc ho istallato:Avira free,Spybot,Malwarebyt,Comodo internet security e keyscrambler.Spybot mi ha cancellato i keylogger e avira i virus troyan ardamax.Ma sono sicuro che ci sono altri malware.Ho pensato a combofix ma non so se è opportuno...Che ne pensate?
Ps: Il pc è molto lento pur avendo 1 gb di ram e 80 gb di hard disch...windows XP e ho pochi file sopra....

Come fai a sapere di essere infetto? °-°
Hai qualche reg keys strana all'avvio? HiJackThis da log molto sospetti? Hai processi mai sentiti prima attivi in memoria?
Beh prima di consigliarti un programma devo sapere cos'ha il tuo pc.
 
Dovrei fare una scansione con quel programma che hai detto HiJackThis ma non so dove scaricarlo se mi dai il download faccio una scansione e ti posto i risultati
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\DNA\btdna.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
Perfavore, Entra oppure Registrati per vedere i Link!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
Perfavore, Entra oppure Registrati per vedere i Link!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
Perfavore, Entra oppure Registrati per vedere i Link!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
Perfavore, Entra oppure Registrati per vedere i Link!

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
Perfavore, Entra oppure Registrati per vedere i Link!

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programmi\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programmi\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programmi\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: CabBuilder -
Perfavore, Entra oppure Registrati per vedere i Link!

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
Perfavore, Entra oppure Registrati per vedere i Link!

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) -
Perfavore, Entra oppure Registrati per vedere i Link!

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) -
Perfavore, Entra oppure Registrati per vedere i Link!

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
Perfavore, Entra oppure Registrati per vedere i Link!

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) -
Perfavore, Entra oppure Registrati per vedere i Link!

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -
Perfavore, Entra oppure Registrati per vedere i Link!

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
 
Ho cercato il nome dei processi più strani e risultano trojan.

1) Riavvia il pc, premi F8 ed entra in modalità provvisoria senza rete, lancia una scansione con malwarebytes, elimina tutto, riavvia e ritorna in modalità normale. Fatto questo scaricati combofix, disconnettiti da internet, disabilita momentaneamente il ripristino di sistema e scansiona con combofix. Finito tutto riavvia il pc, riattiva il ripristino di sistema e fai una scansione veloce con spybot.

Se non risolvi scaricati kaspersky rescue disk. E' compatibile con tutte le versioni windows però non so se con windows 7 funziona.

Poi x la manutenzione trovi programmi free tipo ccleaner - glary utilites e molto altro.
 
Voglio capire,in modalità provvisoria partono solo i processi più importanti e devo far partire malware byt?:gurupazz:
 
Voglio capire,in modalità provvisoria partono solo i processi più importanti e devo far partire malware byt?:gurupazz:

Se leggi la maggior parte dei blog su come pulire il pc da infezioni, dicono sempre di riavviare il pc e fare una scansione in modalità provvisoria.

Le infezioni già le trova :ragione:
 
Il pc lento deve andare,perchè con 1 GB di ram e un HD di 70GB non può andare velocissimo,ma se secondo te è lento per i virus... :

Codice:
Perfavore, Entra oppure Registrati per vedere i codici!

Secondo il sito di HijackThis è sospetto,fixalo.


Codice:
Perfavore, Entra oppure Registrati per vedere i codici!


Se non conosci i siti web fixali

Codice:
Perfavore, Entra oppure Registrati per vedere i codici!

Inutile,fixalo.



I processi sono sicuri secondo HijackThis.

Non mi assumo responsabilità,io mi sono basato sul sito ufficiale di Hijackthis.

HO EDITATO ANGEL
 
Ultima modifica:
ma non dare retta a quel tizio,non sei messo male -.- , è solo per farsi un messaggio.

Comunque apri Hijackthis,fai scan,e poi selezioni le cose che ti ho detto e poi premi FIX (in basso al programma.)
 
Il pc lento deve andare,perchè con 1 GB di ram e un HD di 70GB non può andare velocissimo,ma se secondo te è lento per i virus... :

Codice:
Perfavore, Entra oppure Registrati per vedere i codici!

Secondo il sito di HijackThis è sospetto,fixalo.


Codice:
Perfavore, Entra oppure Registrati per vedere i codici!


Se non conosci i siti web fixali

Codice:
Perfavore, Entra oppure Registrati per vedere i codici!

Inutile,fixalo.



I processi sono sicuri secondo HijackThis.

Non mi assumo responsabilità,io mi sono basato sul sito ufficiale di Hijackthis.

HO EDITATO ANGEL

tomymtommytommy ha detto:
ma non dare retta a quel tizio,non sei messo male , è solo per farsi un messaggio.

Comunque apri Hijackthis,fai scan,e poi selezioni le cose che ti ho detto e poi premi FIX (in basso al programma.)

Li leggi i messaggi? .-.

Fai come ti ho detto,e poi fai un'ultima scansione con hijackThis (dopo aver fatto)per vedere.
 
Li leggo :l cmq ho fixato fra poco posto la scansione ora sto facendo la deframmentazione.Cmq hard disch su quel pc portatile è di 40 giga byte