PDA

Visualizza versione completa : AIUTO PER UN VIRUS AL PC


danigili
03-07-2008, 16.44.03
Salve a tutti

il mio PC ha un virus. Ad un certo punto sul desktop appaiono dei rettangoli grigi e non mi possibile utilizzare il tasto START. Ho provato ad eliminare i files dalla cartella Temporary internet files e non me lo fa fare.
Questo il logfile estratto con hijack. Qualcuno mi pu aiutare a risolvere il problema?
Sono poco pratica.
Grazie
Dani

Logfile of HijackThis v1.99.1
Scan saved at 16.33.09, on 03/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Cobian Backup 8\cbService.exe
C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\lotus\notes\ntmulti.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programmi\Cobian Backup 8\cbInterface.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\TEMP\OUB5A9.EXE
C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programmi\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\Documents and Settings\d.giuliani\Desktop\FILES DESKTOP\programmi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.turistal.it/intranet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [DrvLsnr] C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programmi\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Cobian Backup 8 interface] "C:\Programmi\Cobian Backup 8\cbInterface.exe" -service
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF4 Registry Controller] "C:\Programmi\ScanSoft\PDF Professional 4.0\RegistryController.exe"
O4 - HKLM\..\Run: [ScanSoft PDF Professional 4-reminder] "C:\Programmi\ScanSoft\PDF Professional 4.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PDF Professional\4\Ereg\Ereg.ini
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Apri con ScanSoft PDF Converter 4.1 - res://C:\Programmi\ScanSoft\PDF Professional 4.0\cnvres_ita.dll /100
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = turistal.it
O17 - HKLM\Software\..\Telephony: DomainName = turistal.it
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = turistal.it
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = turistal.it
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Cobian Backup 8 servizio (CobBMService) - Luis Cobian - C:\Programmi\Cobian Backup 8\cbService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programmi\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe

crazy.cat
03-07-2008, 16.53.45
Hai idea di cosa sia questo file?
C:\WINDOWS\TEMP\OUB5A9.EXE
(anche se avendo tu trend micro credo di saperlo..)

Vedo che hai fatto una scansione sul sito della Kaspersky, ha dato qualche risultato?

Sicuro che i rettangoli grigi non siano un problema dovuto alla scheda video che scalda e di conseguenza blocca il pc?
Cosa devi fare quando succede il problema?

danigili
04-07-2008, 14.35.14
Ciao crazy cat,

Hai idea di cosa sia questo file?
C:\WINDOWS\TEMP\OUB5A9.EXE
(anche se avendo tu trend micro credo di saperlo..) Non so ma ho Trend Micro
Vedo che hai fatto una scansione sul sito della Kaspersky, ha dato qualche risultato? ha isolato 12 file infetti ma il problema resta

Sicuro che i rettangoli grigi non siano un problema dovuto alla scheda video che scalda e di conseguenza blocca il pc?

No sicuramente un virus perch oltre ai rettangoli di colpo apre una marea di programmi che si posizionano sulla barra grigia dove c' START e li devo chiuder con TASK MANAGER. Alla fine ne resta uno con l' icona di un cagnolino che non si chiude

Cosa devi fare quando succede il problema? digito CTRL+ALT+CANC e riavvio il sistema. Dopo un oretta il problema si ripresenta

Scusa se non uso termini tecnici ma sono poco pratica e autodidatta
Grazi
Dani

crazy.cat
04-07-2008, 14.49.08
Il cagnolino che non si chiude potrebbe essere proprio questo file
C:\WINDOWS\TEMP\OUB5A9.EXE
guarda nella cartella se il file ha proprio l'icona di un cane.

Quali file infetti ti ha trovato kaspersky?
Li hai gi rimossi?
Ci dai i loro nomi?

Dopo un oretta il problema si ripresenta
Continuo a pensare che sia un problema di scheda video, ma cominciamo a togliere i virus e poi vedremo.

Quota le mie frasi o almeno separale dalle tue risposte altrimenti diventa difficile leggere il messaggio.

SK888
04-07-2008, 15.38.24
l'icona quella di un cane marroncino che corre ??
perch se quella normale, l'antivirus della trend micro in funzione, stessa cosa che sospetta crazy.cat... (il cane marrone scappa dal gatto pazzo :) ).
questo antivirus crea anche ad ogni differente sessione un file alfanumerico eseguibile differente, ed in questo caso C:\WINDOWS\TEMP\OUB5A9.EXE.

anche io avevo avuto un problema del genere con questo antivirus, mi apriva un sacco di finestre differenti, tutte chiudibili tranne una (oltretutto quella pi in background). poi dopo 2 o 3 riavvii era sparito.

secondo me un problema dell'antivirus che si rincoglionito... ovviamente se non hai quell'antivirus si tratta di un virus che si cela dietro quell'icona conosciuta.