Olimpo Informatico

[ataru]

ciao ragazzi sono nuovo del forum, ho un problema con un virus su un portatile di una mia amica, ho letto alcuni problemi simili sul form e credo sia infetto dal temp2.exe attraverso una chiavetta. Ho usato AVG per scansire il computer e mi ha eliminato i file:
C:\copy.exe
C:\host.exe
C:\recover\Addon\proginst.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\xcopy.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe

ora però non accedo più a C perchè non trova il file copy.exe e per farlo devo usare il tasto destro ed esplora in più alla chiusura e apertura non trova il file svchost.exe

non sono un esperto e ho fatto la scansione con hijackThis ma non capisco che fare ora ve la poso qui nella speranza che qualcuno mi dai una dritta!
grazie a tutti ciao Thomas
e grazie soprattutto a nome della mia amica!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com/fsc/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programmi\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programmi\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe

--
End of file - 6223 bytes

[Orange]

ciao.
l'errore di copy.exe lo dà forse perche non sono stati cancellati tutti i files infetti. Prova a far girare questo tool
l'errore di svchost dipende da questo richiamo nel registro:
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
fissa la voce con HiJack dopo di che prova anche a cercare manualmente nel registro: C:\WINDOWS\svchost.exe ( eventualmente cancella le chiavi trovate)
facci sapere se hai risolto

[ataru]

Ciao Orange, grazie 1000
problema di svchost.exe risolto con la pulizia del registro
purtroppo però non funziona la pagine http://www.techsupportforum.com/sectools/W32.Perlovga.Remover.exe
a cui rimanda il link non c'è un altro modo per risolvere il problema, su un altro forum ho trovato l'indicazione di cancellare i file: Copy.exe, Xcopy.exe, Host.exe, Temp1.exe, Temp2.exe e Autorun.inf in modalità provvisoria, può funzionare? non è che rischio di cancellare qualcosa che non va tolto?
ciao e
grazie ancora

[Orange]

in effetti è strano-- stamattina mi chiedeva di scaricare il file e ora dà un bel "page not found"....
fortuna che sono previdente 8)
http://www.mytempdir.com/1323882
prova.

[ataru]

Grazie ancora Orange ora funziona tutto, file scaricato e lanciato e non da più il messaggio d'errore.
Per il futuro che antivirus mi consigli io ora uso AVG free e stavo meditando di acquistare il pacchetto AVG internet security, che ne dici?
grazie ancora
thomas

[aris73]

AVG internet security é un ottimo prodotto, perché abbina AVG antivirus e AVG antispyware (ex ewido) unica piccola pecca il firewall integrato, ancora un pò troppo "leggero" per reggere con la concorrenza, ma é uno tra i migliori prodotti in circolazione, e forse il meno esoso di risorse in assoluto, quindi puoi tranquillamente affiancargli un altro prodotto,
alla pecca del FW puoi ovviare installando spyware terminator (free) attivando il modulo HIPS

ciao

[ataru]

Gazie Aris 73, ho installato tutto e sembra e funziona, ora però il computer è veramente lento, è dovuto ad AVG e spyware terminator? come si può capire quali procesi rallentano tanto il computer, con task manager l'utilizzo del cpu è sempre per la maggior parte su ciclo del sistema, quindi in teoria dovrebbe andare veloce?
ciao e grazie ancora

[bdoriano]

AVG è abbastanza leggero come antivirus.
Spyware Terminator l'avevo provato per una settimana e poi l'ho disinstallato. Prova a disinstallare SpywareTerminator per vedere come reagisce il pc.