AIUTATEMI AD ELIMINARE questo Virus/trojan o quello che è....

Stato
Discussione chiusa ad ulteriori risposte.

Andxme

Utente Attivo
5
1
CPU
intel 2600k
Scheda Madre
asus p8z68v pro
HDD
WD 10.000 rpm 460gb sata 3
RAM
2x6GB corsair 1600mhz
GPU
2x msi 560ti twin frozen 2 oc
Audio
integrata
Monitor
Asus 24"
PSU
cooler master 700watt pro gold ed.
Case
nzxt lexa S black
OS
windows 7
Ciao a tutti scrivo perchè ho un problema da qualche giorno con un programma malevolo alquanto strano e fastidioso. Questo trojan o virus fa si che mentre navigo su internet non posso ne fare alcun download in quanto mi viene detto che lo scaricamento di un qualunque file equivale a 0kb e soprattutto mi blocca le pagine internet le quali mi vengono sempre reindirizzate ad un proxy che poi mi porta su pubblicità ect ect

Guardando in task manager ho visto che il processo incriminato è questo:

IVVM.EXE il quale a sua volta apre E68.exe e 19F2B.exe Credo sia un trojan o un malware vi posto il registro con hijackthis magari voi ci capite qualcosa
icon_smile.gif
Inoltre andando semplicemente in C: Programmi:trovo all'interno le tre cartelle sospette che sono LP e FEFCB e ECFFE con all'interno i file eseguibili che si attivano in task manager.

INOLTRE ho scoperto che in pannello di controllo (ho windows 7) Opzioni Internet ora risulta solo in lingua inglese e con all'interno alcune opzioni completamente invisibili o oscurate...che diavolo sta succedendo?! ho individuato anche la cartella dove risiede ivvm.exe ovvero in programmi-->FEFCB-->ivvm.exe
il problema è che se lo cancello la connessione ad internet non funziona più!!

infatti cancellandolo mi appare il messaggio: il server proxy ha smesso di funzionare e di conseguenza non posso caricare nessuna pagina internet ...anche se la connessione Comunque funziona infatti usando programmi esterni esempio Utorrent comunque i download procedono.

mi date una mano perfavore??


googolando ho trovato qualche stralcio di info sul virus ma niente di specifico posto:

http://www.experts-exchange.com/Virus_and_Spyware/Anti-Virus/Q_27517172.html

e anche su questo forum se ne parlava solo che è rimasto irrisolto cmq il mio problema è lo stesso
Olimpo Informatico :: Leggi argomento - RIlevati due virus e connessione a internet non funziona




POSTO HIJACKTHIS
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:31:57, on 20/02/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Users\sonny\AppData\Roaming\ECFFE\19F2B.exe
C:\Program Files (x86)\LP\2BBE\E68.exe
C:\Program Files (x86)\Webroot\WebrootSecurity\SpySweeperUI.exe
C:\Users\Public\Documents\PowerOffer\POService.exe
C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AcroRd32.exe
C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AcroRd32.exe
C:\Program Files (x86)\FEFCB\lvvm.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Hotmail.fr, Messenger, Actualité, Sport, People, Femmes - MSN France
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail.fr, Messenger, Actualité, Sport, People, Femmes - MSN France
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=ecffefcb000000000000001cbfabc36a&tlver=1.4.19.19&ss=1&affID=17982
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:60687
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: uTorrentBar_IT Toolbar - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Program Files (x86)\uTorrentBar_IT\tbuTor.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll
O2 - BHO: PowerOffer - {3543619C-D563-43f7-95EA-4DA7E1CC396A} - C:\Users\Public\Documents\PowerOffer\PowerOfferBHO.dll
O2 - BHO: uTorrentBar_IT Toolbar - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Program Files (x86)\uTorrentBar_IT\tbuTor.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: uTorrentBar_IT Toolbar - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Program Files (x86)\uTorrentBar_IT\tbuTor.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [E68.exe] C:\Program Files (x86)\LP\2BBE\E68.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files (x86)\Webroot\WebrootSecurity\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\WinSys\WinSys.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\WinSys\WinSys.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O9 - Extra button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: Sistema Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. (Webroot Antispyware, Virus & Malware Protection - Internet Security) - C:\Program Files (x86)\Webroot\WebrootSecurity\SpySweeper.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Webroot Client Service (WRConsumerService) - Webroot Software, Inc. - C:\Program Files (x86)\Webroot\WebrootSecurity\WRConsumerService.exe

--
End of file - 9656 bytes
 
Ultima modifica:
  • Mi piace
Reazioni: Maria Rosaria

Maria Rosaria

Nuovo Utente
3
0
Ciao compagno di sventure!!
Anche io ho avuto il tuo stesso problema e pare che adesso sia riuscita a risolverlo, così mi sono iscritta per risponderti, sperando di esserti di aiuto, premettendo che non me ne intendo molto di pc :rolleyes:

Passaggio 1:
Scarica l'antivirus AVG, è l'unico in grado di eliminare realmente quelle fastidiosissime cartelline installate in C:/Programmi! (Avevo provato anche con Avast e Avira... ma niente!)
Appena scaricato bisogna aggiornarlo, perché ho idea che siano virus appena sfornati! Dopo fai partire la scansione e quando li rileva li elimini.

Passaggio 2: Vai in C:/Programmi e cancelli le cartelle vuote (LP e 8978) che restano comunque memorizzate!

Passaggio 3: E' vero, se li cancelli non ti permettono di connetterti, per eludere il problema se hai Google Chrome devi andare in Strumenti --> Opzioni --> Roba da smanettoni --> Modifica impostazioni proxy --> Impostazioni Lan --> e deseleziona, togli la spunta alla voce "utilizza server proxy per la connessione Lan".

A questo punto dovresti essere apposto, il mio pc e la mia connessione sono tornati come nuovi!!
 

tecnico24

Utente Èlite
10,706
1,072
Da Hijackthis spunta e clicca sotto su fix checked queste voci(Apri lo Spoiler):

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\WinSys\WinSys.exe

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\system32\WinSys\WinSys.exe

O4 - HKLM\..\Run: [E68.exe] C:\Program Files (x86)\LP\2BBE\E68.exe

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll

O3 - Toolbar: uTorrentBar_IT Toolbar - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Program Files (x86)\uTorrentBar_IT\tbuTor.dll

O2 - BHO: uTorrentBar_IT Toolbar - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Program Files (x86)\uTorrentBar_IT\tbuTor.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll

R3 - URLSearchHook: uTorrentBar_IT Toolbar - {4ae0c3d6-f713-4eed-bc65-25dc3ffdaac1} - C:\Program Files (x86)\uTorrentBar_IT\tbuTor.dll

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=ecffefcb00000 0000000001cbfabc36a&tlver=1.4.19.19&ss=1&affID=179 82

Sempre da Hijackthis dal menu principale ( Main Menu ) clicca su Open the misc tools selection
Clicca sulla voce Open ADS spy
Leva la spunta da Quick scan ( Windows base folder only )
Clicca sul pulsante Scan
Attendi , ed al termine seleziona le voci ( tutte ) e clicca sul pulsante Remove Selected.

Segui il passaggio elencato da mariarosaria per quanto riguarda il server proxy.

Scarica combofix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Istruzioni:
Scaricare combofix dal link postato e salvarlo sul desktop
Disattivare l'antivirus , il firewall e la connessione in uso affinchè non ci siano conflitti
● Per permettere un ' ottimo utilizzo del programma occorre utilizzarlo avendo i privilegi come amministratore.
Tasto destro su di esso e cliccate su Esegui come Amministratore. (Rifiutare la console di ripristino)
Aspettare che combofix faccio il suo lavoro ed al termine (dopo il riavvio) postare il report delle operazioni.
 
Ultima modifica:

Andxme

Utente Attivo
5
1
CPU
intel 2600k
Scheda Madre
asus p8z68v pro
HDD
WD 10.000 rpm 460gb sata 3
RAM
2x6GB corsair 1600mhz
GPU
2x msi 560ti twin frozen 2 oc
Audio
integrata
Monitor
Asus 24"
PSU
cooler master 700watt pro gold ed.
Case
nzxt lexa S black
OS
windows 7
be che dire...Grazie mille dell'aiuto MariaRosaria, hai postato un'ottima guida facile pratica e veloce ;)
Grazie anche a tecnico per i fix sul registro ora applico il tutto poi vi faccio sapere :)
 

fabiannitt

Nuovo Utente
38
0
Per eliminare Babylon Search toolbar puoi seguire questa procedura semplice:


Spero di esser stato d'aiuto!
ciao!
 
Ultima modifica da un moderatore:

tecnico24

Utente Èlite
10,706
1,072
Non c'è bisogno di linkare un sito esterno , c'è la discussione ufficiale per ripulire un pc infetto.
Visto che la discussione è vecchia di un'anno fa , chiudo.
 
Stato
Discussione chiusa ad ulteriori risposte.

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!