VIRUS explorer.EXE

[maram]

Sì :-), si chiamava utente 5, me lo ha avviato il proprietario del negozio dal quale l'ho comprato.
Per il momento il portatile non ha manifestato problemi o comunque mi ha permesso di finire il documento e ti ringrazio davvero.
Domani o al più tardi dopodomani farò quest'ultimo passaggio.
Grazie ancora.

 

[FDAC]

Ciao Maram, ben fatto.
ComboFix ha eliminato un pò di schifezze, vediamo se ci sono ulteriori infezioni.
Francesco

 

[maram]

Ciao Francesco,
ho disattivato l'antivirus e ho usato Kaspersky, non ho dovuto curare né saltare niente... Per fortuna!
Ti vorrei allegare il file ma è di circa 106 k così copio e incollo solo la parte finale premettendo che tutti i valori sono ok (non è che lo deduco, è che c'è scritto così :-)):

Scan finished
11:28:11.0291 2480 ============================================================
11:28:11.0321 1860 Detected object count: 0
11:28:11.0321 1860 Actual detected object count: 0
11:30:12.0114 4060 Deinitialize success

---------- Post added at 12:58 ---------- Previous post was at 11:41 ----------

Adesso mi trovo un paio di cartelle in C:, credo lasciate da Combofix, col nome di FOUND. Se ne andranno quando lo disinstallerò oppure le posso cancellare? Hanno l'estensione .CHK.
C'era o no un virus col nome di Explorer.EXE? Se ricordo bene, anni fa ho avuto un problema del genere, risolto con non ricordo più quale programma e credo di aver fatto un bel danno eliminando qualcosa con Glairy... :asd:

 

[maram]

... E ancora una cosa ;): ho letto nella quarantena programmi non nocivi, certo i nomi non lo sembrano, come psa2011se_us.exe, NTI CD-Maker 2000, adobe, photoshop e poi anche questo che sta nella cartella di windows dal 2003 (il computer l'ho comprato nel 2004), IsUn0410.exe :look:Visualizza allegato ComboFix.txt
E scusa se ti assillo, ma vorrei capire che cosa gli sto facendo! Non lo porto mai da nessuno e provvedo sempre "da me" grazie a voi "prodi" dei forum.:inchino: ... E poi non l'ho mai formattato!ERESIA!:evil: Lo farò se proprio non ci sarà nessunissimissim'altro rimedio!:D

 

[FDAC]

Ciao.
Il PC è pulito, vediamo di eliminare ComboFix;
Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
● termina tutti i programmi attivi, comprese le pagine Internet
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● attendi pazientemente il termine delle operazioni
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Al termine, dovrai aprire il Pannello di Controllo, cliccare su Opzioni cartella, aprire il tab Visualizzazione e mettere la spunta su Nascondi i file protetti di sistema (consigliato) e Nascondi le estensioni per i tipi di file conosciuti.

 

[maram]

Ciao.
Il PC è pulito, vediamo di eliminare ComboFix;
Scarica TFC by OldTimer: http://oldtimer.geekstogo.com/TFC.exe
● posiziona il tool sul Desktop
● termina tutti i programmi attivi, comprese le pagine Internet
● avvia il tool con un doppio click
● clicca, in basso a sinistra, sul pulsante Start
● scomparirà, per qualche istante, il Desktop: nulla di cui preoccuparsi
● attendi pazientemente il termine delle operazioni
● clicca, in basso a destra, sul pulsante Exit
● una volta terminate le operazioni, chiudi il programma

Scarica OTC by OldTimer: http://oldtimer.geekstogo.com/OTC.exe
● posiziona il tool sul Desktop
● chiudi tutti i programmi attivi
● avvia il tool con un doppio click
● clicca sul pulsante CleanUp!
● il programma chiede di riavviare il sistema: consenti, cliccando su Yes per due volte

Al termine, dovrai aprire il Pannello di Controllo, cliccare su Opzioni cartella, aprire il tab Visualizzazione e mettere la spunta su Nascondi i file protetti di sistema (consigliato) e Nascondi le estensioni per i tipi di file conosciuti.

Ok, adesso lo faccio. Prima però ti vorrei chiedere se però, così facendo, non elimino anche file totalmente innocui come quelli che ti ho elencato prima, che sono in quarantena.

 

[FDAC]

No. Con questa ultima procedura eliminamo ComboFix e i file che ha creato in "giro", e i file temporanei.

Francesco.

P.S. Allega un log di Hijackthis
Scarica ed installa Hijackthis: http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi
● lancia Hijackthis
● clicca sul pulsante Do a system scan and save a logfile
● verrà rilasciato automaticamente un file di testo: allegalo

 

[maram]

Vorrei allegarti il log di HiJackThis ma a quanto pare il formato .log non è valido per il forum, se provo a zipparlo mi viene automaticamente in .ace, allora te lo incollo qui:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.24.16, on 11/11/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
D:\DivX\PSANHost.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
D:\DivX\PSUNMain.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\utente5\Dati applicazioni\Mozilla\Firefox\Profiles\jt8jwd6r.default\extensions\{E173B749-DB5B-4fd2-BA0E-94ECEA0CA55B}\components\afom.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unior.it:808
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] "C:\Programmi\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [PSUNMain] "D:\DivX\PSUNMain.exe" /Traybar
O4 - HKCU\..\Run: [ccleaner] "D:\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O15 - Trusted Zone: Portale AREAGIS
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Panda Cloud Antivirus Service (NanoServiceMain) - Panda Security, S.L. - D:\DivX\PSANHost.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 4748 bytes

Mara

---------- Post added at 17:44 ---------- Previous post was at 17:37 ----------

... Chissà quando mai mi sia servita " Gestione di Dati Territoriali e Pianificazione Urbanistica":skept:

 

[FDAC]

Avvia HiJackThis e:
● clicca sul pulsante Do a system scan only/Scan
● metti la spunta accanto ad ogni singola voce indicata sotto
● spuntate le voci, termina tutti i programmi attivi, comprese le pagine Internet
● clicca, in basso a sinistra, sul pulsante Fix checked; potrebbe comparire un'ulteriore finestra durante il fix delle voci: clicca su Sì
Queste sono le voci da fixare:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] "C:\Programmi\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [PSUNMain] "D:\DivX\PSUNMain.exe" /Traybar
O4 - HKCU\..\Run: [ccleaner] "D:\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab

Il Pc come va?

 

[maram]

Che vuol dire che li fixo? :doh:Li riparo?
Il computer andava molto bene già dopo aver usato Combofix! Grazie ancora!!

---------- Post added at 18:46 ---------- Previous post was at 18:43 ----------

Incredibile, ho trovato la traduzione di fixare! :lol: Per fortuna c'è qualcuno che pensa a noi poveracci!:asd:
Lo faccio subito

---------- Post added at 18:47 ---------- Previous post was at 18:46 ----------

FIXARE Definizione - Glossario Termine Informatico Acronimo

---------- Post added at 18:56 ---------- Previous post was at 18:47 ----------

Questi proprio no?
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Panda Cloud Antivirus Service (NanoServiceMain) - Panda Security, S.L. - D:\DivX\PSANHost.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

 

[FDAC]

Gli ultimi 3 sono servizi, non sono cancellabili facilmente con Hijackthis.
Se non vuoi Skype all'avvio, fixa quella voce.

 

[maram]

Capito.
Fatto! E adesso??

---------- Post added at 23:25 ---------- Previous post was at 23:16 ----------

Cerco di spegnere il computer ma non si termina PSUNMain.exe e poi non mi spiego come mai c'è acrobat reader, AcroRd32.exe, avviato:skept: senza alcun pdf aperto!!!!!!! Cioè ho solo questa pagina aperta...
Siccome sono costretta dovrò usare la forza e terminarli.
Grazie ancora.
Mara

 

[FDAC]

Hai eseguito TFC e OTC By Oldtimer?

Allega un nuovo log di Hijackthis, insieme a quello di Panda (scansione, prima aggiornalo) e di questo programma;
Scarica Security Check: http://screen317.spywareinfoforum.org/SecurityCheck.exe
● salva il tool sul Desktop
● esegui il programma e premi un tasto qualsiasi
● attendi la fine della scansione
● allega il log che si aprirà automaticamente

 

[maram]

Sì, ho eseguito prima TFC e poi OTC. Quando ho eseguito TFC e mi è uscita la finestra con "exit", me ne è uscita un'altra sopra che mi obbligava a riavviare e quindi l'ho fatto. Poi naturalmente non si spegneva il computer e ho dovuto staccare la batteria. Dopo ho eseguito OTC.
Ora faccio quello che mi hai detto.

---------- Post added at 17:08 ---------- Previous post was at 16:59 ----------

Mi sono accorta che l'icona di Panda non c'era. L'ho avviato ma c'è con un messaggio d'errore per PSUNMain.exe che si è chiuso. Comunque sembra andare. Ho aggiornato Panda mercoledì sera.

 

[FDAC]

Uhm.
Esegui Security Check, come ti ho detto nel mio ultimo messaggio.