Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Virus Nail.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Virus Nail.exe

Postdi vivy » 28/06/05 21:49

'sera a tutti! Sono giunta su questo forum seguendo un link di google, nella speranza di risolvere un problema che affligge il mio pc: il virus Nail.exe
Ho cercato di mettere in pratica i suggerimenti letti in questo topic:
http://www.pc-facile.com/forum/viewtopi ... 2f77d22184

Ho provato ad eliminare in modalità provvisoria le chiavi indicate da HijackThis ed anche il file DrPMon.dll però non c'è stato niente da fare: il file nail.exe continua a ricomparire nella cartella C:/Windows
Vi posto il file di log ottenuto con HijackThis nella speranza che possiate aiutarmi:

Logfile of HijackThis v1.99.1
Scan saved at 22.12.04, on 28/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\lbznss.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Documents and Settings\BALDI\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programmi\Spybot\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [mwvxil] c:\windows\system32\lbznss.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1040\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
O9 - Extra button: Alice - {B4DC5674-577C-4310-85D1-5A5912EF4CF8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/se ... loader.cab
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Abpqmmip - - (no file)
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe


Grazie!
Viviana
vivy
Newbie
 
Post: 5
Iscritto il: 28/06/05 21:28

Sponsor
 

Postdi toni84 » 28/06/05 23:58

ciao prima di tutto ti consiglio di mettere hijach in una cartella tutta sua(documenti)tu adesso c'è l'hai sul desktop se poi ti servira ripristinare qualche stringa non sara possibile perchè e sul desktop e non crea backup

Queste sono le voci da fissare dalla modalita provvisoria,prima disabilita il ripristino di configurazione di sistema:

c:\windows\system32\lbznss.exe
^---(processo sconosciuto se sai di che si tratta lascialo,altrimenti fissalo e cancellalo e terminalo dal task manager)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
^---( Trojan.Win32.Stervis.b non ce un tool di rimozione fissalo e cancellalo)

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
^---( Trojan.Win32.Stervis.b non ce un tool di rimozione fissalo e cancellalo)

O4 - HKLM\..\Run: [msxct] msxct.exe
^---(questo è un adware fissa e cancella ti indico la procedura di rimozione è un po lunga)

rimuovi dal da installazione applicazione questo programma eXact Search Bar

poi dal task manager(control+alt+canc) termina i seguenti processi

angelex.exe
closewindow.exe
exactupdate00105.exe
programfilesdir+\cashback\bin\cashback.exe
programfilesdir+\cashback\bin\cb.exe
programfilesdir+\cashback\bin\flash.exe
programfilesdir+\exact\exactupdate.exe
programfilesdir+\exact\exactupdate00136.exe
programfilesdir+\navisearch\bin\nls.exe
systemroot+\system32\exacctsetup3.exe
systemroot+\system32\ezstubi.exe
trkgif.exe

poi start>esegui>regedit>ok trova ed elimina le seguenti chiavi:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cashback

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\navisearch

poi collegati ad internet,apri l'esplora risorse e cerca(visualizza file e cartelle nascoste) e cancella i seguenti file:

angelex.exe
cacls.exe-25504e4a.pf
closewindow.exe
exactlog.txt
exactsetup.exe-10a25ae5.pf
exactupdate.exe-29d73d0f.pf
exactupdate00105.exe
glb6.tmp-1a38aaa8.pf
install.log
mg03025.xml
mg03026.xml
mg03027.xml
mg03028.xml
mg03030.xml
mg03031.xml
mg03032.xml
mg03033.xml
mg03034.xml
mg10000.xml
mqexdlm.srg
mscb.dll
programfilesdir+\cashback\bin\cashback.exe
programfilesdir+\cashback\bin\cb.exe
programfilesdir+\cashback\bin\flash.exe
programfilesdir+\exact\exacttoolbar.dll
programfilesdir+\exact\exacttoolbar00068.dll
programfilesdir+\exact\exactupdate.exe
programfilesdir+\exact\exactupdate00136.exe
programfilesdir+\exact\popularlinks.reg
programfilesdir+\navisearch\bin\nls.exe
systemroot+\system\exacttoolbar.dll
systemroot+\system\s4bar.dll
systemroot+\system32\exacctsetup3.exe
systemroot+\system32\exactsetup.dll
systemroot+\system32\exacttoolbar.dll
systemroot+\system32\ezstubi.dll
systemroot+\system32\ezstubi.exe
systemroot+\system32\s4bar.dll
trkgif.exe

poi sempre con lo stesso metodo rimuovi le seguenti directory:

programfilesdir+\exact
programfilesdir+\navisearch

O4 - HKLM\..\Run: [mwvxil] c:\windows\system32\lbznss.exe r
^---(processo sconosciuto se sai di che si tratta lascialo,altrimenti fissalo e cancellalo)

O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1040\phdintl.dll/phdContext.htm
^---(fissa e cancella)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
^---(fissa e cancella)

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
^---(fissa e cancella)

O9 - Extra button: Alice - {B4DC5674-577C-4310-85D1-5A5912EF4CF8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
^---(fissa e cancella)

O23 - Service: Abpqmmip - - (no file)
^---(fissa e cancella)

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
^---(fissa e cancella)

ripeti le varie scansioni(sempre in modalita provvisoria)con antivirus aggiornati e antispy(adware se personal 1.6 spybot search and destroy 1.4 e con microsoft antispy) poi svuota il cestino i cookie e i file temporanei con regseeker dai una pulita alle chiavi di registro e con ccleaner ai file inutili!!

Se hai problemi con le operazioni fatti aiutare da un amico non rischiare se non lo sai fare bene o se hai dubbi su come fare!!!

Buon Lavoro



:)
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi toni84 » 29/06/05 00:01

Dimenticavo installa il service pack 2 se vuoi o in alternativa collegati a windows update e vedi se hai tutti gli aggiornamenti,non ho fatto caso se hai un firewall nel caso no installane uno scegli tra zona allarm kerio sygate o outpost tutti free!!!!!!ciao ciao :)
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Tiseria » 29/06/05 09:18

Installa Virit ed eseguilo dalla modalita' provvisoria, è un ottimo anti-spyware.

Lo trovi sul sito http://www.tgsoft.it

Ti dovrebbe rimuovere parecchie cose che non vanno nel tuo computer.

Ciao
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi vivy » 29/06/05 10:54

inanzitutto grazie mille ;)
Ho provato a seguire i tuoi suggerimenti; in modalità provvisoria ho *cercato* di eliminare tutte le stringhe che hai detto; purtroppo queste:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O23 - Service: Abpqmmip - - (no file)

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)


Non hanno intenzione di togliere il disturbo e ad ogni scan sono sempre lì :(
Poi ho riavviato Windows, non più in modalità provvisoria, per fare questo:

toni84 ha scritto:rimuovi dal da installazione applicazione questo programma eXact Search Bar

poi dal task manager(control+alt+canc) termina i seguenti processi

angelex.exe
closewindow.exe
exactupdate00105.exe
programfilesdir+\cashback\bin\cashback.exe
programfilesdir+\cashback\bin\cb.exe
programfilesdir+\cashback\bin\flash.exe
programfilesdir+\exact\exactupdate.exe
programfilesdir+\exact\exactupdate00136.exe
programfilesdir+\navisearch\bin\nls.exe
systemroot+\system32\exacctsetup3.exe
systemroot+\system32\ezstubi.exe
trkgif.exe


Il problema è che tra le applicazioni da disinstallare non ho "eXact Search Bar", e tra i processi in Task Manager non ho nessuno di quelli che hai elencato :-? .
A questo punto non sono andata oltre..
Cosa posso fare?
Ps. ho provato a scaricare VirIT, proverò anche questo ;) grazie
vivy
Newbie
 
Post: 5
Iscritto il: 28/06/05 21:28

Postdi amvinfe » 29/06/05 16:23

Ciao,
se non hai ancora risolto puoi procedere come segue.

Installa ed aggiorna la versione trial (15gg) di Ewido

http://www.ewido.net/en/download/

Una volta aggiornato, riavvia in modalità provvisoria (è importante) apri ewido e fai in modo che la scansione avvenga anche per i file criptati, archivi, cartelle. Elimina i valori infetti. Salva il log e postalo poi nella tua prossima risposta.

Riavvia in modalità normale, esegui un nuovo scan con HJT, posta il log
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi vivy » 30/06/05 13:53

ho seguito anche l'ultimo suggerimento..ho installato Ewido e ho fatto una scansione di tutto il sistema in modalità provvisoria.

Questo è il log:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

e w i d o s e c u r i t y s u i t e - R a p p o r t o S c a n s i o n e

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -



+ C r e a t o i l : 1 3 . 4 2 . 3 2 , 3 0 / 0 6 / 2 0 0 5

+ R e p o r t - C h e c k s u m : 1 E 9 8 7 6 4 6



+ D a t a d e l d a t a b a s e : 3 0 / 0 6 / 2 0 0 5

+ V e r s i o n e d e l m o t o r e d i s c a n s i o n e : v 3 . 0



+ D u r a t a : 1 4 2 m i n

+ F i l e s C o n t r o l l a t i : 2 2 5 4 3 0

+ V e l o c i t à : 2 6 . 3 7 F i l e s / S e c o n d o

+ F i l e s I n f e t t i : 1 3

+ F i l e s E l i m i n a t i : 1 3

+ F i l e s p o s t i i n q u a r a n t e n a : 1 3

+ F i l e s c h e n o n p o s s o n o e s s e r e a p e r t i : 0

+ F i l e s , c h e n o n p o s s o n o e s s e r e r i p u l i t i : 0



+ B i n d e r : S i

+ C r y p t e r : S i

+ A r c h i v i : S i



+ O g g e t t i C o n t r o l l a t i :

C : \

H : \

I : \

J : \



+ R i s u l t a t i s c a n s i o n e :

C : \ D o c u m e n t s a n d S e t t i n g s \ B A L D I \ I m p o s t a z i o n i l o c a l i \ D a t i a p p l i c a z i o n i \ I M \ I d e n t i t i e s \ { B 2 7 3 C 3 3 7 - E 0 9 4 - 4 7 8 A - A 2 8 A - E 1 0 9 B 1 8 D C 4 8 8 } \ M e s s a g e S t o r e \ A t t a c h m e n t s \ r u m o r . e x e - > N o t - A - V i r u s . J o k e . S t u p e n . c - > P u l i t o c o n B a c k u p

C : \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 6 0 2 1 6 2 3 5 8 - 1 0 0 4 3 3 6 3 4 8 - 8 3 9 5 2 2 1 1 5 - 1 0 0 4 \ D c 1 4 . e x e - > T r o j a n . N a i l - > P u l i t o c o n B a c k u p

C : \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 6 0 2 1 6 2 3 5 8 - 1 0 0 4 3 3 6 3 4 8 - 8 3 9 5 2 2 1 1 5 - 1 0 0 4 \ D c 1 5 . e x e - > T r o j a n . N a i l - > P u l i t o c o n B a c k u p

C : \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 6 0 2 1 6 2 3 5 8 - 1 0 0 4 3 3 6 3 4 8 - 8 3 9 5 2 2 1 1 5 - 1 0 0 4 \ D c 2 . d l l - > T r o j a n . A g e n t . d b - > P u l i t o c o n B a c k u p

C : \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 6 0 2 1 6 2 3 5 8 - 1 0 0 4 3 3 6 3 4 8 - 8 3 9 5 2 2 1 1 5 - 1 0 0 4 \ D c 3 . e x e - > T r o j a n . N a i l - > P u l i t o c o n B a c k u p

C : \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 6 0 2 1 6 2 3 5 8 - 1 0 0 4 3 3 6 3 4 8 - 8 3 9 5 2 2 1 1 5 - 1 0 0 4 \ D c 4 . e x e - > T r o j a n . N a i l - > P u l i t o c o n B a c k u p

C : \ R E C Y C L E R \ S - 1 - 5 - 2 1 - 6 0 2 1 6 2 3 5 8 - 1 0 0 4 3 3 6 3 4 8 - 8 3 9 5 2 2 1 1 5 - 1 0 0 4 \ D c 5 . e x e - > T r o j a n . N a i l - > P u l i t o c o n B a c k u p

C : \ W I N D O W S \ N a i l . e x e - > T r o j a n . N a i l - > P u l i t o c o n B a c k u p

C : \ W I N D O W S \ s v c p r o c . e x e - > T r o j a n . S t e r v i s . c - > P u l i t o c o n B a c k u p

C : \ W I N D O W S \ s y s t e m 3 2 \ h b e i m c . e x e - > S p y w a r e . B e t t e r I n t e r n e t - > P u l i t o c o n B a c k u p



: : F i n e R a p p o r t o


Dopo avere riavviato in modalità normale, ho scoperto che purtroppo il file nail.exe è ancora in c/windows.
In ogni caso ho fatto la scansione con HiJack, e questo è il log:

Logfile of HijackThis v1.99.1
Scan saved at 13.46.33, on 30/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
H:\Programmi\Edwido\ewidoctrl.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Documents and Settings\BALDI\Documenti\hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programmi\Spybot\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/se ... loader.cab
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Abpqmmip - - (no file)
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: ewido security suite control - ewido networks - H:\Programmi\Edwido\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - H:\Programmi\Edwido\ewidoguard.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe


Grazie ;)
vivy
Newbie
 
Post: 5
Iscritto il: 28/06/05 21:28

Postdi Tiseria » 30/06/05 14:25

Esegui Virit Explorer Lite,
dal menu TOOLS clicka su SPOSTA FILE.
Ti compare la finestra di sposta file, con i pulsanti SFOGLIA seleziona il file sorgente NAIL.EXE dalla cartella Windows, e dopo seleziona una cartella di DESTINAZIONE (scegli C:\). Clicka OK e riavvia il computer.

Se tutto è andato buon fine il file NAIL.EXE sara' spostato in C:\

n.b.: per spostare il file devi avere i diritti di Administrator
n.b.2: se non trovi il file NAIL.EXE devi impostare la visualizzazione di
1) file nascosti
2) file di sistema
Tiseria
Utente Junior
 
Post: 97
Iscritto il: 09/03/05 15:23

Postdi toni84 » 30/06/05 16:42

ciao quindi svuota il cestino poi apri ewido vai sulla voce quarantena selezioni i file recycler e selezioni l'opzione elimina e poi confermi,io sinceramente cancellerei tutto dalla quarantena tanto non sono file essenziali poi dai una pulita con ccleaner regseeker,svuota i file temporanei i cookie ed il cache poi per sicurezza in modalita provvisoria ripeti le varie scansioni,poi con hijach fissa e cancella queste voci

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe(se ricompare prova a fissarla e cancellarla dalla modalita normale)

O23 - Service: Abpqmmip - - (no file)

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

RECYCLER =cestino

ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vivy » 02/07/05 14:55

... sono 24 ore che il mio piccì funziona... speriamo!!!
Grazie mille per il vostro aiuto... siete degli angeli :)

... mi approffitto ancora un po' di voi.. adesso che è (.. o almeno sembra) tutto ok, come faccio a proteggere il mio piccì per il futuro?
Premetto che ho installato Norton Internet Security 2005 (aggiornato giornalmente) che comprende antivirus e firewall (ma voi lo saprete gia!!), ad-aware se e spy-bot search&destroy.

Grazie!!!! ;)
vivy
Newbie
 
Post: 5
Iscritto il: 28/06/05 21:28


Torna a Sicurezza e Privacy


Topic correlati a "Virus Nail.exe":


Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti