Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Virus non rilevato...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Virus non rilevato...

Postdi resettino » 13/06/06 19:05

Ciao a tutti,
scrivo perché da qualche giorno sto diventando pazzo con un virus che però non viene rilevato da alcun antivirus (ne ho provati molti, anche online).

All'avvio il pc si comporta normalmente, ma man mano che passano i minuti mi si riempie la memoria virtuale rendendo di fatto il pc inutilizzabile. Il tutto avviene con l'aumento di 1Mb per volta (circa uno al secondo).

Osservando il task manager penso di aver individuato il colpevole, infatti c'è un file .exe che consuma sempre una certa quantità di risorse della cpu.
Se provo a chiudere tale applicazione, tale file riappare con un'altro nome, e questo all'infinito...
Adesso si chiama c9og2msqlc.exe ma se lo termino viene ricaricato con un'altro nome. La sostanza non cambia, mi succhia risorse.

Ora, potrei reinstallare win da capo ma, vorrei propio capire perché nessun antivirus se ne accorge visto che il problema è tranquillamente riscontrabile a occhio.
Il SO è win xp.

Spero che qualcuno sia in grado di aiutarmi.

Grazie, ciao.
Valerio.
resettino
Newbie
 
Post: 3
Iscritto il: 13/06/06 18:57

Sponsor
 

Postdi andorra24 » 13/06/06 19:25

Posta un log di hijackthis.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi resettino » 14/06/06 09:05

Logfile of HijackThis v1.99.1
Scan saved at 10.02.33, on 14/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ap5kemsqlc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.punto-informatico.it/
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [Microsoft Security] C:\WINDOWS\system32\msbase.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe
resettino
Newbie
 
Post: 3
Iscritto il: 13/06/06 18:57

Postdi andorra24 » 14/06/06 09:22

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce indicata sotto e premi ''kill process'' :

C:\WINDOWS\system32\ap5kemsqlc.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O4 - HKCU\..\Run: [Microsoft Security] C:\WINDOWS\system32\msbase.exe

Assicurati di eliminare questi files exe:

ap5kemsqlc.exe in C:\WINDOWS\system32\
msbase.exe in C:\WINDOWS\system32\

Puoi farlo usando hijackthis. Apri hijackthis, clicca su Open the misc tools section e premi su Delete a file on reboot. Segui il percorso preciso ed individua i files da eliminare e premi ''apri''. Ti apparira' una finestrella che ti chiede conferma dell'eliminazione del file al reboot.

Fai una scansione con bitdefender online:
http://www.bitdefender.com/scan8/ie.html
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi resettino » 14/06/06 11:52

Niente da fare...
tra l'altro ap5kemsqlc.exe era solo il nome temporaneo... ogni volta cambia nome...

In comune questi file hanno gli ultimi 4 caratteri... ogni volta finiscono per sqlc.exe

ho provato anche dalla modalità provvisoria a cancellarli tutti ma vengono ricreati al successivo riavvio. Basterebbe sapere qual'è l'applicazione che li crea ma è + facile a dirsi che a farsi...

Continuano a non essere rilevati dagli antivirus...

Copio qui il log della situazione attuale, ovviamente ha un nome differente dal precedente ma se lo cancello o termino l'applicazione ne viene creato subito un'altro con altro nome...

Logfile of HijackThis v1.99.1
Scan saved at 12.48.58, on 14/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\owvowmsqlc.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe


Dire che ci sto diventando pazzo è poco, ma... non voglio formattare sensa prima aver capito come risolvere il problema...
resettino
Newbie
 
Post: 3
Iscritto il: 13/06/06 18:57

Postdi Luke57 » 14/06/06 12:05

Ciao, scarica silentrunner.vbs da qui:
http://www.silentrunners.org
(click dx su "here"), click su silentrunner.vbs, attendi il termine dell'elaborazione, vai nella cartella e troverai un txt, copialo e incollalo in un post.
Vediamo se a studiarlo, abbinatamente a hijackthis, possiamo capirci qualcosa di più. Molto probabilmente abbiamo a che fare con un mutex che cambia aspetto ogni volta, ma questo l'hai capito anche da solo ;)
L'ultimo log di hijackthis l'hai fatto dalla mod. provvisoria? Se sì, ripostalo un altro dalla mod.normale.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi andorra24 » 14/06/06 12:11

Posso consigliarti di fare qualche altra scansione. Prova con sysclean della trendmicro.
Scarica sysclean da qui :http://www.trendmicro.com/ftp/products/tsc/sysclean.com
scarica il suo pattern di aggiornamento da qui:
http://www.trendmicro.com/ftp/products/ ... lpt501.zip

Metti i due files in una cartella ed estrai il contenuto dell'archivio zip nella cartella stessa. Avvia il file sysclean e fai una scansione completa.

Fai anche una scansione con ewido anti-malware:
http://download.ewido.net/ewido-setup.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Luke57 » 14/06/06 12:11

Ciao, prova anche a fare una scansione on line qui:
http://housecall65.trendmicro.com/
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Virus non rilevato (msbase.exe)

Postdi chirizzi » 19/06/06 08:20

Ciao,

il virus (ammesso che sia esattamente un virus) è nuovo e non è rilevato da nessun antivirus, almeno alla data di ieri.
Per eliminarlo devi fare cosi':
1) individuare due file nascosti nella cartella c:\winnt\system32 o c:\windows\system32, a seconda del sysop che hai. I file sono:
a) KENREL32.DLL (e non KERNEL32.DLL!, attenzione al NR-RN)
b) MSBASE.EXE
2) per farlo prima lancia il prompt dei comandi, vai nella cartella c:\winnt\system32, e lancia un "attrib -s -h -r kenrel32.dll" e "attrib -s -h -r msbase.exe"
2) poi uccidi il processo che vedi nel taskmanager è che ha un nome simile a c9og2msqlc.exe, ma cambia sempre l'iniziale del nome. La parte finale "msqlc.exe" è sempre la stessa. Appena lo uccidi si ricreerà con nome simile, molto velocemente, e prima che si ricrei, devi cancellare quei due file di sopra; quindi, stando nella cartella c:\winnt\system32 dai un:
-->> del kenrel32.dll && del msbase.exe
e subito clicca per uccidere il processo di cui sopra.
3) scansiona il registro (regedit.exe) alla ricerca del file "msbase.exe", occorrerà toglierlo dalla chiave RUN, dove la trovi, il file viene infatti lanciato in automatico.

-Antonio
chirizzi
Newbie
 
Post: 1
Iscritto il: 19/06/06 08:09

Postdi freerider99 » 20/06/06 20:55

Nell'agenzia di viaggi dove collaboro abbiamo lo stesso problema sul PC.

Chirizzi ho fatto esattamente come hai detto, ma per visualizzare quei file dei spuntare nascondi file di sistema e visualizza file nascosti. però quando killi il mutex in task (---sqlc) ti modifica le opzioni cartella e quindi non hai il tempo di entrare in opzioni cartella, visualizzare i file nascosti di sistema in system32 e cancellare i due file che intanto in task è già riapparso il mutex!

Aiuto ragazzi vi prego! Sto virus è allucinante!
freerider99
Newbie
 
Post: 8
Iscritto il: 20/06/06 20:49

Postdi Luke57 » 21/06/06 16:16

Ciao, prova a fare così
per prima cosa rendi visibile file e cartelle nascosti:
(da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK)

Scarica KILLBOX da qui
http://www.bleepingcomputer.com/files/s ... illBox.zip
- estrailo sul desktop e apri la cartella che lo contiene e quindi avvialo
- Seleziona l'opzione Delete on Reboot . Nello spazio scrivi il percorso del file da eliminare C:\WINDOWS\system32\msbase.exe
e clicchi sulla crocetta rossa (il computer si riavvierà).
Al riavvio, apri il registro di sistema così:
start>esegui>regedit (lo copi nello spazio)>OK
nela finestra Editor del registro che si apre segui questo percorso cliccando sui + accanto alle singole voci:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run, doppio click sulla cartella Run e se, sulla parte destra trovi il valore mbase.exe, click con il tasto dx su di esso e scegli Elimina.
Ripeti l’operazione sul seguente percorso di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run, e se trovi nella cartella Run il valore msbase.exe lo elimini.
P.S.
Il mio suggerimento è riferito al log di hijackthis di cui sopra, in cui non appare KENREL32.DLL
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi freerider99 » 21/06/06 23:24

Ti ringrazio infinitamente per il suggerimento, ma KENREL32.DLL c'è! E in ogni caso in task menager c'è sempre il mutex msqlc che riparte all'avvio...Il tuo suggerimento ha senso se il mutex è generato da msbase, allora in tal caso killandolo con la procedura da te esposta il problema sarebbe risolvibile!

Minchia grazie per i suggerimenti se ne hai altri facci sapere. Che tristezza sti maledetti virus!
freerider99
Newbie
 
Post: 8
Iscritto il: 20/06/06 20:49

Postdi freerider99 » 21/06/06 23:37

Se c'è anche kernel come nel nostro caso...Cosa dobbiamo fare???

Aiuto vi prego! :aaah
freerider99
Newbie
 
Post: 8
Iscritto il: 20/06/06 20:49

Postdi Luke57 » 22/06/06 07:35

Ciao, allora prova a fare cosi:
Scarica killbox nel link suggerito nel mio post precedente:
1) adesso apri il bloc notes e copia\ incolla le seguenti voci:
C:\WINDOWS\system32\msbase.exe
Percorso del file KENREL32.DLL
Percorso del file del mutex al momento

2) Salva il file .txt (ricordati il nome e dove lo salvi)

3)Ora avvia KillBox (doppio click su killbox.exe)
-Nel menu File clicca su "Paste from Clipboard"
-Adesso clicca sulla cartellina gialla (simile allo Sfoglia), trova e seleziona il file.txt creato in precedenza

4) Seleziona "delete on reboot"
-Clicca su "All Files"
-Infine clicca sulla X rossa (simbolo alto a destra del programma)
Si presume che i file siano cancellati contemporeanamente al riavvio.
-Il computer verrà riavviato (scegli questa opzione)

Al riavvio esegui la procedura nel registro di sistema , suggerita nel post precedente, per eliminare msbase.exe e KENREL32.dll.
Controlli i percorsi nel registro già indicati o al limite puoi fare anche così:
start>esegui>regedit>OK
Nel menu che si apre scegli Modifica>Trova, nella casellina scrivi msbase.exe , lasciando deselezionata la voce stringa intera
Una volta trovato il file, click con il tasto dx e scegli Elimina. Premendo il tasto F3 continui la ricerca e se trovi un altro msbase.exe lo elimini nel solito modo, fino a che un avviso ti comunica che la ricerca è terminata.
A questo punto ripeti la medesima procedura cercando ed eliminando il file KENREL32.DLL.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi freerider99 » 22/06/06 09:31

Aiutami! L'unico grande problema è che il mutex non ha un percorso, in quanto lo si vede solo in task menager all'avvio. Quindi non so precisamente in quale cartella è annidato, a differenza di kernell e msbase.

P.S.: Nel file di testo devo salvare solo i percorsi?
freerider99
Newbie
 
Post: 8
Iscritto il: 20/06/06 20:49

Postdi Luke57 » 22/06/06 10:02

Ciao, scarica hijackthis 1.99.1:
http://www.pc-facile.com/HijackThis_s267/
Scompatti il file .zip in una cartella permanente del disco fisso appositamente creata, tipo C\HJT, non desktop nè temporanea. Apri il file hijackthis.exe, premi "do a system scan and save a log file", si apre un file di testo al cui internoviene elaborato un contenuto. All'inizio del testo, sono indicati i processi del computer, tra cui dovresti trovare quello famigerato co il nome a casaccio, con il suo percorso. Comunque se vuoi inviare il log di hijackthis nel forum, copi tutto il contenuto del file di testo e lo incolli in un post.
Sì, nel file di testo devi scrivere i percorsi dei file da eliminare.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi freerider99 » 22/06/06 15:33

Non so come ringraziarti per quanto stai facendo in mio aiuto.

Domattina vado in agenzia e ti scrivo il log file! Un salutone e a domani.

Sei gentilissimo.
freerider99
Newbie
 
Post: 8
Iscritto il: 20/06/06 20:49

Postdi freerider99 » 23/06/06 10:47

Ciao friend! Ti scrivo il contenuto del log file e comincio immediatamente a provare con le operazioni che mi hai indicato nella speranza di risolvere il problema. Se noti dal contenuto del log qualcos'altro da fare eventualmente fammi sapere.

Help!
freerider99
Newbie
 
Post: 8
Iscritto il: 20/06/06 20:49

Postdi freerider99 » 23/06/06 10:48

Logfile of HijackThis v1.99.1
Scan saved at 11.45.25, on 23/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Symantec\pcAnywhere\awhost32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\gacdhmsqlc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.64.10.69
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 205.214.67.211 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Active sync - {25E1A054-1262-459F-9F14-BF06148F4253} - C:\WINDOWS\system32\kaboom.dll
O2 - BHO: m1a2 - {521693AA-7453-47ED-9959-3BD47DAA1B1A} - C:\WINDOWS\system32\msx.dll
O2 - BHO: Zango Search Assistant Helper - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programmi\zango\zangohook.dll (file missing)
O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\system32\kaboom.dll
O2 - BHO: Intense - {FB47056B-B34D-410E-819A-E8A51CC8E2EB} - C:\WINDOWS\system32\kaboom.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Security] C:\WINDOWS\system32\msbase.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://www.ciritorno.biz
O15 - Trusted Zone: http://www.defaultbar.com
O15 - Trusted Zone: http://www.dettaglio.biz
O15 - Trusted Zone: content.licenseacquisition.org
O15 - Trusted Zone: http://www.melagodo.biz
O15 - Trusted Zone: http://www.nanobyte.biz
O15 - Trusted Zone: http://www.pergentina.biz
O15 - Trusted Zone: http://www.phishingfix.biz
O15 - Trusted Zone: http://www.playmore.biz
O15 - Trusted Zone: http://www.popup-freesex-adv.biz
O15 - Trusted Zone: http://www.preferiti-windows.com
O15 - Trusted Zone: http://www.ricercadoppia.com
O15 - Trusted Zone: http://www.super-videochat-community.biz
O15 - Trusted Zone: http://www.terzodesiderio.biz
O15 - Trusted Zone: http://www.umts-gprs-mondo-telefonino-cellulare.biz
O15 - Trusted Zone: cds.zangocash.com
O15 - Trusted Zone: static.zangocash.com
O16 - DPF: {01E69986-A054-4C52-ABE8-EF63DF1C5211} - http://www.playmore.biz/pop/ricercadopp ... doppia.cab
O16 - DPF: {03E9BA8E-B2A3-437C-AA3F-0EE4A6B1C224} - http://www.popup-freesex-adv.biz/PhisInstaller.exe
O16 - DPF: {16E166F9-35E8-4CA5-B50D-5CEFABF45B09} - http://www.ricercadoppia.com/fatture.exe
O16 - DPF: {2F6C63DF-48AD-44C3-A761-7FB53ECF064A} - http://www.ricercadoppia.com/tangary.exe
O16 - DPF: {4BEF29D6-A5C7-4330-9B56-2AF01286E45B} - http://www.popup-freesex-adv.biz/regphidett.exe
O16 - DPF: {6EC7D3AB-0716-4D89-8019-6CECFA09EDD3} - http://www.popup-freesex-adv.biz/Macrom ... wnload.cab
O16 - DPF: {8431328A-1050-42A8-A615-809F40D3037D} - http://www.preferiti-windows.com/engine ... Stylus.exe
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab
O16 - DPF: {9F54BF10-C88E-43FD-AA9E-16BF45747C72} - http://www.phishingfix.biz/CheckedUrlList/Incontri.exe
O16 - DPF: {9F5BB9E1-31AE-4A13-8734-15CED0F60A3D} (myActiveXCOM Class) - http://www.popup-freesex-adv.biz/Macrom ... plorer.cab
O16 - DPF: {C3CDCDA1-FD97-488D-8EE8-24098CD9C0D2} - http://www.popup-freesex-adv.biz/start.exe
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Zango/i ... f1d06a0be1
O16 - DPF: {EA8804CE-A2F0-4773-89B8-1E5168A1D8D7} - http://www.playmore.biz/pop/notepad.exe
O16 - DPF: {F4F013D2-D396-4942-AF79-F826BB006021} - http://www.ricercadoppia.com/tialla.exe
O16 - DPF: {FDD394B8-F6A0-4307-95F2-EF3ED18874FB} - http://www.phishingfix.biz/CheckedUrlList/tialla.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://deposito.hostance.net/dialer/607431.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9AAEF78-9E16-47A7-A30E-926777BFE54A}: NameServer = 216.212.112.112,212.216.172.62
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
freerider99
Newbie
 
Post: 8
Iscritto il: 20/06/06 20:49

Postdi freerider99 » 23/06/06 11:11

Aiuto!!!!Ho effettuato tutte le rpocedure passo passo, ma il mutex parte sempre all'avvio qlsc parte sempre all'avvio e lo ritrovo in task menager nonostante sia andato anche in regedit a cancellare kenrel e msbase come step finale della procedura! Aiuto.
freerider99
Newbie
 
Post: 8
Iscritto il: 20/06/06 20:49

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Virus non rilevato...":

mouse non rilevato
Autore: Fuma
Forum: Assistenza Hardware
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti