Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

c'è qualcosa che non va........aiutatemi

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi alemao » 16/08/06 21:06

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xj^vqdpc

*******************

Script file located at: \??\C:\oencosvy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Programmi\File comuni\System\Jsk.exe not found!
Deletion of file C:\Programmi\File comuni\System\Jsk.exe failed!

Could not process line:
C:\Programmi\File comuni\System\Jsk.exe
Status: 0xc0000034

File C:\Programmi\File comuni\System\BTK.exe deleted successfully.
File C:\Programmi\File comuni\System\Dhe.exe deleted successfully.
File C:\Programmi\File comuni\System\DjS.exe deleted successfully.
File C:\Programmi\File comuni\System\fokbyo.exe deleted successfully.
File C:\Programmi\File comuni\System\gBwn.exe deleted successfully.
File C:\Programmi\File comuni\System\IYX.exe deleted successfully.
File C:\Programmi\File comuni\System\jCT.exe deleted successfully.
File C:\Programmi\File comuni\System\KcB.exe deleted successfully.
File C:\Programmi\File comuni\System\NvI.exe deleted successfully.
File C:\Programmi\File comuni\System\PsDL.exe deleted successfully.
File C:\Programmi\File comuni\System\yAD.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.


Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\rock.exe not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\rock.exe failed!
Status: 0xc0000034



Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\paea2.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run\paea3.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run\paea4.exe not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\paea2.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run\paea3.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run\paea4.exe failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


tutto fatto, che ne pensi luke?
alemao
Utente Junior
 
Post: 88
Iscritto il: 16/08/06 11:18

Sponsor
 

Postdi alemao » 16/08/06 21:12

ma i file non trovati tipo paea2 paea3 ecc li posso eliminare attraverso hijackthis premendo fix checked? grazie di tutto luke...
alemao
Utente Junior
 
Post: 88
Iscritto il: 16/08/06 11:18

Postdi Luke57 » 16/08/06 21:29

Ciao, certo, se li trovi nel log di hiajckthis (chiavi di registro), puoi fissare le voci, così come la voce relativa a rock.exe. I file sono già stati eliminati da Avenger.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi alemao » 17/08/06 09:45

Luke ti ringrazio per l'aiuto....ora il mio pc va benissimo...grazie di nuovo
alemao
Utente Junior
 
Post: 88
Iscritto il: 16/08/06 11:18

Aiuto computer e internet lento

Postdi Fabio1 » 28/08/06 17:54

Ciao a Tutti scusate per la mia poca praticità nell utilizzo del computer,ma avrei bisogno del vostro aiuto.
Ho evitato di aprire un nuovo topic proprio xke ho lo stesso problema dell' amico alemao: in particolare in C:\programmi\file comuni\system ho notato la presenza di file con scritta di colore verde ke sono dannosi.
4 di questi file li ho cancellati manualmente xò 1 nn lo fa canncellare....
Ho provato a seguire le istruzioni date a alemao ma ho un piccolo problema:
scaricato Gmer e avenger li ho scompattati, cliccato sull icona ma nessuno dei 2 sembra partire...
forse sbaglio qualcosa...
se potete essermi di aiuto ne sarei molto felice
Grazie in anticipo
FABIO
Fabio1
Utente Junior
 
Post: 25
Iscritto il: 28/08/06 17:43

Postdi Luke57 » 28/08/06 21:20

Ciao, vai qui:
http://www.suspectfile.com/forum/viewtopic.php?t=262
preleva da lì le versioni modificate da Lucass di Gmer ed Avenger. In un altro forum sembra che anche tali versione non siano partite. Il malware, nella sua versione più carogna, pare che modifichi i privilegi di amministratore del computer, speriamo non sia il tuo caso.

Poi rendi visibile file e cartelle nascosti, se non sai come si fa:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

vai nella cartella C:\Documents and settings, lì dovresti trovare una cartella con nome casuale tipo XYZGyU, clicca con il tasto dx su di essa, poi su Proprietà e appuntati la sua data di creazione. Se le manovre di rimozione con i programmi suddetti non funzionassero, potremmo provare un ripristino a una data antecedente a quella della cartella, presumendo che sia quella la data dell'infezione.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Fabio1 » 28/08/06 23:58

ok grazie per la celere risposta,
al piu presto scarikerò le versioni modificate e ti facio sapere...
scusa se approfitto della tua dispo ma col pc nn sono molto pratico quando si devono fare certe "operazioni"
a presto
FABIO!
Fabio1
Utente Junior
 
Post: 25
Iscritto il: 28/08/06 17:43

Postdi Fabio1 » 29/08/06 09:52

ciao
facendo riferimento anke al post di the thunder volevo precisare alcune cose (ne sono un po preoccupato)riguardo al funzionamento del pc.
dopo la presunta infezione, l' AV attualmente in utilizzo Kaspersky nn funziona in modo corretto in pratica facendo la scansione nn nota alcun virus nel pc e alcune volte smette di operare dicendo di essere danneggiato.
Seconda cosa alquanto strana premendo i tasti ctrl-alt- canc si apre la relativa finestra e stranamente leggo utilizzo della CPU fa balzi anke di 100% e utilizzo file paging (nn so sinceramente cosa siano precisamente)
2,05 GB contro i soliti 100\200 MB
altro particolare in C:/document and settings vi sono solo 2 cartella "all user" e quella a mio nome.
Link optimizer nn appare nel pannello di controllo in istallazioni applicazioni e ultimo particolare allo spegnimento del pc quindi a chiusura windows mi esce una finestra ke dice termine operazione con la barretta grigia ke carica e poi proprio quando sta per spegnersi un messaggio
quelli del tipo cerchietto rosso con la X bianca al centro.
Cercando di capirne di piu insieme ti saluto

provvedero il prima possibile a postare i log
scusa ankora
FABIO
Fabio1
Utente Junior
 
Post: 25
Iscritto il: 28/08/06 17:43

Postdi Fabio1 » 29/08/06 10:12

rieccomi caro luke
a quanto pare nemmeno le versioni modificate vogliono partire pero girando sulla rete ho trovato solo la versione di GMER ke parte
ti posto il log relativamente di autostart e rootkit

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-29 11:08:35
Windows 5.1.2600 Service Pack 1


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\ >>>
Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,
Windows@AppInit_DLLs = \\?\C:\WINDOWS\System32\aux.inq

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
CPUCooLServer /*CPUCooLServer Service*/@ = C:\Programmi\CPUCooL\CooLSrv.exe
kavsvc /*kavsvc*/@ = "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"
NetMdu /*NetMdu*/@ = "C:\Programmi\File comuni\System\UkG.exe" /*file not found*/
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\System32\nvsvc32.exe
SDhelper /*PC Tools Spyware Doctor*/@ = C:\Programmi\Spyware Doctor\sdhelp.exe
SoundMAX Agent Service (default) /*SoundMAX Agent Service*/@ = C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\System32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@Ptipbmfrundll32.exe ptipbmf.dll,SetWriteCacheMode = rundll32.exe ptipbmf.dll,SetWriteCacheMode
@SoundMAXPnPC:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe = C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
@nwiznwiz.exe /install = nwiz.exe /install
@NvMediaCenterRunDLL32.exe NvMCTray.dll,NvTaskbarInit = RunDLL32.exe NvMCTray.dll,NvTaskbarInit
@KAVPersonal50"C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize = "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@iTunesHelper"C:\Programmi\iTunes\iTunesHelper.exe" = "C:\Programmi\iTunes\iTunesHelper.exe"
@KernelFaultCheck%systemroot%\system32\dumprep 0 -k = %systemroot%\system32\dumprep 0 -k

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\System32\ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe
@H/PC Connection Agent"C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE" = "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
@updateMgr"C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 = "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

HKLM\Software\Classes\.hta@ = NOTEPAD.EXE %1

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\System32\nvcpl.dll = C:\WINDOWS\System32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\System32\nvcpl.dll = C:\WINDOWS\System32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll = C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Programmi\iTunes\iTunesMiniPlayer.dll = C:\Programmi\iTunes\iTunesMiniPlayer.dll
@{52B87208-9CCF-42C9-B88E-069281105805} /*Trojan Remover Shell Extension*/C:\PROGRA~1\TROJAN~1\Trshlex.dll /*file not found*/ = C:\PROGRA~1\TROJAN~1\Trshlex.dll /*file not found*/

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll
Trojan Remover@{52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll /*file not found*/
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll
Trojan Remover@{52B87208-9CCF-42C9-B88E-069281105805} = C:\PROGRA~1\TROJAN~1\Trshlex.dll /*file not found*/
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{F675EF46-FEA6-A971-F2DD-8112F7ED4B40}C:\WINDOWS\cjvda1.dll = C:\WINDOWS\cjvda1.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\System32\ssmypics.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://www.google.it/

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\System32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
Fabio1
Utente Junior
 
Post: 25
Iscritto il: 28/08/06 17:43

Postdi Fabio1 » 29/08/06 10:14

Questo è l ' altro


GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-29 11:13:44
Windows 5.1.2600 Service Pack 1


---- System - GMER 1.0.10 ----

SSDT a347bus.sys ZwEnumerateKey
SSDT a347bus.sys ZwEnumerateValueKey
SSDT \SystemRoot\System32\drivers\klif.sys ZwQuerySystemInformation

---- Devices - GMER 1.0.10 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [F6FF2BF6] klmc.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [F6FF2BF6] klmc.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [F6FF2BF6] klmc.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [F6FF2BF6] klmc.sys

---- Modules - GMER 1.0.10 ----

Module _________ F7795000

---- EOF - GMER 1.0.10 ----



PS: ora nn so come procedere confido in te... ;)
Fabio1
Utente Junior
 
Post: 25
Iscritto il: 28/08/06 17:43

Postdi Fabio1 » 29/08/06 11:50

ho fatto anke uno scan con HijackThis pero nn ne capisco molto
nn so cosa eliminare o fixare


Logfile of HijackThis v1.99.0
Scan saved at 12.32.59, on 29/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\fabio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.slizone.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {F675EF46-FEA6-A971-F2DD-8112F7ED4B40} - C:\WINDOWS\cjvda1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net ... taller.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: CPUCooLServer Service - Unknown - C:\Programmi\CPUCooL\CooLSrv.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NetMdu - Unknown - C:\Programmi\File comuni\System\UkG.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor - Unknown - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
Fabio1
Utente Junior
 
Post: 25
Iscritto il: 28/08/06 17:43

Postdi Luke57 » 29/08/06 12:20

Ciao, ti riscodello la solita pappardella ;)

Da risorse del computer>pannello di controllo>installazioni/applicazioni, verifica la presenza di LinkOptimizer; se ci fosse non provare a disistallarlo.

Scarica MyUninstaller da qui:

http://www.nirsoft.net/utils/myuninst.html

con questo programmino potrai disistallare LinkOptimizer.

Apri il programma (click su myuninst.exe, attendi che vengono elencate le applicazioni presenti, evidenzi Linkoptimizer, click con il dx e scegli Delected)



start>esegui>control userpasswords2 (lo copi nello spazio bianco)>OK
nella finestra Account Utente, verifica le utenze (Administrators, Utente, Aspnet sono regolari), se la trovi una con nome casuale, tipo XPGZQ e via dicendo segnati il nome ed eliminala, ciccando con il tasto dx e scegliendo elimina

4)Rendi visibili file e cartelle nascosti:

da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file protetti di sistema (consigliato)
Premi OK
Vai in C:\Documents and Settings, dovresti trovare una cartella con lo stesso nome dell'utenza, click con il tasto dx su di esso>Proprietà, segnati la data di creazone della cartella, poi elimina anch'essa (per tennater un ripristino a una data antecedente all'infezione, in caso di fallimento delle procedure).

Vai in C:\programmi\file comuni\system, comunica se ci sono file colorati di verde, in quanto criptati o, comunque, se non colorati, con estensione .exe e nome casuale

scarica avenger sul desktop
http://www.suspectfile.com/upload/files ... venger.zip

scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\NetMdu
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{F675EF46-FEA6-A971-F2DD-8112F7ED4B40}

Files to delete:
C:\WINDOWS\System32\aux.inq
C:\WINDOWS\cjvda1.dll



Clicca sul pulsante Done
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes o Sì
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Posta il log di Avenger (C:/avenger.txt) con l´esito dello script
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Fabio1 » 29/08/06 12:53

ciao luke grazie per la risposta,
la procedura da seguire l ho capita pero nemmeno la versione di avenger modificata mi parte...
in "istallazione applicazioni" nn compare Link optimizer
e nn vedo nessuna nuova cartella in C:\Document e settings di un nuovo utente

aspetto notizie
Fabio1
Utente Junior
 
Post: 25
Iscritto il: 28/08/06 17:43

Postdi Fabio1 » 29/08/06 16:52

ok ho cancellato il nuovo utente e anke la relativa cartella ma i file con scritta verde si stanno riproducendo...

attendo risP.
nn so come procedere
grazie fabio
Fabio1
Utente Junior
 
Post: 25
Iscritto il: 28/08/06 17:43

Postdi Luke57 » 29/08/06 17:41

Ciao, molto probabilmente il virus ti ha modificato i diritti di amministratore del computer. Vai qui:
http://www.computerweek.it/index.php?na ... 7&start=15
un utente (Nvenezi), a cui non funzionava, come a te, nemmeno un programma per la rimozione del virus, è riuscito a riavviare usando WinPE. A quel punto, funzionandogli i programmi, ha eliminatio i file.
guarda se ti può essere utile.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "c'è qualcosa che non va........aiutatemi":


Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti