Condividi:        

Attacco di virus

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Dylan666 » 26/10/05 15:28

toni84 mi spieghi questo tool cosa fa in più/meno/di diversio rispetto a aHijackThis?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Sponsor
 

Postdi toni84 » 26/10/05 15:39

ciao dylan diciamo che non centra niente con hijack questo tool,serve solo per killare i processi ed eliminare i file collegati a quel tipo di malware,serve anche per vedere le dll che sono "sconosciute" e legate a malware,nei forum inglesi viene sempre usato quando l'origine del malware è sconosciuta,comunque basta che ti ci fai un giro e vedi che viene usato spesso :) ciao dylan
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Dylan666 » 26/10/05 15:49

Ma perché riesce o dovrebbe riuscire a killare cose che HikackThis non ha tolto? :undecided:
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi toni84 » 26/10/05 15:52

forse perchè è fatto apposta :D
scaricatelo e modifica il file .bat penso che capirai meglio cosa fa ;) ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi toni84 » 26/10/05 15:57

This is a fix/uninstaller for the Version 200 of Look2me
This will only work on this particular version.
This is for xp or windows 2000 only

These infections are usually indicated by these lines in a hijackthis log:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
020 - Seeming valid entry or entries

Gurda bene il log e vedi la stringa 020 è propio quella che non se ne va :D :D
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 16:39

allora ... ho dapprima aggiornato antivir e adware e poi in modalità provvisoria ho fatto le scansioni ...

ADware mi ha rilevato due voci sospette che mi aveva già rilevato precedentemente e che io credevo avesse eliminato , una era un cookie l'altra invece era MRU List .... vi dice qualcosa?

Antivir mi ha rilevato circa 14 virus !! :-? me ne ha eliminati 7 che erano dei trojian mentre gli altri dovrebbero essere tutti all'interno di 3 file segnalati come dei virus WORM/alcra.b e sono b[1].jar (non so se me lo ha eliminato, fatto sta che io ho fatto + volte cerca e non lo ho trovato) e poi due cartelle nominate a.zip che erano situate in programmi>MSuptade e programmi>winupdates , questi due li ho eliminati a mano ...

dopo di chè ho fatto una prova per vedere se si aprivano le paginette e si aprivano ancora ... :aaah

allora ho seguito il suggerimento di toni,
modalità provvisoria>scansione con il programmino inglese e praticamente una volta datogli il 2 mi ha aperto una finestrella dove mi indicava reboot (mi sembra si scrivi così) e mi ha riavviato il pc ...
ho fatto una scansione con hijackthis in modalità normale ed ecco il risultato :

Logfile of HijackThis v1.99.1
Scan saved at 17.27.14, on 26/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\AVPersonal\AVSCHED32.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\BearShare\BearShare.exe
C:\WINDOWS\volume.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\BearShare\BearShare.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\AUpdate.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1.COM\IMPOST~1\Temp\Rar$EX00.031\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearchspace.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmi\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volume.exe -i
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - Startup: WATCH.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Alice - {1989F22F-323B-4887-8B35-7646B0413EE2} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\clfgnt.dll
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\o6lulg3916.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE

...ma questo winlogon che cavolo di programma è ???????
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi Dylan666 » 26/10/05 16:47

La MRU List lasciala stare, è inoffensiva.
Invece volume.exe riporta a questo topic:

http://www.pc-facile.com/forum/viewtopi ... volume+exe

In sintesi va rimosso.

Poi ci sarebbero sempre le due voci 020.

Vedo ancora il Bearshare che gira...
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi toni84 » 26/10/05 16:48

Ti ha fatto la schermata blu e la scomparsa delle icone?se la risposta è no devi rifare il tool,poi una per piacere mi posti il log uscito dal programma in inglese?
Siccome vogliamo capire meglio cosa c*** è questa dll falla analizzare qui
http://www.virustotal.com/flash/index_en.html
e
http://virusscan.jotti.org/
il file è questo in rosso
C:\WINDOWS\system32\clfgnt.dll
C:\WINDOWS\volume.exe

Con hijack fissa ed elimina
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.yoursearchspace.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearchspace.com/sp2.php

O20 - Winlogon Notify: Run - C:\WINDOWS\system32\o6lulg3916.dll (file missing)

facci sapere i risultati dei 2 file ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi toni84 » 26/10/05 16:50

scusa anche questo file e da analizzare
C:\WINDOWS\system32\o6lulg3916.dll
e con hijack elimina anche questa
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\o6lulg3916.dll (file missing)

PS:Ma il tasto per editare? :aaah :aaah :aaah :aaah
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 17:03

scusa toni non capito solo una cosa :

Su quei due link cosa devo far analizzare ?
sul primo il log fatto con il programma inglese e sul secondo i file in rosso ??

e il programma inglese lo faccio sempre partire con il numero 2 vero ?

grazie
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 17:12

ciao in quel sito devi far analizzare i file messi in rosso(seguendo il percorso del file)basta che usi la funzione sfoglia che trovi in quel sito e una volta caricato clicchi su send(virus total)o su submit(jotti)il file verrà scansionato con diversi antivirus(20/22)alla fine rilasciarà il responso,questo lo fai sempre se vuoi con tutti i file messi in rosso
Il log che ti avevo chiesto era quello del programma inglese quindi non devi analizzarlo,per il tool non lo fare partire per adesso mi serve il log di quel programma per vedere se è stato utilizzato correttamente e nel caso cosa ha eliminato

PS:C'è tempo le operazioni puoi farle quando meglio credi ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 17:20

x log intendevi l'ultimo fatto vero? quello in cui mi hai detto di inserire 2 e invio invece che 1 ...

dovrebbe essere questo

L2Mfix 1.04a

Running From:
C:\Documents and Settings\Administrator.COMPUTER\Desktop\l2mfix



RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-NI) ALLOW Read BUILTIN\Users
(ID-IO) ALLOW Read BUILTIN\Users
(ID-NI) ALLOW Read BUILTIN\Power Users
(ID-IO) ALLOW Read BUILTIN\Power Users
(ID-NI) ALLOW Full access BUILTIN\Administrators
(ID-IO) ALLOW Full access BUILTIN\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access CREATOR OWNER



Setting registry permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Denying C(CI) access for predefined group "Administrators"
- adding new ACCESS DENY entry


Registry Permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI) DENY --C------- BUILTIN\Administrators
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-NI) ALLOW Read BUILTIN\Users
(ID-IO) ALLOW Read BUILTIN\Users
(ID-NI) ALLOW Read BUILTIN\Power Users
(ID-IO) ALLOW Read BUILTIN\Power Users
(ID-NI) ALLOW Full access BUILTIN\Administrators
(ID-IO) ALLOW Full access BUILTIN\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access CREATOR OWNER



Setting up for Reboot


Starting Reboot!

non ne sono sicuro però ...

file li ho fatti analizzare , mi ha dato una srie di info cmq:

clfgnt.dll mi ha detto questo
- The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

volume.exe mi ha dato una serie di info ma in particolare mi dava come indicazione infect/malware

l'altra dll non l'ha trovata sul pc ...
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 17:29

come pensavo il tool non è andato a buon fine :(
come vedi i file vengono eliminati(Successfully Deleted: C:\WINDOWS\system32\nyobjapi.dll
deleting: C:\WINDOWS\system32\nyobjapi.dll)

questo è il log rilasciato quando va tutto a buon fine
Setting Directory
C:\
C:\
System Rebooted!

Running From:
C:\

killing explorer and rundll32.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright© 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1332 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright© 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1400 'rundll32.exe'

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
Backing Up: C:\WINDOWS\system32\kpdda.dll
1 file(s) copied.
Backing Up: C:\WINDOWS\system32\kpdda.dll
1 file(s) copied.
Backing Up: C:\WINDOWS\system32\nyobjapi.dll
1 file(s) copied.
Backing Up: C:\WINDOWS\system32\nyobjapi.dll
1 file(s) copied.
Backing Up: C:\WINDOWS\system32\guard.tmp
1 file(s) copied.
Backing Up: C:\WINDOWS\system32\guard.tmp
1 file(s) copied.
deleting: C:\WINDOWS\system32\kpdda.dll
Successfully Deleted: C:\WINDOWS\system32\kpdda.dll
deleting: C:\WINDOWS\system32\kpdda.dll
Successfully Deleted: C:\WINDOWS\system32\kpdda.dll
deleting: C:\WINDOWS\system32\nyobjapi.dll
Successfully Deleted: C:\WINDOWS\system32\nyobjapi.dll
deleting: C:\WINDOWS\system32\nyobjapi.dll
Successfully Deleted: C:\WINDOWS\system32\nyobjapi.dll
deleting: C:\WINDOWS\system32\guard.tmp
Successfully Deleted: C:\WINDOWS\system32\guard.tmp
deleting: C:\WINDOWS\system32\guard.tmp
Successfully Deleted: C:\WINDOWS\system32\guard.tmp


Zipping up files for submission:
adding: kpdda.dll (188 bytes security) (deflated 48%)
adding: nyobjapi.dll (188 bytes security) (deflated 48%)
adding: guard.tmp (188 bytes security) (deflated 48%)
adding: clear.reg (188 bytes security) (deflated 22%)
adding: adlog.txt (188 bytes security) (deflated 82%)
adding: lo2.txt (188 bytes security) (deflated 75%)
adding: test.txt (188 bytes security) (deflated 74%)
adding: test2.txt (188 bytes security) (stored 0%)
adding: test3.txt (188 bytes security) (stored 0%)
adding: test5.txt (188 bytes security) (stored 0%)
adding: xfind.txt (188 bytes security) (deflated 70%)
------------------------------------------------------------
Per i file che ti ho fatto analizzare me li potresti inviare via e-mail?ti mando un mp se vuoi ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 18:02

volume exe l'ho eliminato, le due voci R1 anche ....

resta sempre questo winlogon che cambia sempre dll finale ...
questa volta la voce è :

O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\n84slih7184.dll

:x
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 18:12

è vero hai ragione ;)
fai una cosa,quando apri hijack vedi come si chiama la dll ed eliminala subito,poi riavvia hijack ed elimini la voce che li corrisponde
O20 - Winlogon Notify: ShellCompatibility C:\WINDOWS\system32\n84slih7184.dll <-----fai riferimento al file ed eliminalo
ciao ciao ;)
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 19:54

allora ... sono di nuovo andato in modalità provvisoria e ho fatto una nuova scansione con antivir ... mi ha trovato il file zip b[1].jar con 5 file infetti all'interno che non mi aveva eliminato e quindi stavolta sono riuscito a scovarli e ad eliminarli manualmente ... erano in documents and setting e in varie sottocartelle che alla fine arrivavano in temporany intenet files ...
in teoria il pc non dovrebbe avere virus in questo momento ....
ho provato a seguire ciò che mi hai consigliato te toni, solo che il problema è che se io faccio una scansione con hijackthis in modalità provvisoria e mi da la voce O20 del winlogon con relativo file, se io la cancello con fix, se faccio la scansione sempre in modalità provvisoria me la ridà dinuovo; se non la cancello con fix e vado direttamente alla dll non me la fa cancellare manualmente perchè giustamente è in uso da qualche programma... se faccio la scansione sempre con hijack in modalità normale la voce di winlogon cambia e cambia anche la dll e vale sempre lo stesso discorso ...

:( :( :(
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 20:06

dai non preoccuparti prima o poi risolviamo
Apri hijack>clicca su "Open the misc tools section"
Ti si apre una schermata,clicca su "Open process manager"
Seleziona il processo winlogon.exe
In alto a sinistra trovi la casella Show DLLS(mettici la spunta)
Adesso clicca sull'icona vicino al dischetto
Ti da un messaggi
Apri il block notes>modifica>incolla
Copia nel forum il contenuto
ciao ciao

[come nell'immagine]
Immagine
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 20:22

eccolo ...

Process list saved on 21.19.12, on 26/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)

[pid] [full path to filename] [file version] [company name]
564 C:\WINDOWS\System32\smss.exe 5.1.2600.1106 Microsoft Corporation
660 C:\WINDOWS\system32\winlogon.exe 5.1.2600.1106 Microsoft Corporation
704 C:\WINDOWS\system32\services.exe 5.1.2600.0 Microsoft Corporation
716 C:\WINDOWS\system32\lsass.exe 5.1.2600.1106 Microsoft Corporation
872 C:\WINDOWS\System32\Ati2evxx.exe 6.14.10.4105
900 C:\WINDOWS\system32\svchost.exe 5.1.2600.0 Microsoft Corporation
1004 C:\WINDOWS\System32\svchost.exe 5.1.2600.0 Microsoft Corporation
1476 C:\WINDOWS\system32\spoolsv.exe 5.1.2600.0 Microsoft Corporation
1532 C:\WINDOWS\system32\rundll32.exe 5.1.2600.0 Microsoft Corporation
1852 C:\WINDOWS\system32\Ati2evxx.exe 6.14.10.4105
1920 C:\WINDOWS\Explorer.EXE 6.0.2800.1106 Microsoft Corporation
2040 C:\Programmi\AVPersonal\AVSCHED32.EXE 6.32.0.1 H+BEDV Datentechnik GmbH
136 C:\Programmi\QuickTime\qttask.exe 6.4.0.29 Apple Computer, Inc.
172 C:\WINDOWS\System32\rundll32.exe 5.1.2600.0 Microsoft Corporation
192 C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe 3.0.0.1 Ulead Systems, Inc.
212 C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe 2.3.8.0 Common Group
352 C:\Programmi\AVPersonal\AVWUPSRV.EXE 6.32.0.2 H+BEDV Datentechnik GmbH, Germany
424 C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE 7.0.9466.0 Microsoft Corporation
976 C:\WINDOWS\System32\svchost.exe 5.1.2600.0 Microsoft Corporation
1892 C:\Programmi\Internet Explorer\IEXPLORE.EXE 6.0.2800.1106 Microsoft Corporation
2272 C:\Documenti\Programmini\hijackthis\HijackThis.exe 1.99.0.1 Soeperman Enterprises Ltd.


DLLs loaded by process C:\WINDOWS\system32\winlogon.exe:

[full path to filename] [file version] [company name]
C:\WINDOWS\System32\ntdll.dll 5.1.2600.1217 Microsoft Corporation
C:\WINDOWS\system32\kernel32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\msvcrt.dll 7.0.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.1361 Microsoft Corporation
C:\WINDOWS\system32\GDI32.dll 5.1.2600.1346 Microsoft Corporation
C:\WINDOWS\system32\USER32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\USERENV.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\NDdeApi.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\MSASN1.dll 5.1.2600.1362 Microsoft Corporation
C:\WINDOWS\system32\Secur32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\WINSTA.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\PROFMAP.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\NETAPI32.dll 5.1.2600.1343 Microsoft Corporation
C:\WINDOWS\system32\REGAPI.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\WS2_32.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\WS2HELP.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\AUTHZ.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\PSAPI.DLL 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\VERSION.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\SETUPAPI.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\MSGINA.dll 5.1.2600.1343 Microsoft Corporation
C:\WINDOWS\system32\SHELL32.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\system32\SHLWAPI.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\system32\COMCTL32.dll 5.82.2800.1106 Microsoft Corporation
C:\WINDOWS\System32\ODBC32.dll 3.520.9030.0 Microsoft Corporation
C:\WINDOWS\system32\comdlg32.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\System32\odbcint.dll 3.520.7713.0 Microsoft Corporation
C:\WINDOWS\System32\SHSVCS.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\system32\sfc.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\sfc_os.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\WINTRUST.dll 5.131.2600.0 Microsoft Corporation
C:\WINDOWS\system32\ole32.dll 5.1.2600.1362 Microsoft Corporation
C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\WINSCARD.DLL 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\WTSAPI32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\uxtheme.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\System32\WINMM.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\serwvdrv.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\umdmxfrm.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\Ati2evxx.dll 6.14.10.4105
C:\WINDOWS\system32\cscdll.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\WlNotify.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\WINSPOOL.DRV 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\MPR.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\rsaenh.dll 5.1.2600.1029 Microsoft Corporation
C:\WINDOWS\System32\SAMLIB.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\msv1_0.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\cscui.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\h2n0lc5m1f.dll
C:\WINDOWS\System32\iphlpapi.dll 5.1.2600.2 Microsoft Corporation
C:\WINDOWS\system32\OLEAUT32.dll 3.50.5016.0 Microsoft Corporation
C:\WINDOWS\System32\oledlg.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\urlmon.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\system32\WININET.dll 6.0.2800.1106 Microsoft Corporation
C:\WINDOWS\System32\MPRAPI.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\ACTIVEDS.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\adsldpc.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\ATL.DLL 3.0.9435.0 Microsoft Corporation
C:\WINDOWS\System32\rtutils.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\sxs.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\RASAPI32.DLL 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\rasman.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\TAPI32.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\system32\mswsock.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\wshtcpip.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\DNSAPI.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\winrnr.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\rasadhlp.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\system32\wzcdlg.dll 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\WZCSAPI.DLL 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\wdmaud.drv 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\msacm32.drv 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\MSACM32.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\midimap.dll 5.1.2600.0 Microsoft Corporation
C:\WINDOWS\System32\NTMARTA.DLL 5.1.2600.1106 Microsoft Corporation
C:\WINDOWS\System32\COMRes.dll 2001.12.4414.42 Microsoft Corporation
C:\WINDOWS\System32\CLBCATQ.DLL 2001.12.4414.53 Microsoft Corporation
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 20:48

Ciao sei sicuro che in hijack compare ancora?
aprilo e vedi se adesso la dll ha cambiato nome in questo h2n0lc5m1f.dll
Ciao ciao

Ho in idea per levarlo di torno ;)
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 21:35

ecco l'ultima scansione con hijack ...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVSCHED32.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Documenti\Programmini\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmi\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volume.exe -i
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - Startup: WATCH.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Alice - {1989F22F-323B-4887-8B35-7646B0413EE2} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C4FFE5E-540D-48F1-8B4E-C58CD75D23CF}: NameServer = 85.37.17.8 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\enpsl1771.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE

c'è questa voce che nn mi convince :

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

c'entra qualcosa ??

poi strano che ancora mi rilevi bearshare e winamp visto che li ho disinstallati...
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Attacco di virus":


Chi c’è in linea

Visitano il forum: Nessuno e 92 ospiti