Virus, trojan roba che non riesco propio a rimuovere...

[Marco5003]

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Cmq qui non c'è nulla.

[Alexsandra]

Forse ci siamo esegui questo : scarica VundoFix: http://www.atribune.org/ccount/click.php?id=4 Luke 57 te lo aveva già proposto nella verione Symantec. poi

Start - Esegui e digita services.msc
Cerca questo servizio (sono in ordine alfabetico) nvidGUIv (nvidGUIv2) (C:\WINDOWS\nvidGUIv.exe). Fai doppio clik sul servizio e nel box che ti appare clicca su "Arresta" e poi sul box centrale "Tipo avvio" fai clik sulla freccia a Dx e seleziona "Disabilitato".
Poi lancia Hijacthis e fai clik su "Open the Misc Tools Section" e poi su "Open Process manager" guarda se hai questo processo attivo C:\WINDOWS\nvidGUIv.exe se lo hai selezionalo e clicca su "Kill process". clicca su Back e ritorna alla scermata iniziale,clicca su "Scan" e fixa questa voce

O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe

Poi cerca questo file C:\WINDOWS\nvidGUIv.exe e cancellalo.
Poi riavvia in provvisoria ,disabilita il ripristino di sistema,visualizza file e cartelle di sistema e file nascosti, e lancia Vundo fix,clicca su "Scan for Vundo" poi su "Remove Vundo" e scegli "Yes" quando ti viene richiesto di rimuovere i files. Il desktop ti scomparirà per un attimo e poi clicca "OK" quando ti viene chiesto di spegnere il PC (Shutdown)

Riaccendi il pc in provvisoria,lancia Hijacthis clicca su "Scan" e fixa queste voci (se ci sono ancora)

O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll

cerca questo file C:\WINDOWS\System32\mlljh.dll e cancellalo

Lancia CCleaner e fai una bella pulizia dei TMP di Win e IE,cookies e svuota il cestino.

Riavvia e fai un log con hijacthis dalla normale e postalo ,inoltre allega il file che trovi quì C:\vundofix.txt

[Marco5003]

Ma come faccio ad arrestarlo se non è neanche avviato...

[Alexsandra]

Meglio,non lo arresti,prosegui con il seguito.Ti ho postato il procedimento nel caso fosse avviato,altrimenti avresti postato "come faccio ad arrestarlo?"

[Marco5003]

O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)


Questo non si avvia più quando lo accendo ecc... non c'è nemmeno in HijackThis.
C'è un certo wdfmgr.exe in taskmanager che non viene segnato in HijackThis che penso sia un virus.
Quello in HijackThis che non si riesce a levare è tale O23 - Service: Controllo account locale (ctrlacclc) - Unknown owner - C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe (file missing).
Ora farò ciò che mi hai detto cmq.

[Luke57]

Ciao Marco, quel processo wdfmgr.exe è del tutto legittimo.Per togliere la voce relativa a 023 prova così:
per eliminarlo deve essere arrestato perchè è un servizio di windows, quindi > start >esegui >services.msc cerca ctrlacclc doppio click arresta setti il tipo di avvio su disabilitato
poi da hijackthis vai su config>misc tools>delete a NT service scrivi ctrlacclc -->ok
Mi pare che anche quel vundofix indicato da Alexsandra l'avevi già sperimentato ( da http://www.tribune.org) con poco successo. Quando hai provato a eliminare la voce 023 posta nuovo log di hijackthis in modalità normale.

[Marco5003]

Luke, evidentemente mi sono espresso male, ma lo 023 è rimosso non c'è più .
Però, ci sono i soliti 3.
Eccoti l'ultimo hj:
Logfile of HijackThis v1.99.1
Scan saved at 17.27.08, on 29/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\System32\taskmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Documents and Settings\Marco\Desktop\HJT\HijackThis.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Controllo account locale (ctrlacclc) - Unknown owner - C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe


Ale ho fatto tutto ciò che mi hai detto, ma quei 3 non voglio sapere d'andarsene.
In più, spybot mi continua a dire che la chiave cmd service non può essere rimossa ma che è altamente pericolosa.

[Marco5003]

Percui da rimuovere, che non si riescono ad eliminare sono:
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O23 - Service: Controllo account locale (ctrlacclc) - Unknown owner - C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe (file missing)

Dunque?
Ho provato pure quel link che mi avevi dato sul regedit, ho eliminato tutto ma puntualmente tutto si ricrea...

[Luke57]

Marco, gira e rigira sul web ho trovato questa procedura ( stampa la pagina) - tratta da http://forum.html.it/forum/showthread.p ... did=937711 scarica Vundo Fix http://www.atribune.org/downloads/VundoFix.exe (se è quello già scaricato, va usato diversamente dalla prima volta, con la seguente procedura)
salvalo sul desktop
* Doppio click su VundoFix.exe ed estrai i file
* Verrà creata una nuova cartella sul desktop(VundoFix).
* Dopo che hai estratto i file,riavvia il pc in modalità provvisoria
* Quando sei in modalità provvisoria,apri la cartella vundofix e clicca su KillVundo.bat
* A questo punto ti si apre una finestra dos,fai attenzione a quello che ti scrivo
quote:
________________________________________

VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...
________________________________________

-a questo punto premi invio una volta
-poi vedrai:
quote:
________________________________________
Please Type in the filepath as instructed by the forum staff
and then press enter:
________________________________________

-a questo punto digita il percorso seguente(controlla di digitarlo esattamente)
C:\WINDOWS\System32\mlljh.dll
-Premi invio,
-poi vedrai:
quote:
________________________________________
Please type in the second filepath as instructed by the forum
staff then press enter:
________________________________________

a questo punto digita il percorso seguente come te l'ho messo quindi anche il .*
C:\WINDOWS\System32\hjllm.*

Premi invio continuare con il fix.

apri hijackthis elimina la stringa 020 che richiama il file
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
Riavvia il pc apri la cartelle vundo fix e posta il contenuto del file vundofix.txt
Dopo questa, in non so che cosa più altro fare

[Marco5003]

Questo il rapporto di spy-bot
Command Service: Servizio di sistema (Chiave di registro, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

Command Service: Impostazioni (Chiave di registro, fixing failed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Winfixer: Cookie tracciante (Internet Explorer: Marco) (Cookie, fixed)


Avenue A, Inc.: Cookie tracciante (Internet Explorer: Marco) (Cookie, fixed)


MediaPlex: Cookie tracciante (Internet Explorer: Marco) (Cookie, fixed)


Winfixer: Cookie tracciante (Internet Explorer: Marco) (Cookie, fixed)



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-12-27 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2005-12-23 Includes\Cookies.sbi (*)
2005-12-23 Includes\Dialer.sbi (*)
2005-12-23 Includes\Hijackers.sbi (*)
2005-12-23 Includes\Keyloggers.sbi (*)
2005-12-23 Includes\Malware.sbi (*)
2005-12-23 Includes\PUPS.sbi (*)
2005-12-23 Includes\Revision.sbi (*)
2005-12-23 Includes\Security.sbi (*)
2005-12-23 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2005-12-23 Includes\Trojans.sbi (*)

[Luke57]

Ciao di nuovo, Spybot è ininfluente per il tuo problema, prova la procedura suggerita nel mio post precedente.

[Marco5003]

VundoFix V2.15 by Atri
--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.
--------------------------------------------------------------------------------------

killvundo.bat
process.exe
ReadMe.txt
vundo.reg
vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered
--------------------------------------------------------------------------------------

The filepath entered was C\WINDOWS\System32\mlljh.dll

The second filepath entered was *C\WINDOWS\System32\hjllm.*

--------------------------------------------------------------------------------------

Log from Process
--------------------------------------------------------------------------------------


Killing PID 376 'smss.exe'
Error 0x6 : Handle non valido.


Killing PID 1772 'explorer.exe'


Killing PID 448 'winlogon.exe'
Error 0x6 : Handle non valido.

--------------------------------------------------------------------------------------

C\WINDOWS\System32\mlljh.dll Deleted sucessfully.
*C\WINDOWS\System32\hjllm.* Deleted sucessfully.

Fixing Registry
--------------------------------------------------------------------------------------

[Luke57]

Ciao Marco, ho un brutto presentimento.. posta un altro log di hijackthis dalla modalità normale

[Marco5003]

Fondato Luke...
Va beh vi ringrazio lo stesso, vorra dire che un pomeriggio mettero tutto su cd, anche se ora tutto sommato il pc funziona bene...

Logfile of HijackThis v1.99.1
Scan saved at 22.55.39, on 29/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\FastWebDc++6.0\FastWebDc++6.0.exe
C:\Documents and Settings\Marco\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Controllo account locale (ctrlacclc) - Unknown owner - C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

[Luke57]

Ciao Marco, sono sempre io, prova a ripetere la seguente procedura on il vundofix:
* Doppio click su VundoFix.exe ed estrai i file
* Verrà creata una nuova cartella sul desktop(VundoFix).
* Dopo che hai estratto i file,riavvia il pc in modalità provvisoria
* Quando sei in modalità provvisoria,apri la cartella vundofix e clicca su KillVundo.bat
* A questo punto ti si apre una finestra dos,fai attenzione a quello che ti scrivo
quote:
________________________________________

VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...
________________________________________

-a questo punto premi invio una volta
-poi vedrai:
quote:
________________________________________
Please Type in the filepath as instructed by the forum staff
and then press enter:
________________________________________

-a questo punto digita il percorso seguente(controlla di digitarlo esattamente)
C:\WINDOWS\System32\mlljh.dll
-Premi invio,
-poi vedrai:
quote:
________________________________________
Please type in the second filepath as instructed by the forum
staff then press enter:
________________________________________

a questo punto digita il percorso seguente come te l'ho messo quindi anche il .*
C:\WINDOWS\System32\hjllm.*

Premi invio continuare con il fix.

apri hijackthis spunta queste voci
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
premi "fixchecked"
Elimina tutti i file temporanei di windows (temp e tmp), quelli di IE, cookies, svuota il cestino.
Riavvia il pc apri la cartelle vundo fix e posta il contenuto del file vundofix.txt , oltre a un nuovo log di hijackthis in modalità normale

[Luke57]

Finito il lavoro con vundofix e hijackthis, prima di postare nuovo log di hijackthis, fai una nuova scansione con ewido.

[Alexsandra]

@Luke57 e P.C. @Marco5003
Ho trovato su dei forum esteri lo stesso problema , hanno consigliato lo stesso procedimento che hai postato tu,e hanno tolto quella Dll.
ti segnalo questo in quanto evidenziavano di disattivare sia Antivirus che Firewall installati (disattivare non deinstallare) e poi consigliavano una scansione con Ewindo e una online (Panda) oltre ad una pulita con CCleaner.
In sostanza è quanto hai consigliato tu con la sola differenza di disattivare gli Antivirus e Firewall spero che possa servire a Marco!!!!

ciao

[Marco5003]

Niente da fare ragazzi, grazie lo stesso

[Marco5003]

a questo punto digita il percorso seguente come te l'ho messo quindi anche il .*
C:\WINDOWS\System32\hjllm.*

Ma devo digitare pure i *?
Cmq ho provato in sia senza o con ma mi dice:
Impossibile accedere al file bla bla


Non ho provato a disattivare gli antivirus, devo farlo? Mi sa di suicidio e non so ne come si fa(cmq provo) e siamo sicuri che serva?

Ora posto Hj e c:\vundo ecc

[Luke57]

Ciao Marco, esegui la procedura per filo e per segno, poi sempre per filo e per segno esegui i suggerimenti di Alexsandra. Effettivamente la stessa dell nei forum stranieri è stata eliminata così.