Condividi:        

trojan horse generic2.abw e processo vllf1.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

trojan horse generic2.abw e processo vllf1.exe

Postdi gamma_ray » 02/09/06 22:50

L'altro giorno avg mi ha segnalato questo virus. L'ho tolto con una scansione, ma quello che mi torna sempre fuori è questo processo VLLF1.exe
L'ho tolto in tutti i modi: con hijackthis, con avg, cancellando i file manualmente, sia da modalità normale che da quella provvisoria. Ho disattivato anche il ripristino configurazione di sistema.
Poi oggi ho fatto una scansione di verifica e tutto era pulito.
Stasera mi ritrovo nel task manager questo processo.
Come faccio a togliermelo di mezzo?
Grazie.
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Sponsor
 

Postdi Luke57 » 02/09/06 22:55

Ciao, in google non ci sono riferimenti. Posta un log di hijackthis.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 02/09/06 23:51

In effetti sulla rete non c'è niente.
Posto il log:

Logfile of HijackThis v1.99.1
Scan saved at 0.48.49, on 03/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\WINDOWS\Temp\vllf1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://arianna.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {59549B15-F56E-543E-6DE4-588FA047F6CC} - C:\WINDOWS\ewxcq1.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [vllf1.exe] C:\WINDOWS\Temp\vllf1.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - Startup: Collegamento a freepopsd.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D574D06-9655-48EE-9EC7-9EC906D21331}: NameServer = 85.37.17.47 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Come si vede, il processo nella cartella C:\windows\temp\vllf1.exe è considerato sconosciuto, mentre sotto, come chiave di registro viene riconosciuto come abbastanza sospetto.
Ho appena rifatto una scansinoe con AVG ma non rileva niente.
FAtemi sapere, grazie.
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi Luke57 » 03/09/06 08:34

Ciao, può darsi che tu sia finito sotto le grinfie di linkoptimizer. Ci sono alcuni sintomi (ad esempio la BHO, 02 - ewxcq1.dll).
Hanno appena emesso un tool che sembra notevole da qui:
http://www.prevx.com/gromozon.asp
lo scarichi, chiudi tutte le applicazioni e programmi, lo esegui.
Al riavio del computer, il programma esaminerà le altre cartelle di windows.
Al termine della scansione, posta il report della medesima.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 03/09/06 11:35

In effetti pare che sia un pò di "robaccia":

Launching Scan
Removing rootkit file...
Scanning Windows Directory, this may take a few minutes...
>>>>>>>C:\WINDOWS\1.tmp is infected with Malcode 2
>>>>>>>C:\WINDOWS\10.tmp is infected with Malcode 2
>>>>>>>C:\WINDOWS\2.tmp is infected with Malcode 2
>>>>>>>C:\WINDOWS\21.tmp is infected with Malcode Searching for EFS service files...
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\BdsiCt.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\cPqRZg.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\eMF.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\FURo.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\iLA.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\IpG.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\jvnTf.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\ueJ.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\vjP.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\wTnE.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\Xnff.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\xst.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\yutQSz.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\zSLr.exe
Encrypted File <AND> Hidden User Folder Detected!
User Folder: C:\Documents and Settings\\CyVzTOghEqtlKDYKD
File: C:\Programmi\File comuni\Services\zXSWyn.exe
Trojan.Gromozon Removed!

Scan finished normally
2
>>>>>>>C:\WINDOWS\6.tmp is infected with Malcode 2
>>>>>>>C:\WINDOWS\7.tmp is infected with Malcode 2
>>>>>>>C:\WINDOWS\ewxcq1.dll is infected with Malcode 2

Da quello che ho capito, ora sono a posto oppure devo fare qualcos'altro?
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi gamma_ray » 03/09/06 11:42

Accidenti! Ho letto l'articolo relativo a questo rootkit, e mi pare di capire che si installa creando un account nascosto...più o meno...in ogni caso facendo un controllo degli account (tramite il comando control userpasswords2) ho scoperto che effettivamente c'è un nuovo account amministratore con un nome stranissimo!

Immagine

Come devo procedere per rimuovere tutto quanto?
Grazie.
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi gamma_ray » 03/09/06 11:58

Dunque, non ho resistito ad aspettare: ho eliminato quell'account. Poi un'altra cosa: mi sono trovato nella cartella connessioni una connessione chiamata Internet (ma quella predefinita è Alice). Sono andato a guardare la perchè è da qualche giorno che a volte sento il suono della composizione di un numero di telefono. Ed in effetti questa connessione tentava di connettersi ad Internet, in quanto a sinistra, nei dettagli, c'era scritto connessione in corso.
Ma come mai il firewall di XP non segnalava niente? Va bene che è scarso, ma fino a questo punto?
Attendo notizie per completare l'eliminazione di tutta la robaccia.
Grazie.
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi Luke57 » 03/09/06 11:59

Ciao, fai queste verifiche
1)Nella finestra Account utente, evidenzia l'utenza casuale e rimuovila

2) Rendi visibili file e cartelle nascosti:

da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file protetti di sistema (consigliato)
Premi OK
Vai in C:\Documents and Settings, il tool dovrebbe aver eliminato una cartella con lo stesso nome dell'utenza nascosta, se è sempre presente elimina anch'essa.

3) Controlla se in queste cartelle:
C:\programmi; C:\programmi\file comuni; C:\programmi\file comuni\system; C:\programmi\file comuni\services; C:\programmi\file comuni\microsoft shared , ci sono eseguibili (.exe) con nome casuale che XP colora di verde in quanto crittografati (il tool dovrebbe averli rimossi ma tu controlla)

4)Scarica MyUninstaller da qui:

http://www.nirsoft.net/utils/myuninst.html

con questo programmino potrai disistallare LinkOptimizer e Connection Serviceas se sono presenti nel tuo computer (NON LO FARE DA pannello di controllo, installazioni/applicazioni, riattiveresti il rootkit)

Apri il programmino (click su myuninst.exe, attendi che vengono elencate le applicazioni presenti, evidenzi Linkoptimizer e/o Connection services, click con il dx e scegli Delected)

5) Scarica ATF cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(per eliminare i file temporanei)
Poi avvia ATFCleaner. Clicca sul menu main e poi seleziona la casella Select All. Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.



6) Comunicami gli esiti di queste verifiche e allega nuovo log di hiajckthis.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi xiru » 03/09/06 13:00

Luke57 ha scritto:5) Scarica ATF cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(per eliminare i file temporanei)
Poi avvia ATFCleaner. Clicca sul menu main e poi seleziona la casella Select All. Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!


Proporrei Empty Temp Folder...visto che ti consente di decidere la directory da svuotare e puoi tenerlo in esecuzione decidendo di far cancellare i file ogni 5 o 10 o altro minuti!!!
xiru
Newbie
 
Post: 4
Iscritto il: 22/08/06 06:50

Postdi gamma_ray » 03/09/06 13:07

Ora sono al lavoro e farò tutto a casa stasera, vi chiedo solo una cosa nel frattempo: tutte queste operazioni le devo fare da modalità provvisoria? Ed eventualemente devo disabilitare il ripristino configurazione di sistema?
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi Luke57 » 03/09/06 13:18

Ciao, da mod.normale. Aspetta a disabilitare il ripristino.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 03/09/06 21:54

Rieccomi qua. Allora, ho seguito le tue istruzioni alla lettera.
Sono entrato nelle cartelle da te indicate e, dentro File comuni c'è una cartella chiamata Services, che mi ha insospettito perchè l'ultima modifica risaliva a questa mattina. Dentro ci sono 3 file bitmap, più una decina di applicazioni con nomi strani, in verde. Ho cancellato tutte le applicazioni, tranne una che non riesco perchè mi dice che è in uso. Si chiama evD.exe. Poi mi dirai se la devo eliminare da modalità provvisoria.
Con MyUninstaller ho eliminato Linkoptimazer e Connection Serviceas, che c'erano anche in pannello di controllo ma non me ne ero accorto. Li ho eliminati cliccando appunto su Elimina e non su Disinstalla.
Poi ho scaricato ATF e l'ho eseguito, e adesso mi pare di essere pulito.
Ti poso il log di Hijackthis, dove mi sembra tutto ok, tranne questa voce:

O2 - BHO: Class - {59549B15-F56E-543E-6DE4-588FA047F6CC} - C:\WINDOWS\ewxcq1.dll (file missing)

accanto alla quale mi dice INUTILMENTE.
Ecco il log intero:

Logfile of HijackThis v1.99.1
Scan saved at 22.53.57, on 03/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://arianna.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {59549B15-F56E-543E-6DE4-588FA047F6CC} - C:\WINDOWS\ewxcq1.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - Startup: Collegamento a freepopsd.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D574D06-9655-48EE-9EC7-9EC906D21331}: NameServer = 85.37.17.47 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Fammi sapere se secondo te sono pulito.
Intanto grazie per l'aiuto e le spiegazioni dettagliate. :)
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi Luke57 » 04/09/06 07:56

Ciao, fissa quella voce 02 con hijackthis ed elimina il file verde.
CITAZIONE (per eliminare il file verde)
Windows XP segnala i file CRITTOGRAFATI di colore VERDE !!! se il file incriminato è verde, allora si deve cambiare le autorizzazioni del file.
Selezionare il file con il tasto destro e clickare su PROPRIETA', qui' selezionare su PROTEZIONE.
Adesso clickare su AVANZATE e dopo su PROPRIETARIO, quì selezionare account di ADMINISTRATORS
e fare OK (o applica) e dopo ancora OK fino ad uscire dalle PROPRIETA'.
Adesso rientrare su PROPRIETA', PROTEZIONE e dopo su AVANZATE, clickare su AGGIUNGI da AUTORIZZAZIONI
e aggiungere l'account di ADMINISTRATOR, dopo selezionare da CONSENTI "CONTROLLO COMPLETO"
e fare OK per uscire.
Adesso clickare su PROPRIETA' del file e togliere i flags di "SOLO LETTURA" e NASCOSTO.

Se non è presente il tasto Protezione, vai su risorse del computer>Strumenti>opzioni cartella>visualizzazione e togli la spunta a
"Utilizza condivisione file semplici"

stalla la patch di protezione per linkoptimizer da qui:
http://www.microsoft.com/technet/securi ... 6-001.mspx
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 04/09/06 10:43

Ciao, credo di aver seguito le tue istruzioni alla lettera (ho disattivato la condivisione file semplice) ma il file non riesco a cancellarlo. Quando tolgo la spunta su SOLO LETTURA, mi compare questo messaggio:

Immagine

Io premo ignora, ma poi mi compare sempre il messaggio di errore:

Immagine

Come faccio?
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi Luke57 » 04/09/06 11:05

Ciao, prova questo tool:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

Avvia il programma,clicca su Start
Attendi e si apre una finestra(tipo risorse del computer)

Clicca sul disco C:\
scorri l'albero fino a questo percorso
C:\Programmi\File comuni\Services
Adesso seleziona il file da eliminare
Ti sarà chiesto se vuoi procedere nell'eliminazione del file
Rispondi Yes
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 04/09/06 11:29

Si, ce l'ho fatta finalmente.
Ho anche installato la patch.
C'è qualcos'altro che devo fare?
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27

Postdi Luke57 » 04/09/06 11:49

Ciao, penso che a questo punto il malware sia debellato ;)
Non so quanta copertura garantisca la patch, ma è sempre meglio averla.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi gamma_ray » 04/09/06 13:07

Ok, grazie ancora per la pazienza e le spiegazioni "passo per passo".
:)
Avatar utente
gamma_ray
Utente Senior
 
Post: 1559
Iscritto il: 09/05/03 16:27


Torna a Sicurezza e Privacy


Topic correlati a "trojan horse generic2.abw e processo vllf1.exe":


Chi c’è in linea

Visitano il forum: Nessuno e 31 ospiti