Condividi:        

HEUR-DBLEXT/Crypted, Virus...tosto!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

HEUR-DBLEXT/Crypted, Virus...tosto!

Postdi aldebaran » 16/06/07 10:07

Ciao, il pc mi da vari problemi e Antivir (Avira) mi segnala la presenza del virus HEUR-DBLEXT/Crypted. Ho già fatto una rimozione utilizzando Hihackthis supportandolo con i vari Spybot, Ad-aware, SuperAntispyware scansione con Antivr, Bit Defender 8.0, ClamWin, il tutto in moddalità provvisoria ma il suddetto virus è ancora li! C'è qualcuno che può aiutarmi?
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Sponsor
 

Postdi SkunkWorks 68 » 16/06/07 10:22

Sistema operativo(Win XP SP 2 aggiornatissimo?)?.
Se hai XP ripeti tutte le scansioni da provvisoria e con il ripristino disabilitato,magari ti va bene.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi SkunkWorks 68 » 16/06/07 10:24

Scusa,ho letto male io,ho sbagliato..
Se utilizzi la funzione cerca,da provvisoria(abilitata anche sui files nascosti e di sistema)riesci a trovarlo e cancellarlo?
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi aldebaran » 16/06/07 10:34

In effetti il mio XP è SP 1, però ho Comodo (firewall), SpywareTerminator e Antivir di Avira. Forse la protezione non è tanto malvagia...
Comunque prima di fare tutte le scansioni disattivo semopre il punto di ripristino.
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi SkunkWorks 68 » 16/06/07 11:01

Ormai stare in rete senza SP 2 e successivi aggiornamenti è troppo rischioso...Si potrebbe provare con Avenger,ma io ammetto di non essere molto abile nel suo uso.Attendiamo Luke 57 od altri :D
Un'altra idea percorribile(sarebbe l'ideale,se possibile)è quella di montare l'HD del tuo PC come slave su un altro PC e dargli una passata con un ottimo antivirus aggiornatissimo.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi aldebaran » 16/06/07 11:36

Purtroppo non ho l'oppurtunità immediata di usare un altro pc. Aspettiamo Luke...Ciao! ;)
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi aldebaran » 19/06/07 16:47

Ehi ragazzi, ma questo virus devo proprio tenermelo? :(
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi Luke57 » 19/06/07 16:49

aldebaran ha scritto:Ehi ragazzi, ma questo virus devo proprio tenermelo? :(

Ciao, condividi con il forum il tuo report di hijackthis ;)
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi aldebaran » 19/06/07 17:02

Eccolo, lo avevo ripulito un paio di settimane fa, ma un pò alla volta mi stanno di nuovo attaccando virus (anche rootkit) da tuttel le parti. Come già detto nel mip rimo post, ho anche usato spyware e antivirus di ogni genere in modalità provvisoria e con il ripristino disattivato...Help me!!!

Logfile of HijackThis v1.99.1
Scan saved at 17.58.04, on 19/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\svchost.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Softwin\BitDefender8\bdnagent.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\bak\vsnpstd.exe
C:\Documents and Settings\zorrok\Desktop\MIRANDA\miranda-im-v0.5-unicode\miranda32.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
c:\programmi\softwin\bitdefender8\bdmcon.exe
D:\Download_2\Hijacktihis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programmi\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://by10fd.bay10.hotmail.msn.com/res ... nPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/140b62fc7b8 ... 601_it.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} - http://c6.community.virgilio.it/downloa ... ctiveX.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E64E9DA-1D24-40BE-8C5D-A69CA73FE593}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS3\Services\Tcpip\..\{3E64E9DA-1D24-40BE-8C5D-A69CA73FE593}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Unknown owner - C:\Programmi\Spyware Terminator\sp_rsser.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi Luke57 » 19/06/07 21:27

Ciao,l scarica Findawf da qui:
http://noahdfear.geekstogo.com/FindAWF.exe

Esegui il file, si aprirà una finestra dos (schermata nera) , premi invio per continuare, finita la scansione, si aprirà il block notes, salva il file, copia il suo contenuto in un post nel forum
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi aldebaran » 20/06/07 08:24

Ciao Luke, ecco il log:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\WINDOWS\BAK

31/12/2003 16.39 40.960 vsnpstd.exe
1 File 40.960 byte
2 Directory 2.302.275.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\ANTIVI~1\BAK

02/04/2007 10.35 327.720 avgnt.exe
1 File 327.720 byte
2 Directory 2.302.275.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\CCLEANER\BAK

06/03/2007 13.51 603.016 ccleaner.exe
1 File 603.016 byte
2 Directory 2.302.275.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\ICQLITE\BAK

11/07/2006 12.06 3.144.800 ICQLite.exe
1 File 3.144.800 byte
2 Directory 2.302.275.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\SPYWAR~2\BAK

25/04/2007 11.19 909.824 sp_rsser.exe
21/04/2007 11.23 2.925.568 SpywareTerminatorShield.exe
2 File 3.835.392 byte
2 Directory 2.302.275.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\COMODO\FIREWALL\BAK

0 File 0 byte
2 Directory 2.302.275.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\SKYPE\PHONE\BAK

0 File 0 byte
2 Directory 2.302.275.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

14/05/2007 13.11 185.896 realsched.exe
1 File 185.896 byte
2 Directory 2.302.275.584 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\JAVA\JRE15~3.0_0\BIN\BAK

0 File 0 byte
2 Directory 2.302.275.584 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

23568 15 May 2007 "C:\WINDOWS\vsnpstd.exe"
40960 31 Dec 2003 "C:\WINDOWS\bak\vsnpstd.exe"
327720 2 Apr 2007 "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe"
327720 2 Apr 2007 "C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe"
598920 10 May 2007 "C:\Programmi\CCleaner\ccleaner.exe"
603016 6 Mar 2007 "C:\Programmi\CCleaner\bak\ccleaner.exe"
3144800 11 Jul 2006 "C:\Programmi\ICQLite\bak\ICQLite.exe"
995328 1 Jan 2006 "C:\Programmi\SpywareBlaster\spywareblaster.exe"
2925568 21 Apr 2007 "C:\Programmi\Spyware Terminator\bak\SpywareTerminatorShield.exe"
8535752 21 Apr 2007 "C:\Documents and Settings\zorrok\Desktop\Pc-Facile\SpywareTerminatorSetup.exe"
2566736 6 May 2006 "D:\Download_2\SpywareBlaste\spywareblastersetup351.exe"
3158472 26 Apr 2007 "D:\Download_2\SpywareTerminator\SpywareTerminator.exe"
2365408 2 Oct 2006 "D:\Download_2\SpywareTerminator\Nuova cartella1\SpywareTerminator.exe"
3158472 26 Apr 2007 "D:\Download_2\SpywareTerminator\Nuova cartella2\SpywareTerminator.exe"
8585240 26 Apr 2007 "D:\Download_2\SpywareTerminator\Nuova cartella3\SpywareTerminatorSetup.exe"
2365408 2 Oct 2006 "D:\Back-Up OK\Back-Up\Download_2\SpywareTerminator\SpywareTerminator.exe"
2566736 6 May 2006 "D:\Back-Up OK\Back-Up\Download_2\SpywareBlaste\spywareblastersetup351.exe"
909824 25 Apr 2007 "C:\Programmi\Spyware Terminator\bak\sp_rsser.exe"
180269 3 Jun 2007 "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"
185896 14 May 2007 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"


end of report
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi Luke57 » 20/06/07 21:11

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


files to move:
C:\WINDOWS\bak\vsnpstd.exe | C:\WINDOWS\vsnpstd.exe
C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe | C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\CCleaner\bak\ccleaner.exe | C:\Programmi\CCleaner\ccleaner.exe
C:\Programmi\ICQLite\bak\ICQLite.exe | C:\Programmi\ICQLite\ICQLite.exe
C:\Programmi\Spyware Terminator\bak\SpywareTerminatorShield.exe | C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe | C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Spyware Terminator\bak\sp_rsser.exe | C:\Programmi\Spyware Terminator\sp_rsser.exe



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.

Poi apri bhijackthis, premi " do a system scan only", cerca e spunta le voci seguenti:
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com

premi fix checked.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi aldebaran » 20/06/07 21:38

Questo è il log. Ora riavvio ancora in mod. provvisoria ed elimino le righe che mi hai detto con Hijackthis. (Il virus nel frattempo mi è ricomparso).





Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cdxbmhro

*******************

Script file located at: \??\C:\Program Files\sweohmcq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\bak\vsnpstd.exe|C:\WINDOWS\vsnpstd.exe completed successfully.
File move operation C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe|C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe completed successfully.
File move operation C:\Programmi\CCleaner\bak\ccleaner.exe|C:\Programmi\CCleaner\ccleaner.exe completed successfully.
File move operation C:\Programmi\ICQLite\bak\ICQLite.exe|C:\Programmi\ICQLite\ICQLite.exe completed successfully.
File move operation C:\Programmi\Spyware Terminator\bak\SpywareTerminatorShield.exe|C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe completed successfully.
File move operation C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe|C:\Programmi\File comuni\Real\Update_OB\realsched.exe completed successfully.
File move operation C:\Programmi\Spyware Terminator\bak\sp_rsser.exe|C:\Programmi\Spyware Terminator\sp_rsser.exe completed successfully.

Completed script processing.

*******************

Finished! Terminate.
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi aldebaran » 22/06/07 16:36

Luke, in attesa di un tuo risscontro volevo sapere cosa ne pensi di questo script suggeritomi per riparare la trusted zone. Ciao.


http://www.mvps.org/winhelp2002/DelDomains.inf
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi aldebaran » 24/06/07 20:08

Ehi Luke, mi lasci da solo in mezzo al guado? :) Del virus non c'è più traccia, ma ci sono programmi come Ad-aware e SpywareTerminator che non ne vogliono più sapere di funzionare nonostante che li abbia disinstallati e reinstallati più volte. Magari se dai un occhiatina al log lasciato in sospeso può darsi che si possa rimediare... ;) . Ciao!
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi Luke57 » 24/06/07 21:29

Ciao, posta nuovo log di finadwf.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi aldebaran » 24/06/07 22:40

Ciao, ecco il log;


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\WINDOWS\BAK

0 File 0 byte
2 Directory 2.987.868.160 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\ANTIVI~1\BAK

0 File 0 byte
2 Directory 2.987.868.160 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\CCLEANER\BAK

0 File 0 byte
2 Directory 2.987.868.160 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\ICQLITE\BAK

0 File 0 byte
2 Directory 2.987.868.160 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\SKYPE\PHONE\BAK

0 File 0 byte
2 Directory 2.987.868.160 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

0 File 0 byte
2 Directory 2.987.868.160 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 9426-54A0

Directory di C:\PROGRA~1\JAVA\JRE15~3.0_0\BIN\BAK

0 File 0 byte
2 Directory 2.987.868.160 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58

Postdi Luke57 » 25/06/07 07:35

Ciao, le cartelle bak sono vuote, quindi non dovrebbero esserci file infetti in giro. Le voci 015 l'hai eliminate? Controlla con hijackthis. L'antivirus ti funziona, anche in avvio?
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi aldebaran » 25/06/07 17:06

Ciao Luke, ho fatto un controllo automatico del log di Hijackthis ma è tutto a posto. Forse il tutto nasce da problemi di conflitto di software. Ho fatto la disinstallazione manuale (quella standard non andava) di Comodo firewall ma non è riuscità perchè ora non riesco più a reinstallarlo. Comuque tempo fa ebbi problemi simili più un blocco di Windows all'avvio e dovetti reinstallare (senza formattare) Windows da Cd rom e il pc sembrava essere tornato ai vecchi fasti.

Riuscì a reinstallarlo dopo vari tentativi e ora non ricordo bene il procedimento. Mi sembra che per far partire il CD dalla fase di boot basta spegnere il pc con il dischetto del sistema operativo inserito e poi dare l'ok quando si presenta l'opzione nella fase di boot, giusto? Ciao e grazie.
aldebaran
Utente Senior
 
Post: 181
Iscritto il: 21/07/05 10:58


Torna a Sicurezza e Privacy


Topic correlati a "HEUR-DBLEXT/Crypted, Virus...tosto!":

Virus o cosa?
Autore: danibi60
Forum: Sicurezza e Privacy
Risposte: 26

Chi c’è in linea

Visitano il forum: Nessuno e 65 ospiti