Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » virus in dplaysvr

3 pages: [1] 2 3
virus in dplaysvr Opzioni
Topic Precedente · Topic Sucessivo
ildordollano
Inviato: Tuesday, July 07, 2009 6:03:12 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
Dopo aver installato un programma "non sicuro" mi sono beccato un po di trojan e virus vari, che avg ha trovato e eliminato, tranne quello nel file system che si chiama dplaysvr (non ricordo l'estensione), che avg non puo eliminare perche "file necessario al funzionamento del pc"

come posso risolvere il problema?
Torna in alto
 
Sponsor
Inviato: Tuesday, July 07, 2009 6:03:12 PM

 
Torna in alto
 
shapiro
Inviato: Tuesday, July 07, 2009 6:08:03 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
ciao

posta un log di hjt

http://www.aiutamici.com/software?ID=11175

lancia il programma cliccando l’eseguibile e avvia la scansione, scegliendo la voce "Do a system scan and save a logfile"

Mettilo in C:\ programmi nel download e posta il log che rilascia
Torna in alto
 
ildordollano
Inviato: Tuesday, July 07, 2009 6:10:33 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
eccolo:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.09.51, on 07/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
g:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Bonjour\mDNSResponder.exe
G:\Programmi\Nero\Nero 8\InCD\InCDsrv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
G:\Programmi\Nero\Nero 8\Nero BackItUp\NBService.exe
C:\windows\Explorer.EXE
g:\PROGRA~1\AVG\AVG8\avgrsx.exe
G:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
g:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\windows\System32\svchost.exe
g:\PROGRA~1\AVG\AVG8\avgemc.exe
g:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\windows\system32\svchost.exe
C:\windows\RTHDCPL.EXE
G:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\windows\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\windows\system32\svchost.exe
c:\programmi\winamp toolbar\WinampTbServer.exe
C:\windows\system32\svchost.exe
C:\windows\system32\ntvdm.exe
G:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
G:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programmi\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - g:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: C:\windows\system32\grffr83hn.dll - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\windows\system32\grffr83hn.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - g:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programmi\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] g:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "G:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [rasphone.exe] C:\WINDOWS\system32\rasphone.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ihaupd32.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: zqosys32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ihaupd32.exe (User 'Default user')
O4 - .DEFAULT Startup: zqosys32.exe (User 'Default user')
O4 - Startup: ihaupd32.exe
O4 - Startup: zqosys32.exe
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dati applicazioni\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - G:\Programmi\Download Express\Add_Url.htm
O8 - Extra context menu item: Scarica con Free Download Manager - file://G:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica i video con Free Download Manager - file://G:\Programmi\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://G:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://G:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1236622635406
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2835A849-2711-47B8-8441-483B39CB739F}: NameServer = 85.37.17.14 85.38.28.78
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - g:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\windows\SYSTEM32\avgrsstx.dll
O22 - SharedTaskScheduler: rtasgvfu76ew8ndkfno94 - {D76AB2A1-00F3-42BD-F434-00BBC39C8953} - C:\windows\system32\grffr83hn.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - g:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - g:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - G:\Programmi\Nero\Nero 8\InCD\InCDsrv.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - G:\Programmi\Nero\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - G:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 9000 bytes
Torna in alto
 
shapiro
Inviato: Tuesday, July 07, 2009 6:35:18 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Scarica e installa malwarebytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.

per ora non rimuovere niente
Torna in alto
 
ildordollano
Inviato: Tuesday, July 07, 2009 7:57:54 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
Malwarebytes' Anti-Malware 1.38
Versione del database: 2387
Windows 5.1.2600 Service Pack 3

07/07/2009 19.57.40
mbam-log-2009-07-07 (19-57-35).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 170221
Tempo trascorso: 1 hour(s), 13 minute(s), 6 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 1
Chiavi di registro infette: 3
Valori di registro infetti: 3
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 15

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
C:\WINDOWS\system32\grffr83hn.dll (Trojan.Agent) -> No action taken.

Chiavi di registro infette:
HKEY_CLASSES_ROOT\CLSID\{d76ab2a1-00f3-42bd-f434-00bbc39c8953} (Trojan.Zlob.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d76ab2a1-00f3-42bd-f434-00bbc39c8953} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d76ab2a1-00f3-42bd-f434-00bbc39c8953} (Trojan.Agent) -> No action taken.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{d76ab2a1-00f3-42bd-f434-00bbc39c8953} (Trojan.Zlob.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\grffr83hn.dll (Trojan.Zlob.H) -> No action taken.
c:\documents and settings\Damiano\menu avvio\programmi\esecuzione automatica\zqosys32.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{f7b039ba-d1e1-4060-a4fc-2ddf5067bf86}\RP186\A0052856.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\5.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\8.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\9.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\B.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\D.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\E.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\F.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Damiano\Dati applicazioni\wiaserva.log (Malware.Trace) -> No action taken.
c:\documents and settings\Damiano\Dati applicazioni\wiaservg.log (Malware.Trace) -> No action taken.
Torna in alto
 
shapiro
Inviato: Tuesday, July 07, 2009 8:10:27 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
elimina tutto quello che ha trovato malwarebytes e posta un nuovo log di hjt
Torna in alto
 
ildordollano
Inviato: Tuesday, July 07, 2009 8:18:11 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.18.10, on 07/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
g:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmi\Bonjour\mDNSResponder.exe
G:\Programmi\Nero\Nero 8\InCD\InCDsrv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
G:\Programmi\Nero\Nero 8\Nero BackItUp\NBService.exe
g:\PROGRA~1\AVG\AVG8\avgrsx.exe
G:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\windows\System32\svchost.exe
g:\PROGRA~1\AVG\AVG8\avgnsx.exe
g:\PROGRA~1\AVG\AVG8\avgemc.exe
g:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\windows\RTHDCPL.EXE
G:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\windows\system32\ctfmon.exe
C:\windows\system32\svchost.exe
C:\windows\system32\wuauclt.exe
c:\programmi\winamp toolbar\WinampTbServer.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
G:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wiaacmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programmi\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - g:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - g:\Programmi\AVG\AVG8\Toolbar\IEToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programmi\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] g:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "G:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [rasphone.exe] C:\WINDOWS\system32\rasphone.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ihaupd32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ihaupd32.exe (User 'Default user')
O4 - Startup: ihaupd32.exe
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dati applicazioni\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - G:\Programmi\Download Express\Add_Url.htm
O8 - Extra context menu item: Scarica con Free Download Manager - file://G:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica i video con Free Download Manager - file://G:\Programmi\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://G:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://G:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1236622635406
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2835A849-2711-47B8-8441-483B39CB739F}: NameServer = 85.37.17.14 85.38.28.78
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - g:\Programmi\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\windows\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - g:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - g:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - G:\Programmi\Nero\Nero 8\InCD\InCDsrv.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - G:\Programmi\Nero\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - G:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 8365 bytes
Torna in alto
 
shapiro
Inviato: Tuesday, July 07, 2009 9:39:36 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
analizza qui ===> http://www.virustotal.com/it/

il file in rosso C:\WINDOWS\system32\rasphone.exe


Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked


R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: 66.98.148.65 auto.search.msn.com

O1 - Hosts: 66.98.148.65 auto.search.msn.es

O4 - S-1-5-18 Startup: ihaupd32.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: ihaupd32.exe (User 'Default user')

O4 - Startup: ihaupd32.exe
Torna in alto
 
ildordollano
Inviato: Wednesday, July 08, 2009 10:44:26 AM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
ho scoperto che non riesco più a entrare su nessun sito di antivirus... ne su virustotal... ho provato avg, kaspersky, avast... mi da che non riesce a trovare la pagina....
Torna in alto
 
ildordollano
Inviato: Wednesday, July 08, 2009 12:37:09 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
aggiungo che nel task manager ci sono molti processi che si chiamano services.exe
Torna in alto
 
shapiro
Inviato: Wednesday, July 08, 2009 12:49:32 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
il processo services.exe legittimo e' nella cartella system 32

scarica questo file .bat - eseguilo (dura pochi secondi)

http://wikisend.com/download/893078/1.bat

In C dovresti trovare i file .txt da 1 a 10 o perlomeno quelli che sono stati individuati, Inseriscili tutti in una cartella .zip e allegali a un post.
Torna in alto
 
ildordollano
Inviato: Wednesday, July 08, 2009 1:13:11 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
eccolo:
http://www.megaupload.com/?d=173LPPTM
Torna in alto
 
ildordollano
Inviato: Wednesday, July 08, 2009 1:23:59 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
comunque guardando qua e la per il system32 ho notato che ci sono dei file .tmp (i nomi sono: 1E;3;4;5;6;7;8;9;11;11D;12;13;15;16;20;22;23;24;25;112;124) tutti creati il giorno in cui ho preso il virus. inoltre sul task manager ogni volta che accendo mi ritrovo il processo "4"... che termino ma non cambia nulla

e ho trovato anche questo "reader_s.exe" che è stato creato nello stesso momento
Torna in alto
 
shapiro
Inviato: Wednesday, July 08, 2009 1:27:41 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164


analizza questo file su http://www.virustotal.com/it/

C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe
Torna in alto
 
ildordollano
Inviato: Wednesday, July 08, 2009 1:31:09 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
shapiro ha scritto:


analizza questo file su http://www.virustotal.com/it/

C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe


non riesco ad andare su siti di antivirus...

al massimo posso metterlo su una cartella zip e te la mando
Torna in alto
 
shapiro
Inviato: Wednesday, July 08, 2009 1:34:48 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
no no Sick ti ringrazio.....

analizzalo col tuo antivirus - tasto destro >>> analizza>>>
Torna in alto
 
ildordollano
Inviato: Wednesday, July 08, 2009 1:37:44 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
nulla....

leggi il post sopra... se provassi a eliminare quei file?? risolverei qualcosa?
Torna in alto
 
simo95
Inviato: Wednesday, July 08, 2009 1:39:47 PM

Rank: AiutAmico

Iscritto dal : 12/4/2008
Posts: 2,008
ildordollano ha scritto:
shapiro ha scritto:


analizza questo file su http://www.virustotal.com/it/

C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe


non riesco ad andare su siti di antivirus...

al massimo posso metterlo su una cartella zip e te la mando


se vuoi mandalo a me, lo metto in una sandbox, non potrà far danni
Torna in alto
 
ildordollano
Inviato: Wednesday, July 08, 2009 1:48:42 PM
Rank: AiutAmico

Iscritto dal : 7/7/2009
Posts: 36
simo95 ha scritto:
ildordollano ha scritto:
shapiro ha scritto:


analizza questo file su http://www.virustotal.com/it/

C:\\Programmi\\Windows Live\\Messenger\\wlcsdk.exe


non riesco ad andare su siti di antivirus...

al massimo posso metterlo su una cartella zip e te la mando


se vuoi mandalo a me, lo metto in una sandbox, non potrà far danni

se vuoi correre rischi... io mi fido di te ecco [un collegamento censurato]
Torna in alto
 
Utenti presenti in questo topic
Guest

3 pages: [1] 2 3

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » virus in dplaysvr


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.