Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Virus maledetti!

Virus maledetti! Opzioni
Topic Precedente · Topic Sucessivo
raffix
Inviato: Saturday, April 23, 2011 9:52:51 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 53
Salve, sono alle prese con dei virus..che come al solito non tardano a farmi visita!
Ieri stavo scaricando della musica da emule, e al termine l'antivirus AVG ha rilevato dei trojan, ho aperto il percorso specifico di questi file infetti ed ho cancellato. Ho fatto una scansione con Malwarebytes' ed ha rilevato 35 minacce infette, mettendole in quarantena (non so se cancellarle dalla quaranteno o no)..ed ho fatto una pulizia con ccleaner.
Adesso prima di fare qualche danno, vi chiedo consiglio su che azione intraprendere, grazie.
Torna in alto
 
Sponsor
Inviato: Saturday, April 23, 2011 9:52:51 PM

 
Torna in alto
 
thepiratebay
Inviato: Saturday, April 23, 2011 10:32:31 PM
Rank: AiutAmico

Iscritto dal : 12/27/2008
Posts: 2,018
1) posta un log :--> http://software.aiutamici.com/software?ID=11175

2) vs : Malwarebytes Silenced non posso rispondere . ecco un link ---> http://software.aiutamici.com/software?ID=80346
Torna in alto
 
raffix
Inviato: Saturday, April 23, 2011 11:01:06 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 53
Aspetto risposte anche da altri utenti, per far sì che ci sia una soluzione unica..
Ecco il log di Hijack:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22.57.53, on 23/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG10\avgchsvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVG\AVG10\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\Programmi\AVG\AVG10\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe
C:\Programmi\AVG\AVG10\avgnsx.exe
C:\Programmi\AVG\AVG10\avgemcx.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\AVG\AVG10\avgrsx.exe
C:\Programmi\AVG\AVG10\avgcsrvx.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG10\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programmi\HP\Smart Web Printing\SmartWebPrinting.dll
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_TRAY] C:\Programmi\AVG\AVG10\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: IMVU.lnk = C:\Documents and Settings\NUMBER 1.RUOSSO\Dati applicazioni\IMVUClient\IMVUQualityAgent.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\NUMBER 1.RUOSSO\Menu Avvio\Programmi\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53936C21-A13F-473E-9695-E484918BD19B}: NameServer = 85.37.17.11 85.38.28.69
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG10\avgpp.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Programmi\AVG\AVG10\avgwdsvc.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

--
End of file - 6286 bytes
Torna in alto
 
wolfestein
Inviato: Saturday, April 23, 2011 11:04:42 PM

Rank: AiutAmico

Iscritto dal : 2/15/2009
Posts: 15,918
I file in quarantena lasciali dove sono per una settimana,dopo se tutto funziona bene cancellali.
Per precauzione disattiva il ripristino di sistema e ripeti la scansione con Malwarebytes,se tutto ok riattiva il ripristino e crea un nuovo punto.
Questo perché certi malware usano il ripristino di sistema per rigenerarsi.
Per il log attendi la risposta da chi è più preparato di me in questo campo.
Torna in alto
 
raffix
Inviato: Saturday, April 23, 2011 11:37:36 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 53
Ho disattivato il ripristino di sistema e ripetuto la scansione con Malwarebytes..ha trovato 24 minacce, le ho cancellate e le ha spostate in quarantena. Lascio la disattivazione del ripristino o tolgo la spunta?
Torna in alto
 
thepiratebay
Inviato: Sunday, April 24, 2011 7:27:32 AM
Rank: AiutAmico

Iscritto dal : 12/27/2008
Posts: 2,018
@: raffix

posta anche il log di Malwarebytes scansione completa : http://software.aiutamici.com/software?ID=80346


cosè questo :---> NUMBER 1.RUOSSO Think
Torna in alto
 
raffix
Inviato: Sunday, April 24, 2011 6:18:06 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 53
number 1.ruosso è il nome di una cartella che si trova in (C:) documents and settings, è al suo interno ci sono altre sottocartelle (deskotop - documenti - menu avvio - tracing - ect.) ma non so di preciso a che serva..
ecco il log di Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 6426

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/04/2011 17.56.48
mbam-log-2011-04-24 (17-56-47).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 194942
Tempo trascorso: 44 minuti, 36 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)
Torna in alto
 
thepiratebay
Inviato: Sunday, April 24, 2011 8:07:43 PM
Rank: AiutAmico

Iscritto dal : 12/27/2008
Posts: 2,018

Torna in alto
 
thepiratebay
Inviato: Sunday, April 24, 2011 8:11:26 PM
Rank: AiutAmico

Iscritto dal : 12/27/2008
Posts: 2,018
thepiratebay ha scritto:
Commenta:
number 1.ruosso è il nome di una cartella che si trova in (C:) documents and settings, è al suo interno ci sono altre sottocartelle (deskotop - documenti - menu avvio - tracing - ect.) ma non so di preciso a che serva..




Code:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    


il suo percorso lo avevo individuato :

Code:
O4 - Startup: IMVU.lnk = C:\Documents and Settings\NUMBER 1.RUOSSO\Dati applicazioni\IMVUClient\IMVUQualityAgent.exe


Code:
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\NUMBER 1.RUOSSO\Menu Avvio\Programmi\IMVU\Run IMVU.lnk (file missing)



io non conosco nesun progarmma : NUMBER 1.RUOSSO visto che si tratta di un exe e alcune voci "eliminate"

direi di fixare le voci quotate


ma in questa sezione vige un regolamento sopra sono solo le mie opinioni
Torna in alto
 
raffix
Inviato: Sunday, April 24, 2011 9:28:49 PM

Rank: AiutAmico

Iscritto dal : 11/6/2008
Posts: 53
Grazie..allora aspetto indicazioni dagli esperti.
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Virus maledetti!


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.