Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Mi controllate il log di Hijack? Opzioni
omisomis
Inviato: Tuesday, June 03, 2008 5:57:00 PM
Rank: Newbie

Iscritto dal : 6/3/2008
Posts: 9
Ciao, premetto che ho Vista come O.S e Avast come Antivirus
L'antivirus mi rileva in continuazione Vbs Malware Gen e mi trova il file a.bat in c:\ e chiede di eliminarlo,ma ogni volta che lo faccio mi ricompare, con un po' di programmi sembrava che avevo risolto il problema,pero' ancora i problemi con msn sn rimasti, dal mio pc partono dei link che si riferisce al malware e tutte le persone che c vanno si infettano anche loro e poi mi si blocca msn dopo un po che lo uso,
il log sul mio pc è il seguente:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.55.15, on 03/06/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files (x86)\Picasa2\PicasaMediaDetector.exe
C:\Program Files (x86)\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files (x86)\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files (x86)\Hp\QuickPlay\QPService.exe
C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Windows\ehSched.exe
C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files (x86)\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files (x86)\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~2\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~2\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~2\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles(x86)%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files (x86)\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe
O4 - HKLM\..\Run: [MSN] scvhost.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files (x86)\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files (x86)\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files (x86)\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Program Files (x86)\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files (x86)\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/VistaMSNPUplden-us.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://braschisimone.spaces.live.com/PhotoUpload/VistaMsnPUpldit-it.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files (x86)\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 14741 bytes


Grazie
Sponsor
Inviato: Tuesday, June 03, 2008 5:57:00 PM

 
omisomis
Inviato: Tuesday, June 03, 2008 6:06:40 PM
Rank: Newbie

Iscritto dal : 6/3/2008
Posts: 9
Mi correggo,continua a rilevarmi il malware e il file infetto a.bat
r16
Inviato: Tuesday, June 03, 2008 10:31:14 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Si può provare con questo tool: http://www.mesea.com/descargar/utilseg/msncleaner%201.5.6%28www.portalmes.com%29.Zip
Installa MSN Cleaner :
● scompatta il file Zip che hai precedentemente posizionato sul desktop (verrà creata una icona)
● chiudi tutte le pagine Internet eventualmente aperte
● lancia MSN Cleaner
● imposta la lingua in italiano
● clicca sul tasto Analizza per lanciare la scansione
● seleziona gli eventuali file infetti rilevati
● clicca sul tasto Cancella per provvedere alla loro rimozione
● clicca sul tasto Report per creare il log da pubblicare
● clicca sul tasto Esci per chiudere il programma
Salva il log che verrà rilasciato

Poi:
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti. (dopo aver scaricato Combofix,chiudi anche la connessione a internet)

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1, premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.
Posta un nuovo log di HijackThis .
Sempre qui.
ComboFix non funziona in modalità provvisoria

Dimmi se hai risolto.
omisomis
Inviato: Tuesday, June 03, 2008 11:54:07 PM
Rank: Newbie

Iscritto dal : 6/3/2008
Posts: 9
Ciao,intanto grazie per avermi risposto,

Ho utilizzato msncleaner, e questo è il log:

- File di log MSNCleaner 1.5.6 by www.forospyware.com
- File di log creato: 03/06/2008 on 23.30.58
- Sistema Operativo: Windows Vista
- Modalità d'avvio: Normale
_________________________________________

File trovati: 3
File rimossi: 2
File non rimossi: 1

C:\Windows\images.zip <--- Rimosso
C:\Windows\nsreg.dat <--- Rimosso
C:\Windows\System32\EXPLORER.EXE <--- Delete on Reboot

Host File ripristinato



Poi sono andato per utilizzare ComboFix,ma mi dice che il mio Sistema Operativo non è compatibile (Vista), che posso fare?

Grazie 1000
r16
Inviato: Wednesday, June 04, 2008 5:49:59 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao .
Hai riavviato il pc per eliminare questo file? C:\Windows\System32\EXPLORER.EXE <--- Delete on Reboot
Trovo strano che ti dica che non è compatibile. (l'ho fatto girare anche su altri Vista,e ha funzionato)
Hai Disabilitato l'antivirus,e chiuso TUTTE le applicazioni,connessione internet compresa?
Comunque scarica questo:
Scarica Norman Malware Cleaner http://download.norman.no/public/Norman_Malware_Cleaner.exe
Norman Malware Cleaner lo si fà girare in MODALITA PROVVISORIA.

Si avvia
si accetta la licenza
si clicca Start Scan
si attende la fine della scansione
Viene generato un log sul desktop, postalo qui.
In alcuni casi Norman Malware Cleaner potrebbe richiedere il riavvio del computer per rimuovere completamente l'infezione, in
questo caso è raccomandata una seconda esecuzione del programma dopo aver riavviato il PC per garantire la completa rimozione di tutti i files infetti.
Già che ci sei:
Scarica VIRIT :
http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e lo fai girare in Modalità Provvisoria (è molto importante).
Postami anche il log di Virit.
MSNCleaner qualcosa ha eliminato,nessun miglioramento?
omisomis
Inviato: Thursday, June 05, 2008 9:50:04 AM
Rank: Newbie

Iscritto dal : 6/3/2008
Posts: 9
Ciao,scusami se nn ho risposto prima,ma ieri non ho avuto tempo di venire a controllare,
cmq avevo provato a riavviare ma nn lo aveva eliminato,e avevo la connessione staccata e avevo disabilitato avast (antivirus),
provo come dici te e poi posto il log
Mi sembra che qualche miglioramento ci sia stato,ma ancora mi da problemi
Grazie 1000
omisomis
Inviato: Thursday, June 05, 2008 2:38:11 PM
Rank: Newbie

Iscritto dal : 6/3/2008
Posts: 9
Ciao, ho provato come mi hai consigliato con Norman Malware Cleaner,ma dopo piu' di un ora e mezza che era fermo ho stoppato e questo è quello che mi diceva:

Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/12 19:08:33

Norman Scanner Engine Version: 5.92.04
Nvcbin.def Version: 5.92.00, Date: 2008/05/12 19:08:33, Variants: 1631317

Running pre-scan cleanup routine:
Operating System: Microsoft Windows Vista 6.0.6000(Safe mode)
Logged on user: HP-Simo\Simo

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "userinit.exe" -> "C:\Windows\System32\userinit.exe,"
Failed to set registry value (0x00000005): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoActiveDesktopChanges = 0x00000001

Scan started: 05/06/2008 11:57:46


Scanning running processes and process memory...

Number of processes/threads found: 3
Number of processes/threads scanned: 3
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 0s 172ms


Scanning file system...

Scanning: C:\*.*

C:\Program Files\Alwil Software\Avast4\DATA\moved\a.bat.vir (Infected with WinREG.A)


Cosa dovevo fare?aspettare ancora?pero' mi sembrava che era fermo e non facesse piu' niente la schermata rimaneva la stessa,ho provato altre volte ma faceva sempre la stessa cosa, ho provato ad utilizzare anche Virt e questo è il log:

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK

05/06/2008 - 11:41:58

[SCANSIONE DEL REGISTRO]
{DCE2F8B1-A520-11D4-8FD0-00D0B7730277} Infetto da Trojan.Win32.Dialer.KA
* * * RIMOSSO * * *

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

[SCANSIONE DELLA MEMORIA]
OK

05/06/2008 - 11:53:22

[SCANSIONE DELLA MEMORIA]
OK

05/06/2008 - 13:38:15

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

[SCANSIONE DELLA MEMORIA]
OK

05/06/2008 - 13:45:37

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]


[F:]


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 151056.
Files Totali: 151056.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.


Che devo fare?

Grazie
r16
Inviato: Thursday, June 05, 2008 6:37:42 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Allora........Te lo dico onestamente,NON sono un esperto di Vista,ci sono delle cose che non mi quadrano,ma purtroppo i miei riferimenti si basano su Windows XP.
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Virit ti ha trovato un Dialer, e Norman Malware Cleaner quel poco che ha girato dice che hai Avast infettato.
Scarica questo tool per vedere se ti sono rimaste infezioni da Dialer.
-------
Scarica FindAWF:
http://noahdfear.geekstogo.com/FindAWF.exe 3. Esegui FindAWF,premi un tasto qualsiasi,poi premi il tasto 1 e INVIO, aspetti il log che FindAWF stamperà su un file di testo alla fine della ricerca.
Il filelog lo posti in questa discussione.
Comunque non ti scoraggiare,di una cosa stai sicuro:il tuo pc NON subirà danni superiori a quelli che hai già.

omisomis
Inviato: Thursday, June 05, 2008 8:16:21 PM
Rank: Newbie

Iscritto dal : 6/3/2008
Posts: 9
Ciao,con CCleaner ho fatto tutto quello che potevo fare, con FindAWF mi da la seguente cosa:


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report


A sto punto cosa mi consigli di fare? se disinstallo avast e poi rifaccio tutti i procedimenti di prima e lo reinstallo nn cambia niente,vero?
A sto punto non so piu' che pesci pigliare.

Cmq grazie 1000 per tutto
r16
Inviato: Thursday, June 05, 2008 9:43:02 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao
Non hai Dialer (evidentemente Virit lo ha rimosso bene)
Si' disistalla Avast e prova a installare GMER:

Scarica GMER, poi segui i seguenti passaggi: http://www.gmer.net/gmer.zip

--- 1° passaggio ---
Avvia gmer
clicca su > > >
Clicca su Autostart
metti il segno di spunta a Show All clicca su Scan





--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, Posta qui il log.
Se trovi voci IN ROSSO ,vuol dire che hai dei ROOTKIT.
Come antivirus installa AVG:
http://www.aiutaamici.com/software?ID=11537
omisomis
Inviato: Friday, June 06, 2008 1:24:59 PM
Rank: Newbie

Iscritto dal : 6/3/2008
Posts: 9
Ciao, appena accedo al programma gmer mi salta fuori la finestra di errore:
System\CurrentContronlSet\Services\gmer: Handle non valido
nonostante l'errore mi ha fatto accedere al programma ma se vado su autostart e spingo scan non mi parte la scannarizzazione,mentre se vado a fare la scansione nella sezione Rootkit/Malware una volta finito il log è:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-06-06 09:52:56
Windows 6.0.6000


---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA9 0x3A 0x6C 0xD4 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xCA 0xA8 0xB4 0xAD ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xD0 0x7D 0x6B 0x95 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA9 0x3A 0x6C 0xD4 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xCA 0xA8 0xB4 0xAD ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xD0 0x7D 0x6B 0x95 ...

---- EOF - GMER 1.0.14 ----


Poi ho disinstallato Avast e ho installato Avg,naturalmente l'ho aggiornato e gli ho fatto fare la scannarizzazione del computer, e questo è il suo log:

Scan "Scan specific files or folders" was finished.
Infections found:;"15"
Infected objects removed or healed;"14"
Not removed or healed.;"1"
Spyware found:;"0"
Spyware removed:;"0"
Not removed:;"0"
Warnings count:;"30"
Information count:;"0"
Scan started:;"venerdì 6 giugno 2008, 10.03.02"
Total object scanned:;"1725862"
Time needed:;"1 hour(s) 47 minute(s) 48 second(s) "
Errors encountered:;"0"

Infections
File;"Infection";"Result"
C:\Windows\mswinudpmgr32.exe;"Trojan horse VB.DVU";"Reboot is required to finish the action"
C:\Windows\mswinudpmgr32.exe (3428);"Trojan horse VB.DVU";"Infected"
C:\Windows\mswinudpmgr32.exe;"Trojan horse VB.DVU";"Reboot is required to finish the action"
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\Windows UDP Control Center;"Found registry key with reference to infected file C:\Windows\mswinudpmgr32.exe";"Moved to Virus Vault"
C:\Program Files (x86)\Hp\QuickPlay\Kernel\Partner\libcurl.dll;"Trojan horse Agent.WDC";"Moved to Virus Vault"
C:\Users\Simo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GEN3TIUZ\y0shi3[1].exe;"Trojan horse SHeur.BMKM";"Moved to Virus Vault"
C:\Users\Simo\AppData\Local\Temp\eraseme_27323.exe;"Trojan horse VB.DVU";"Moved to Virus Vault"
C:\Users\Simo\AppData\Local\Temp\eraseme_28446.exe;"Trojan horse VB.DVU";"Moved to Virus Vault"
C:\Windows\ehSched.exe;"Trojan horse BackDoor.VB.CAH";"Moved to Virus Vault"
C:\Windows\hosted.exe;"Trojan horse VB.DVT";"Moved to Virus Vault"
C:\Windows\mswinudpmgr32.exe;"Trojan horse VB.DVU";"Reboot is required to finish the action"
C:\Windows\ssehost.exe;"Trojan horse VB.DVT";"Moved to Virus Vault"
C:\Windows\sshost.exe;"Trojan horse VB.DVT";"Moved to Virus Vault"
C:\Windows.exe;"Trojan horse VB.DVT";"Moved to Virus Vault"
C:\Windows\mswinudpmgr32.exe;"Trojan horse VB.DVU";"Reboot is required to finish the action"

Warnings
File;"Infection";"Result"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@atdmt[2].txt:\atdmt.com.b3e33b5f;"Found Tracking cookie.Atdmt";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@atdmt[2].txt;"Found Tracking cookie.Atdmt";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@atdmt[3].txt:\atdmt.com.b3e33b5f;"Found Tracking cookie.Atdmt";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@atdmt[3].txt;"Found Tracking cookie.Atdmt";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@bs.serving-sys[2].txt:\bs.serving-sys.com.5bf1f00f;"Found Tracking cookie.Serving-sys";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@bs.serving-sys[2].txt;"Found Tracking cookie.Serving-sys";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@doubleclick[1].txt:\doubleclick.net.bf396750;"Found Tracking cookie.Doubleclick";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@doubleclick[1].txt;"Found Tracking cookie.Doubleclick";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@doubleclick[2].txt:\doubleclick.net.bf396750;"Found Tracking cookie.Doubleclick";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@doubleclick[2].txt;"Found Tracking cookie.Doubleclick";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@m.webtrends[1].txt:\m.webtrends.com.b4ca7df0;"Found Tracking cookie.Webtrends";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@m.webtrends[1].txt;"Found Tracking cookie.Webtrends";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@m.webtrends[3].txt:\m.webtrends.com.b4ca7df0;"Found Tracking cookie.Webtrends";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@m.webtrends[3].txt;"Found Tracking cookie.Webtrends";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@mediaplex[1].txt:\mediaplex.com.f652b123;"Found Tracking cookie.Mediaplex";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@mediaplex[1].txt;"Found Tracking cookie.Mediaplex";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@mediaplex[2].txt:\mediaplex.com.f652b123;"Found Tracking cookie.Mediaplex";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@mediaplex[2].txt;"Found Tracking cookie.Mediaplex";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@overture[1].txt:\overture.com.52ca467a;"Found Tracking cookie.Overture";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@overture[1].txt;"Found Tracking cookie.Overture";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@serving-sys[2].txt:\serving-sys.com.c9034af6;"Found Tracking cookie.Serving-sys";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@serving-sys[2].txt:\serving-sys.com.606c3d3b;"Found Tracking cookie.Serving-sys";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@serving-sys[2].txt:\serving-sys.com.4b416ef8;"Found Tracking cookie.Serving-sys";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@serving-sys[2].txt:\serving-sys.com.255d6f2f;"Found Tracking cookie.Serving-sys";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@serving-sys[2].txt:\serving-sys.com.6a1cf9e8;"Found Tracking cookie.Serving-sys";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@serving-sys[2].txt:\serving-sys.com.400f83f;"Found Tracking cookie.Serving-sys";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@serving-sys[2].txt;"Found Tracking cookie.Serving-sys";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@tradedoubler[2].txt:\tradedoubler.com.eab0972e;"Found Tracking cookie.Tradedoubler";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@tradedoubler[2].txt:\tradedoubler.com.ba12c0e9;"Found Tracking cookie.Tradedoubler";"Potentially dangerous object"
C:\Users\Simo\AppData\Roaming\Microsoft\Windows\Cookies\simo@tradedoubler[2].txt;"Found Tracking cookie.Tradedoubler";"Potentially dangerous object"


Dici che mi ha liberato tutto?Cosa faccio,gli faccio fare un altro scan?

Grazie 1000
r16
Inviato: Friday, June 06, 2008 5:54:19 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Perbacco...... ha fatto un bel lavoro!Applause
Fai una scansione on-line con questo http://housecall.trendmicro.com/it/
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Dimmi se la scansione on-line ti ha rilevato qualche altro virus.
Se lo rileva,guarda che puoi eliminarlo con un'apposito pulsante.
omisomis
Inviato: Saturday, June 07, 2008 8:14:55 PM
Rank: Newbie

Iscritto dal : 6/3/2008
Posts: 9
Ciao,sn andato al link da te consigliato,gli ho fatto fare la scansione,senza trovare niente di rilevante,cmq finalmente con l'arrivo di avg e con la sua pulizia mi ritrovo il computer in ottima salute,cmq dei vari programmi che ora mi ritrovo installato,tipo virt,... li tengo installati o visto la loro poco utilita' me li libero tutti?
Grazie 1000 per la tua pazienza e per i tuoi consigli

Ciao ciao ciao

Simo
r16
Inviato: Saturday, June 07, 2008 9:25:18 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao omisomis
Li puoi disistallare tranquillamente.
Virit ha il suo Unistall , gli altri sono tooll,basta cestinarli.
Tieni CCleaner, che ti serve per la pulizia da fare 2-3 volte alla settimana.
Ciao!
omisomis
Inviato: Saturday, June 07, 2008 10:25:59 PM
Rank: Newbie

Iscritto dal : 6/3/2008
Posts: 9
Ok,peerfetto così sarà fatto

Buon Weekend

Forza Italia!
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.