Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Memoria operativa » dwm.exe(1752) - una variante di Win32/Spy.Zbot.ZR trojan horse - impossibile disinfettare Opzioni
toni52
Inviato: Sunday, November 27, 2011 11:18:58 PM
Rank: Member

Iscritto dal : 12/11/2003
Posts: 9
ciao avrei bisogno diuna dritta, la scnsione di nod 32 mi da questo avvertimento:
Memoria operativa » dwm.exe(1752) - una variante di Win32/Spy.Zbot.ZR trojan horse - impossibile disinfettare
il mio pc ha come os windows 7 ultimate,
ho provanto con malwarebyte ma il problema rimane.

MI POTETE AIUTARE GRAZIEEEEEEEEEEEEE
TONINO
Sponsor
Inviato: Sunday, November 27, 2011 11:18:58 PM

 
toni52
Inviato: Sunday, November 27, 2011 11:40:06 PM
Rank: Member

Iscritto dal : 12/11/2003
Posts: 9
MI CONTROLLATE LOG HijackThis
Logfile of Trend Micro v2.0.4
Scan saved at 23:37:26, on 27/11/2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\USBAntivirus\USBAntivirus.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAP\DAP.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Windows\explorer.exe
C:\Users\tony\Downloads\HiJackThis.exe

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll
O3 - Toolbar: IncrediMail MediaBar Italiano 2 Toolbar - {c91fec63-9f25-400d-95e5-6cd334dd3cc1} - C:\Program Files\IncrediMail_MediaBar_Italiano_2\prxtbIncr.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [USBAntivirus.exe] C:\Program Files\USBAntivirus\USBAntivirus.exe -Hide
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [{D510CD92-9BF5-336A-4D18-B66739CED835}] C:\Users\tony\AppData\Roaming\Ruta\uwyma.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\tony\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Scarica con Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BroadCam Video Streaming Server (BroadCamService) - Unknown owner - C:\Program Files\NCH Software\BroadCam\broadcam.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxcz_device - - C:\Windows\system32\lxczcoms.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

--
End of file - 6257 bytes
cbbusto
Inviato: Monday, November 28, 2011 12:58:46 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao, hai 2 antivirus installati, a meno che questo sw: USBAntivirus\USBAntivirus.exe non si riferisca a Panda USB Vaccine, ma non credo, potrebbe trattarsi di un trojan. Poi hai troppe toolbar installate queste creano solo incagli e rallentamenti, basta solo quella del motore di ricerca.
Chiudi tutti i programmi e disconesso, fixa e rimuovi queste righe:

C:\Program Files\USBAntivirus\USBAntivirus.exe

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll

O3 - Toolbar: IncrediMail MediaBar Italiano 2 Toolbar - {c91fec63-9f25-400d-95e5-6cd334dd3cc1} - C:\Program Files\IncrediMail_MediaBar_Italiano_2\prxtbIncr.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.7\facemoodsTlbr.dll

O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Run: [USBAntivirus.exe] C:\Program Files\USBAntivirus\USBAntivirus.exe -Hide

Poi fai una pulizia con Ccleaner compreso il Registro, per la pulizia registro spunta tutte le voci.
Con Malwarebytes hai fatto una scansione COMPLETA ?
francescoamato
Inviato: Monday, November 28, 2011 1:26:49 PM
Rank: AiutAmico

Iscritto dal : 11/19/2011
Posts: 78
Ciao. Il PC è palesemente infetto.

Dopo aver fatto quanto proposto da CBBusto, esegui questa procedura:

Commenta:
Scarica Combofix (usa Internet Explorer)

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obbligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe (se usi Vista: tasto destro su Combofix.exe e clicca su: "Esegui come Amministratore" )

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui.

Il log, postalo con questo servizio hosting:
http://www.freefilehosting.net/
ele91
Inviato: Monday, December 05, 2011 4:53:42 PM
Rank: Newbie

Iscritto dal : 12/5/2011
Posts: 1
Ciao scusate sono nuova qui... ho trovato questo post e anche io avrei un problema molto simile ovvero:

Win32/Spy.Zbot.ZR è un Trojan infettato ma non disinfettabile con NOD32. Ora ho scaricato quel programma che usate per vedere i virus... solo che non me lo installa perchè l'unico modo per far andare il pc è in modalità provvisoria perchè quel simpatico virus ha intaccato l'esplira risorse, rendendomi impossibile qualsiasi manovra in modalità normale...... che devo fare?!?!?!!?
francescoamato
Inviato: Tuesday, December 06, 2011 8:29:44 AM
Rank: AiutAmico

Iscritto dal : 11/19/2011
Posts: 78
Ciao. Quale programma hai installato? Esegui ComboFix come spiegato da me qualche post fa. E, comunque, crea una nuova discussione.
Speak to the hand
cbbusto
Inviato: Tuesday, December 06, 2011 9:41:05 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao ele91, un saluto e benvenuta.
Per non creare confusione dovresti aprire un topic tuo e non inserirti in altri, altrimenti diventa difficile rispondere.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.