Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Mi controllate il file log

Mi controllate il file log Opzioni
Topic Precedente · Topic Sucessivo
lopix
Inviato: Tuesday, June 20, 2006 8:55:30 PM
Rank: Member

Iscritto dal : 7/24/2004
Posts: 0
Il mio PC è stato infettato dal malware spywarequark, ho provato ad eliminarlo in modalità provvisorio con Ad Ware e SpyBot, ma non ci sono riuscito.
Mi controllate il file log, grazie:
Logfile of HijackThis v1.99.1
Scan saved at 20.41.33, on 20/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programmi\StopDialers\StopDialer.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\Programmi\Opera\Opera.exe
C:\Documents and Settings\Darisa & Giuseppe\Documenti\Raccolta programmini vari\Hijack This 1.99\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {46ecdbea-47ba-4a9f-b3fb-14825c3207b0} - C:\WINDOWS\system32:xgaa.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialer.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programmi\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programmi\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programmi\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programmi\Yahoo!\Common/ycsms.htm
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {387A2402-D598-42D8-95A5-D2E02ECDE8E4} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C57BB823-1251-4F3B-82FF-76729AD378DE}: NameServer = 85.37.17.16 85.38.28.68
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Torna in alto
 
Sponsor
Inviato: Tuesday, June 20, 2006 8:55:30 PM

 
Torna in alto
 
steven75
Inviato: Tuesday, June 20, 2006 10:21:28 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Ciao,
fai cosi:
vai in questa mia pagina,scarica smitfraudfix e leggi la guida per eseguirlo...una volta fatta quest'operazione ,posti sia un nuovo log hijackthis ,sia il secondo log che creerà smitfraud
http://www.steven.altervista.org/files/tools.html
Torna in alto
 
lopix
Inviato: Wednesday, June 21, 2006 11:57:07 AM
Rank: Member

Iscritto dal : 7/24/2004
Posts: 0
Ecco qui, i file log

SmitFraudFix v2.63

Scan done at 11.48.12,73, 21/06/2006
Run from
C:\Documents and Settings\Darisa & Giuseppe\Documenti\Web\FILE DOWNLOAD\a\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32




»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DARISA~1\PREFER~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programmi


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Pagina iniziale corrente"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



Logfile of HijackThis v1.99.1
Scan saved at 11.52.41, on 21/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
C:\Programmi\StopDialers\StopDialer.exe
C:\Programmi\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Darisa & Giuseppe\Documenti\Raccolta programmini vari\Hijack This 1.99\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {46ecdbea-47ba-4a9f-b3fb-14825c3207b0} - C:\WINDOWS\system32:xgaa.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialer.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programmi\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programmi\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programmi\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programmi\Yahoo!\Common/ycsms.htm
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {387A2402-D598-42D8-95A5-D2E02ECDE8E4} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C57BB823-1251-4F3B-82FF-76729AD378DE}: NameServer = 85.37.17.16 85.38.28.68
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Torna in alto
 
steven75
Inviato: Wednesday, June 21, 2006 12:27:52 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Ciao,
fai cosi:
- Scarica lo script per riparare la trusted zone
http://www.mvps.org/winhelp2002/DelDomains.inf (---)(tasto destro sul link e salvalo sul desktop)
- Portati nelle installazioni/applicazioni del pannello di controllo e disinstalla tutto quello che non hai installato tu..

- Metti hijackthis in una cartella a lui dedicata,es;(C:\HJT) altrimenti non sarà in grado di fare il backup delle voci rimosse

Poi:
- <b>Disattiva il ripristino di configurazione di sistema</b>,
guida-->> http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

- <b>Riavvia in modalità provvisoria</b>
guida-->> http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=NA

- <b>Assicurati di avere accesso a file e cartelle nascosti</b>
(Pannello di controllo--> Opzioni Cartella--> Visualizzazione) metti la spunta su:
1)Visualizza file e cartelle nascoste
2)Disattiva nascondi file e cartelle di sistema

- Ora tasto destro sul file <b>.inf</b> salvato sul desktop e seleziona installa

- Avvia hijackthis, metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni
chiuse e disconnesso da Internet,premi su <b>fix checked</b>
O2 - BHO: (no name) - {46ecdbea-47ba-4a9f-b3fb-14825c3207b0} - C:\WINDOWS\system32:xgaa.
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com

- Cerca ed elimina
C:\WINDOWS\system32:<b>xgaa.dll</b>
<b>Nota__</b>se i file non compaiono in modalità provvisoria vanno cercati dalla modalità normale

- Dai una ripulita ai files inutili,temp etc con Ccleaner -->> http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1223
PS:prima di usarlo vai in opzioni-->avanzate e togli la spunta da:(elimina file di windows solo se piu vecchi di 48 ore)

- Ritorna in modalità normale,riattiva il ripristino config.di sistema e facci sapere come va

- Al limite fai anche uno scan online:
BitDefender
http://www.bitdefender.com/scan8/
oppure
Panda
http://www.pandasoftware.com/activescan/it/activescan_principal.htm
Torna in alto
 
lopix
Inviato: Wednesday, June 21, 2006 1:41:48 PM
Rank: Member

Iscritto dal : 7/24/2004
Posts: 0
Ciao, come faccio a copiare il link http://www.mvps.org/winhelp2002/DelDomains.inf sul desktop ?
Torna in alto
 
steven75
Inviato: Wednesday, June 21, 2006 2:04:28 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
C'é scritto affianco <img src=icon_smile_tongue.gif border=0 align=middle>
(Tasto destro sul link e salvalo sul desktop)
Torna in alto
 
lopix
Inviato: Wednesday, June 21, 2006 3:24:59 PM
Rank: Member

Iscritto dal : 7/24/2004
Posts: 0
Ciao, ho un problema, in modalità provvisoria il link salvato non c'é più, il link l'ho salvato nel seguente modo sul desktop, tasto dx. sul link poi salva oggetto come... selezionato desktop e poi salva.
Nel opzione cartella ho spuntato visualizza file e cartelle nascoste mentre per disattivare nascondi file e cartelle di sistema, non lo trovo, la dicitura che più si avvicina è nascondi file protetti di sistema (consigliato)..è quello giusto? dove ho sbagliato?
Torna in alto
 
steven75
Inviato: Wednesday, June 21, 2006 3:53:14 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Si é quello....
il procedimento per il file .inf fallo dalla modalità normale
Torna in alto
 
lopix
Inviato: Thursday, June 22, 2006 12:34:15 PM
Rank: Member

Iscritto dal : 7/24/2004
Posts: 0
Ciao, ecco quello che ho fatto, in modalità normale, sul file.inf salvato sul desktop, ho cliccato su installa , non si è aperto nessun programma per l’installazione, l’unica cosa apparsa è la clessidra per alcuni secondi, l’avrà installato?. In modalità provvisoria ho eseguito hijackthis, nel spuntare le voci che mi hai indicato, ho trovato solo la 02, mentre le due 015 non c’erano più (ho fatto un'altra scansione in modalità normale, sono sparite). Il file C.\Windows\system32:xgaa.dll l’ho cercato sia in modalità provvisoria e non, più con l’opzione “Cerca”, non si trova. Al posto di Ccleaner ho usato RegSeeker, penso che sia lo stesso? Poi ho fatto una scansione on-line con BitDefender, ha trovato 18 files infettati da questi 5 tipi di virus: Trojan.Agent.Hu – Trojan.Dialer.On – Exploit.Win32.Wmf-Pfv.C - Exploit.Onload.A - Exploit.Html.Codebase.Exec.Gen, le ha tutti eliminati. Questa mattina ho provato a fare una seconda scansione con BitDefender, che sorpresa ha trovato altri 5 files infetti da questi 2 virus: Trojan.Dialer.On - Exploit.Html.Codebase.Exec.Gen.]
Torna in alto
 
lopix
Inviato: Thursday, June 22, 2006 1:19:28 PM
Rank: Member

Iscritto dal : 7/24/2004
Posts: 0
Ho fatto anche una scansione on-line con Panda antivirus è risulta questo:
Incidente Stato Percorso

Spyware:Cookie/Falkag Non Disinfettato C:\Documents and Settings\Darisa & Giuseppe\Cookies\darisa & giuseppe@as-eu.falkag[1].txt
Spyware:Cookie/Itrack Non Disinfettato C:\Documents and Settings\Darisa & Giuseppe\Cookies\darisa & giuseppe@ilead.itrack[2].txt
Spyware:Cookie/Statcounter Non Disinfettato C:\Documents and Settings\Darisa & Giuseppe\Cookies\darisa & giuseppe@statcounter[2].txt
Strumenti indesiderati:Application/Processor Non Disinfettato C:\Documents and Settings\Darisa & Giuseppe\Documenti\Web\FILE DOWNLOAD\a\SmitfraudFix\Process.exe
Strumenti indesiderati:Application/Processor Non Disinfettato C:\Documents and Settings\Darisa & Giuseppe\Documenti\Web\FILE DOWNLOAD\a\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Strumenti indesiderati:Application/Processor Non Disinfettato C:\Documents and Settings\Darisa & Giuseppe\Documenti\Web\FILE DOWNLOAD\k\smitRem.exe[smitRem/Process.exe]
Adware:Adware/SaveNow Non Disinfettato C:\Documents and Settings\Darisa & Giuseppe\Impostazioni locali\Temp\saveinstwm.exe
Strumenti indesiderati:Application/Processor Non Disinfettato C:\WINDOWS\system32\Process.exe
Torna in alto
 
steven75
Inviato: Thursday, June 22, 2006 1:54:32 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Ciao
Allora se mi avresti ascoltato un po di piu era meglio ,
1)RegSeeker serve per il registro , mentre Ccleaner elimina i files inutili , temp , cookie etc , e quindi avrebbe eliminato anche quello che ti ha trovato panda.....
2)Per quanto riguarda l'infezione process.exe si tratta di un falso positivo
3)il file .inf serve proprio a sistemare la trusted zone e ad eliminare le voci 015
4) Elimina tutti i file temp , cookie , etc e dovresti essere apposto

Riscontri ancora problemi?

Comunque se capita spesso che la scansione online ti trova virus e il tuo antivirus non vede niente ,ti consilgierei di reinstallare il tutto
Torna in alto
 
lopix
Inviato: Friday, June 23, 2006 12:05:52 AM
Rank: Member

Iscritto dal : 7/24/2004
Posts: 0
Ciao, grazie per il chiarimento, adesso l'ho capito bene. Ho dato una ripulita con Ccleaner, per quanto riguarda il PC sembra di nuovo tutto a posto, in caso (spero di NO)farò sapere. Ti ringrazio tantissimo per il Tuo grande aiuto,Ciao.
Torna in alto
 
steven75
Inviato: Friday, June 23, 2006 12:16:11 AM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Di niente figurati , a disposizione...
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Mi controllate il file log


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.