Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » PROBLEMA TROJAN!!

2 pages: [1] 2
PROBLEMA TROJAN!! Opzioni
Topic Precedente · Topic Sucessivo
thething
Inviato: Monday, August 04, 2008 9:20:54 PM
Rank: Newbie

Iscritto dal : 8/4/2008
Posts: 1
cavolo ogni santa volta k m connetto, Avast m becca due virus...ma a quanto pare nn riesce a cancellarli o a metterli nel cestino...

Anxious Anxious

Avast dice k sn "Win32: Trojan-gen [Other]"...ecco dv becca i virus...
C:\WINDOWS\system32\AppCert\hb241g.dll
C:\WINDOWS\system32\AppCert\prx992h.dll
in più trova a volte file infettati nei Temporary Internet Files...

x ora nn sembrano dare grossi problemi..se nn fosse x lo scasso d vedersi aprire continuamente la segnalazione dell'antivirus!!Brick wall

ho fatto scan cn Avast, SUPERAntiSpyware, VirIt e Spybot... ma niente! ank se trovano i virus (cm nel caso d Avast) cmq nn riescono a eliminarli definitivamente xkè poi sembrano riapparire...nel vero senso della parola...
avete qualche consiglio? qualke software da scaricare k faccia al caso mio?!

help---




PS.nn so se può centrare qualcosa, se questo sia collegato o meno ai Trojan, ma quando cerco d avviare il gioco online World of Warcraft..appeno cerco di connettermi al server ed entrare nel mondo virtuale... salta fuori un errore k m dice k la memoria virtuale della connessione a Internet nn è sufficiente... strano xkè ho sempre giocato a WoW senza problemi!
Torna in alto
 
Sponsor
Inviato: Monday, August 04, 2008 9:20:54 PM

 
Torna in alto
 
r16
Inviato: Monday, August 04, 2008 10:28:47 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Per capirne di più, posta un log di HijackThis.
Torna in alto
 
antonpaco
Inviato: Tuesday, August 05, 2008 5:06:01 PM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
non potrebbe fare una scansione con il trendo micro?
Torna in alto
 
r16
Inviato: Tuesday, August 05, 2008 5:12:44 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
antonpaco ha scritto:
non potrebbe fare una scansione con il trendo micro?

No antonpaco, serve un log di HijackThis.
Anche se trend micro, lo eliminasse, la chiave del registro associata al troyan,lo rigenera all'avvio.
Torna in alto
 
thething
Inviato: Sunday, August 10, 2008 8:03:57 PM
Rank: Newbie

Iscritto dal : 8/4/2008
Posts: 1
scusa se c ho messo tanto...
ecco il log HijackThis dopo la pulizia incrociata di CCleaner e RegSeeker:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.21.42, on 10/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {156D5BC1-A014-4E75-910D-1CF6029D4FD2} - c:\windows\system32\hdaqxxb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus Photo R265 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBNE.EXE /FU "C:\DOCUME~1\Renato\IMPOST~1\Temp\E_SD.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EF52673-2BC1-4D00-8490-3D6E5BCAAA80}: NameServer = 193.70.152.15 193.70.152.25
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: cgbidrmq - C:\WINDOWS\SYSTEM32\hdaqxxb.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Avast4\ashWebSv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\PROGRAMMI\VIRIT\viritsvc.exe

--
End of file - 4716 bytes
Torna in alto
 
r16
Inviato: Sunday, August 10, 2008 10:12:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Se non sai "fixare"le voci,segui questa guida dettagliata: http://www.aiutaamici.com/software?ID=11175

Avvia in modalità provvisoria http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O2 - BHO: (no name) - {156D5BC1-A014-4E75-910D-1CF6029D4FD2} - c:\windows\system32\hdaqxxb.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: cgbidrmq - C:\WINDOWS\SYSTEM32\hdaqxxb.dll
Trova e cancella i file in rosso:
C:\WINDOWS\SYSTEM32\hdaqxxb.dll
Fai una scansione con Virit,in MODALITA PROVVISORIA.
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Riavvia il pc.
Fai una scansione on-line con questo http://housecall.trendmicro.com/it/
Riposta un nuovo log di HijackThis
POI:
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.
Posta un nuovo log di HijackThis .
Sempre qui.
ComboFix non funziona in modalità provvisoria
E' possibile, che quella dll (hdaqxxb.dll) non si cancelli.
Allora bisognerà intervenire sul Registro.
Torna in alto
 
thething
Inviato: Tuesday, August 12, 2008 6:52:11 PM
Rank: Newbie

Iscritto dal : 8/4/2008
Posts: 1
con HijackThis ho cercato d fixare le 3 voci k m hai detto... ma quelle k menzionano il hdaqxxb.dll (anke se HijackThis afferma d averle fixate) ritornano ripetendo lo scan.
ho provatop a cancellare hdaqxxb.dll ma è bloccato. ho usato Unlocker e (nonostante sembra funzionare tt a dovere) il dll è sempre lì al riavvio del computer...
VirIt e TrendMicro hanno trovato qualcosina, ma niente d rilevante... nessun Trojan...
...in più nemmeno ComboFix sembra in grado d cancellare il dll.ecco il log:

Code:
ComboFix 08-08-11.01 - thething 2008-08-12 18:34:51.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1040.18.300 [GMT 2:00]
Eseguito da: C:\Documents and Settings\thething\Desktop\ComboFix.exe

[color=red][b]ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000011_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
C:\WINDOWS\system32\appcert
C:\WINDOWS\system32\hdaqxxb.dll . . . . Eliminazione Fallita

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RJRYXSJA
-------\Service_rjryxsja


(((((((((((((((((((((((((   Files Creati Da 2008-07-12 al 2008-08-12  )))))))))))))))))))))))))))))))))))
.

2008-08-10 22:59 . 2008-08-10 22:59    <DIR>    d--------    C:\WINDOWS\Sun
2008-08-10 22:57 . 2008-08-10 22:57    <DIR>    d--------    C:\Programmi\Java
2008-08-10 22:57 . 2005-04-13 03:48    49,265    --a------    C:\WINDOWS\system32\jpicpl32.cpl
2008-08-10 22:56 . 2008-08-10 22:56    <DIR>    d--------    C:\Programmi\File comuni\Java
2008-08-10 22:53 . 2008-08-12 14:56    <DIR>    d--------    C:\Documents and Settings\Renato\.housecall6.6
2008-07-31 14:52 . 2008-07-31 14:52    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\Auslogics
2008-07-31 09:45 . 2008-07-31 09:45    <DIR>    d--------    C:\Programmi\AusLogics Disk Defrag
2008-07-31 09:34 . 2008-07-31 09:34    <DIR>    d--------    C:\Programmi\Spybot
2008-07-31 09:34 . 2008-08-04 11:58    <DIR>    d--------    C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-07-31 09:17 . 2008-07-31 09:17    <DIR>    d--------    C:\Programmi\Ad-Aware SE Personal
2008-07-31 09:17 . 2008-07-31 09:17    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\Lavasoft
2008-07-30 19:09 . 2008-07-30 19:12    <DIR>    d--------    C:\Programmi\SysClean
2008-07-30 10:09 . 2008-07-30 10:09    <DIR>    d--------    C:\Programmi\TrueCrypt
2008-07-30 10:09 . 2008-07-30 14:25    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\TrueCrypt
2008-07-30 10:09 . 2008-07-30 10:09    235,840    --a------    C:\WINDOWS\system32\drivers\truecrypt.sys
2008-07-30 09:54 . 2008-07-30 09:54    253,952    ---------    C:\WINDOWS\Setup1.exe
2008-07-30 09:54 . 2008-07-30 09:54    74,752    --a------    C:\WINDOWS\ST6UNST.EXE
2008-07-29 14:04 . 2008-08-12 12:27    <DIR>    d--------    C:\Programmi\VirIt
2008-07-29 14:04 . 2008-03-17 19:23    39,808    --a------    C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-07-29 13:30 . 2008-07-29 13:30    <DIR>    d--------    C:\Programmi\RegSeeker
2008-07-29 12:06 . 2008-07-29 12:06    <DIR>    d--------    C:\Programmi\SUPERAntiSpyware
2008-07-29 12:06 . 2008-07-29 12:06    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\SUPERAntiSpyware.com
2008-07-29 12:06 . 2008-07-29 12:06    <DIR>    d--------    C:\Documents and Settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2008-07-29 12:05 . 2008-07-29 12:05    <DIR>    d--------    C:\Programmi\File comuni\Wise Installation Wizard
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    d--h-----    C:\Documents and Settings\Administrator\Risorse di stampa
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    d--h-----    C:\Documents and Settings\Administrator\Risorse di rete
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    d--------    C:\Documents and Settings\Administrator\Preferiti
2008-07-29 10:58 . 2006-11-12 20:10    <DIR>    d--h-----    C:\Documents and Settings\Administrator\Modelli
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    dr-------    C:\Documents and Settings\Administrator\Menu Avvio
2008-07-29 10:58 . 2008-08-12 18:36    <DIR>    d--h-----    C:\Documents and Settings\Administrator\Impostazioni locali
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    d--------    C:\Documents and Settings\Administrator\Documenti
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    dr-h-----    C:\Documents and Settings\Administrator\Dati applicazioni
2008-07-29 10:58 . 2008-07-29 10:58    <DIR>    d--------    C:\Documents and Settings\Administrator
2008-07-29 10:41 . 2008-07-29 10:43    <DIR>    d--------    C:\Programmi\Unlocker
2008-07-29 10:41 . 2008-07-29 10:41    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\Desktopicon
2008-07-28 12:06 . 2008-07-28 12:06    <DIR>    d--------    C:\Programmi\Electronic Arts
2008-07-28 12:06 . 2005-06-24 16:24    438,272    -ra------    C:\WINDOWS\system32\vp6vfw.dll
2008-07-28 12:06 . 2004-12-10 09:06    327,680    --a------    C:\WINDOWS\system32\vp6dec.ax
2008-07-27 23:15 . 2008-07-28 10:40    <DIR>    d--------    C:\Programmi\CCleaner
2008-07-27 20:53 . 2008-07-27 23:26    <DIR>    d--------    C:\Programmi\Avast4
2008-07-22 18:30 . 2008-07-26 20:55    54,156    --ah-----    C:\WINDOWS\QTFont.qfn
2008-07-22 18:30 . 2008-07-22 18:30    1,409    --a------    C:\WINDOWS\QTFont.for
2008-07-21 18:45 . 2008-07-21 18:45    137    --a------    C:\WINDOWS\system32\MRT.INI
2008-07-21 17:05 . 2008-07-21 17:05    <DIR>    d--------    C:\Documents and Settings\Angelo\Dati applicazioni\dpacvtsw
2008-07-20 21:08 . 2008-08-10 19:52    1,439    --a------    C:\Documents and Settings\All Users\Dati applicazioni\ustore.dat

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-28 10:06    ---------    d--h--w    C:\Programmi\InstallShield Installation Information
2008-07-28 08:42    ---------    d-----w    C:\Programmi\MSN Messenger
2008-07-28 08:42    ---------    d-----w    C:\Programmi\Messenger Plus! Live
2008-07-27 18:49    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\AVG7
2008-07-27 18:49    ---------    d-----w    C:\Documents and Settings\Angelo\Dati applicazioni\AVG7
2008-07-27 18:49    ---------    d-----w    C:\Documents and Settings\All Users\Dati applicazioni\avg7
2008-07-22 18:17    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\uTorrent
2008-07-13 11:42    ---------    d-----w    C:\Programmi\eMule
2008-07-11 11:52    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\Vso
2008-07-08 08:27    ---------    d-----w    C:\Programmi\BitTorrent
2008-07-08 08:06    ---------    d-----w    C:\Programmi\uTorrent
2008-07-06 15:53    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\BitTorrent
2008-06-30 12:28    ---------    d-----w    C:\Documents and Settings\NetworkService\Dati applicazioni\dpacvtsw
2008-06-30 11:31    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\dpacvtsw
2008-06-20 17:39    247,296    ----a-w    C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45    360,320    ----a-w    C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44    138,368    ----a-w    C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52    225,920    ----a-w    C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59    272,768    ------w    C:\WINDOWS\system32\drivers\bthport.sys
2007-06-07 13:49    81,920    ----a-w    C:\Documents and Settings\Renato\Dati applicazioni\ezpinst.exe
2007-06-07 13:49    47,360    ----a-w    C:\Documents and Settings\Renato\Dati applicazioni\pcouffin.sys
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{156D5BC1-A014-4E75-910D-1CF6029D4FD2}]
2001-08-31 14:00    105472    --a------    c:\windows\system32\hdaqxxb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:39 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2007-09-09 17:39 286720]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48 36975]
"GSICONEXE"="GSICON.EXE" [2001-10-16 19:35 75776 C:\WINDOWS\system32\gsicon.exe]
"DSLAGENTEXE"="dslagent.exe" [2001-10-02 10:42 16384 C:\WINDOWS\system32\dslagent.exe]
"SoundMan"="SOUNDMAN.EXE" [2002-10-16 12:24 47104 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:39 15360]

C:\Documents and Settings\Renato\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma.lnk - C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winek84.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winwc05.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winwd41.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Utilità di pianificazione di LiveUpdate automatico"=2 (0x2)
"usnjsvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programmi\\MSN Messenger\\livecall.exe"=
"C:\\Programmi\\uTorrent\\uTorrent.exe"=

R0 lgfgnvek;lgfgnvek;C:\WINDOWS\system32\drivers\lgfgnvek.sys [2001-08-31 14:00]
R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\system32\drivers\VIRAGTLT.SYS [2008-03-17 19:23]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 22:38]
R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 12:58]
R3 gaausb;D-Link DSL-200 USB ADSL Modem(ATM);C:\WINDOWS\system32\DRIVERS\gaausb.sys [2001-09-28 13:06]
R3 TTDec;ATI WDM Teletext Decoder (Microsoft Corporation);C:\WINDOWS\system32\DRIVERS\ATINTTXX.sys [2004-08-03 23:29]
S0 Winek84;Winek84;C:\WINDOWS\system32\Drivers\Winek84.sys []
S0 Winwd41;Winwd41;C:\WINDOWS\system32\Drivers\Winwd41.sys []
S2 gafwload;D-Link DSL-200 USB ADSL Loader;C:\WINDOWS\system32\DRIVERS\gafwload.sys [2001-09-28 13:07]
S2 viritsvclite;Virit eXplorer Lite;C:\PROGRAMMI\VIRIT\viritsvc.exe [2008-07-29 14:05]
S3 AtmElan;LAN ATM emulata;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2004-08-03 23:58]
S3 AtmLane;Emulazione LAN ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2004-08-03 23:58]
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
rjryxsja

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfc75f34-1815-11dd-a9fa-0050ba96ad46}]
\Shell\AutoRun\command - I:\InstallTomTomHOME.exe
.
- - - - ORFÃOS REMOVIDOS - - - -

Toolbar-ID - (no file)
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.it/ig
O8 -: E&sporta in Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-12 18:36:55
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-08-12 18:38:06
ComboFix-quarantined-files.txt  2008-08-12 16:38:02

Pre-Run: 14,364,172,288 byte disponibili
Post-Run: 14,353,231,872 byte disponibili

181    --- E O F ---    2008-07-29 22:24:43


a breve posto d nuovo il log di HijackThis...ank se nn sarà molto diverso dall'ultimo già postato!
Torna in alto
 
r16
Inviato: Tuesday, August 12, 2008 10:04:56 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Usiamo le maniere forti.
Segui il percorso di questa chiave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Clicca sul + di Browser Helper Objects.
Sotto vedrai una serie di valori.
Cerca il valore {156D5BC1-A014-4E75-910D-1CF6029D4FD2} cliccaci sopra la cartellina gialla con il tasto destro e scegli Elimina.
Sulla destra, dovresti vedere c:\windows\system32\hdaqxxb.dll (è probalile,che una volta eliminata la cartellina gialla, non troverai niente)
Elimini con il tasto destro c:\windows\system32\hdaqxxb.dll
Fai attenzione,a non sbagliare nel cancellare il valore,deve essere questo:{156D5BC1-A014-4E75-910D-1CF6029D4FD2}
Se ti trovi in difficoltà, o hai qualche dubbio, sono qui.
Torna in alto
 
thething
Inviato: Tuesday, August 12, 2008 11:07:45 PM
Rank: Newbie

Iscritto dal : 8/4/2008
Posts: 1
r16 ha scritto:
Usiamo le maniere forti.
Segui il percorso di questa chiave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Clicca sul + di Browser Helper Objects.
Sotto vedrai una serie di valori.
Cerca il valore {156D5BC1-A014-4E75-910D-1CF6029D4FD2} cliccaci sopra la cartellina gialla con il tasto destro e scegli Elimina.
Sulla destra, dovresti vedere c:\windows\system32\hdaqxxb.dll (è probalile,che una volta eliminata la cartellina gialla, non troverai niente)
Elimini con il tasto destro c:\windows\system32\hdaqxxb.dll
Fai attenzione,a non sbagliare nel cancellare il valore,deve essere questo:{156D5BC1-A014-4E75-910D-1CF6029D4FD2}
Se ti trovi in difficoltà, o hai qualche dubbio, sono qui.

ecco 2 problemi:
all'interno della cartella {156D5BC1-A014-4E75-910D-1CF6029D4FD2} nn è presente hdaqxxb.dll! sulla destra c'è solo un elemento k s kiama (Predefinito)
per di più nn riesco a cancellare la cartella {156D5BC1-A014-4E75-910D-1CF6029D4FD2}... m dice è impossibile eliminare la cartella xkè c'è stato un errore nell'eliminazione della chiave.

..........Brick wall
Torna in alto
 
r16
Inviato: Tuesday, August 12, 2008 11:15:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vai sopra la cartellina con il valore {156D5BC1-A014-4E75-910D-1CF6029D4FD2} .
Tasto destro.
Scegli AUTORIZZAZIONI.
Seleziona il tuo Users.
Metti la spunta sul quadrettino: "controllo completo"
Clicca su APPLICA e poi OK
Riprova a eliminarla.
Una volta eliminata,vai in C:\WINDOWS\system32\hdaqxxb.dll ed elimina quella dannata dll.
Altro sistema:
Segui il percorso di questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
Guarda cosa c'è dentro la cartella Notify.
Se non c'è niente,clicca sul + della cartella Notify.
Sotto,controlla se vedi un'altra cartellina con scritto: cgbidrmq
La apri, e sulla destra, trovi C:\WINDOWS\system32\hdaqxxb.dll
Elimini sia la cartellina con scritto:cgbidrmq che C:\WINDOWS\system32\hdaqxxb.dll
Se non si fà eliminare rifai la procedura delle AUTORIZZAZIONI, come descritto sopra.
Non mi faccio fregare da una stupida dll.
Torna in alto
 
thething
Inviato: Wednesday, August 13, 2008 9:28:23 AM
Rank: Newbie

Iscritto dal : 8/4/2008
Posts: 1
mmmm...

la cartella {156D5BC1-A014-4E75-910D-1CF6029D4FD2} nn vuole proprio cancellarsi!Shame on you se vado in autorizzazioni quando clikko applica m dice: "Accesso negato"

invece cn l'altro procedimento... in Notify nn c'è nessuna cartella k s chiami cgbidrmq Thinkboh---

cmq..tra una cosa e l'altra nn m sono accorto k Avast! nn rileva più, quando m connetto, i due virus trojan x i quali ho aperto questa discussione...
in altre parole: il mio problema sembra risolto..cn o senza il maledetto hdaqxxb.dll...
nn so... in effetti il dll nn m ha mai dato direttamenti problemi......................Whistle
Torna in alto
 
r16
Inviato: Wednesday, August 13, 2008 12:25:56 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
No accidenti.
Quella dll, è la parte finale del troyan.
Fai:
Start\esegui\ digita regedit.
Clicca sulla cartella principale con il tasto destro su HKEY_LOCAL_MACHINE
Clicca AUTORIZZAZIONI.
SELEZIONA ADMINISTRATORS
METTI la spunta su Controllo completo.

Clicca APPLICA, e poi OK.
Adesso quella chiave,è nelle tue mani completamente,non è possibile che tu non riesca a eliminare quel valore.
Se non funziona:
Start\esegui\ digita regedit.
Clicca sulla cartella principale con il tasto destro su HKEY_LOCAL_MACHINE
Clicca AUTORIZZAZIONI.
SELEZIONA EVERYONE
METTI la spunta su Controllo completo.
Clicca APPLICA, e poi OK.
E postami per favore, un nuovo log di HijackThis.
Torna in alto
 
thething
Inviato: Wednesday, August 13, 2008 3:06:10 PM
Rank: Newbie

Iscritto dal : 8/4/2008
Posts: 1
ho impostato le autorizzazioni su "Controllo completo" x tt gli users nella cartella principale HKEY_LOCAL_MACHINE...
ma sembra k le autorizzazioni nn si trasmettano anke alle sottochiavi...nn so se è normale...in ogni caso nn riesco a cancellare la cartella{156D5BC1-A014-4E75-910D-1CF6029D4FD2}

ora posto HijackThis
Torna in alto
 
r16
Inviato: Wednesday, August 13, 2008 3:34:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Porc ....Brick wall Brick wall
Non volevo farti usare questo Tooll, ma ci sono costretto.
Scarica :
http://malwarebytes.org/RegASSASSIN.exe
Salvalo sul Desktop.
Basterà aprire l'editor di registro tramite start>esegui>regedit>ok portarsi nella chiave interessata (in questo caso sulla cartellina di quel maledetto valore) cliccare col tasto destro su di essa,quindi su "copia chiave con nome" e incollare sul riquadro di reg assassin quindi cliccare su "delete" e confermare le successive finestre di avviso con ok.
Torna in alto
 
thething
Inviato: Thursday, August 14, 2008 10:12:19 AM
Rank: Newbie

Iscritto dal : 8/4/2008
Posts: 1
mmmmmmmmm...
RegAssassin dopo aver selezionato la chiave e clikkato su Delete..dice..testuali parole:
Commenta:
RegASSASSIN could NOT remove the registry key.


Anxious
Torna in alto
 
r16
Inviato: Thursday, August 14, 2008 12:49:46 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
thething ha scritto:
mmmmmmmmm...
RegAssassin dopo aver selezionato la chiave e clikkato su Delete..dice..testuali parole:
Commenta:
RegASSASSIN could NOT remove the registry key.


Anxious

A questo punto cosa vuoi che ti dica........Think Think
Non mi è mai capitato una cosa del genere,sei solo tu che usa il pc?
Sei sicuro di essere tu l'ADMINISTRATORS ?
Ti chiedo 2 ultime cose:
Fai un'altra scansione con Combofix,e postami il log.(ricordati di disattivare l'antivirus)
Postami un ultimo log di hijackthis.
Poi :
Disinstalla combofix in questo modo:
Start
Esegui
nella finestra di dialogo, digita (oppure, copia ed incolla) questo comando: Combofix /u e premi invio poi cancella le cartelle in "C" di combofix (qoobox)
Per disistallare Virit,fai :
Start\Tutti Programmi, e trovi il suo Unistall.
Per eliminare RegASSASSIN, devi solo cestinarlo.
Torna in alto
 
thething
Inviato: Friday, August 15, 2008 12:23:42 PM
Rank: Newbie

Iscritto dal : 8/4/2008
Posts: 1
Eh? Eh? Eh?
ho altri 2 user, ma ho impostato tt come ADMIN...
ecco il log di ComboFix
Code:
ComboFix 08-08-11.01 - thething 2008-08-15 10.49.05 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1040.18.300 [GMT 2:00]
Eseguito da: C:\Documents and Settings\thething\Desktop\ComboFix.exe

[color=red][b]ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000011_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
C:\WINDOWS\system32\appcert
C:\WINDOWS\system32\hdaqxxb.dll . . . . Eliminazione Fallita

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RJRYXSJA
-------\Service_rjryxsja


(((((((((((((((((((((((((   Files Creati Da 2008-07-12 al 2008-08-15  )))))))))))))))))))))))))))))))))))
.

2008-08-10 22:59 . 2008-08-10 22:59    <DIR>    d--------    C:\WINDOWS\Sun
2008-08-10 22:57 . 2008-08-10 22:57    <DIR>    d--------    C:\Programmi\Java
2008-08-10 22:57 . 2005-04-13 03:48    49,265    --a------    C:\WINDOWS\system32\jpicpl32.cpl
2008-08-10 22:56 . 2008-08-10 22:56    <DIR>    d--------    C:\Programmi\File comuni\Java
2008-08-10 22:53 . 2008-08-12 14:56    <DIR>    d--------    C:\Documents and Settings\Renato\.housecall6.6
2008-07-31 14:52 . 2008-07-31 14:52    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\Auslogics
2008-07-31 09:45 . 2008-07-31 09:45    <DIR>    d--------    C:\Programmi\AusLogics Disk Defrag
2008-07-31 09:34 . 2008-07-31 09:34    <DIR>    d--------    C:\Programmi\Spybot
2008-07-31 09:34 . 2008-08-04 11:58    <DIR>    d--------    C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-07-31 09:17 . 2008-07-31 09:17    <DIR>    d--------    C:\Programmi\Ad-Aware SE Personal
2008-07-31 09:17 . 2008-07-31 09:17    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\Lavasoft
2008-07-30 19:09 . 2008-07-30 19:12    <DIR>    d--------    C:\Programmi\SysClean
2008-07-30 10:09 . 2008-07-30 10:09    <DIR>    d--------    C:\Programmi\TrueCrypt
2008-07-30 10:09 . 2008-07-30 14:25    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\TrueCrypt
2008-07-30 10:09 . 2008-07-30 10:09    235,840    --a------    C:\WINDOWS\system32\drivers\truecrypt.sys
2008-07-30 09:54 . 2008-07-30 09:54    253,952    ---------    C:\WINDOWS\Setup1.exe
2008-07-30 09:54 . 2008-07-30 09:54    74,752    --a------    C:\WINDOWS\ST6UNST.EXE
2008-07-29 14:04 . 2008-08-12 12:27    <DIR>    d--------    C:\Programmi\VirIt
2008-07-29 14:04 . 2008-03-17 19:23    39,808    --a------    C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-07-29 13:30 . 2008-07-29 13:30    <DIR>    d--------    C:\Programmi\RegSeeker
2008-07-29 12:06 . 2008-07-29 12:06    <DIR>    d--------    C:\Programmi\SUPERAntiSpyware
2008-07-29 12:06 . 2008-07-29 12:06    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\SUPERAntiSpyware.com
2008-07-29 12:06 . 2008-07-29 12:06    <DIR>    d--------    C:\Documents and Settings\All Users\Dati applicazioni\SUPERAntiSpyware.com
2008-07-29 12:05 . 2008-07-29 12:05    <DIR>    d--------    C:\Programmi\File comuni\Wise Installation Wizard
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    d--h-----    C:\Documents and Settings\Administrator\Risorse di stampa
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    d--h-----    C:\Documents and Settings\Administrator\Risorse di rete
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    d--------    C:\Documents and Settings\Administrator\Preferiti
2008-07-29 10:58 . 2006-11-12 20:10    <DIR>    d--h-----    C:\Documents and Settings\Administrator\Modelli
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    dr-------    C:\Documents and Settings\Administrator\Menu Avvio
2008-07-29 10:58 . 2008-08-12 18:36    <DIR>    d--h-----    C:\Documents and Settings\Administrator\Impostazioni locali
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    d--------    C:\Documents and Settings\Administrator\Documenti
2008-07-29 10:58 . 2006-11-12 20:03    <DIR>    dr-h-----    C:\Documents and Settings\Administrator\Dati applicazioni
2008-07-29 10:58 . 2008-07-29 10:58    <DIR>    d--------    C:\Documents and Settings\Administrator
2008-07-29 10:41 . 2008-07-29 10:43    <DIR>    d--------    C:\Programmi\Unlocker
2008-07-29 10:41 . 2008-07-29 10:41    <DIR>    d--------    C:\Documents and Settings\Renato\Dati applicazioni\Desktopicon
2008-07-28 12:06 . 2008-07-28 12:06    <DIR>    d--------    C:\Programmi\Electronic Arts
2008-07-28 12:06 . 2005-06-24 16:24    438,272    -ra------    C:\WINDOWS\system32\vp6vfw.dll
2008-07-28 12:06 . 2004-12-10 09:06    327,680    --a------    C:\WINDOWS\system32\vp6dec.ax
2008-07-27 23:15 . 2008-07-28 10:40    <DIR>    d--------    C:\Programmi\CCleaner
2008-07-27 20:53 . 2008-07-27 23:26    <DIR>    d--------    C:\Programmi\Avast4
2008-07-22 18:30 . 2008-07-26 20:55    54,156    --ah-----    C:\WINDOWS\QTFont.qfn
2008-07-22 18:30 . 2008-07-22 18:30    1,409    --a------    C:\WINDOWS\QTFont.for
2008-07-21 18:45 . 2008-07-21 18:45    137    --a------    C:\WINDOWS\system32\MRT.INI
2008-07-21 17:05 . 2008-07-21 17:05    <DIR>    d--------    C:\Documents and Settings\Angelo\Dati applicazioni\dpacvtsw
2008-07-20 21:08 . 2008-08-10 19:52    1,439    --a------    C:\Documents and Settings\All Users\Dati applicazioni\ustore.dat

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-28 10:06    ---------    d--h--w    C:\Programmi\InstallShield Installation Information
2008-07-28 08:42    ---------    d-----w    C:\Programmi\MSN Messenger
2008-07-28 08:42    ---------    d-----w    C:\Programmi\Messenger Plus! Live
2008-07-27 18:49    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\AVG7
2008-07-27 18:49    ---------    d-----w    C:\Documents and Settings\Angelo\Dati applicazioni\AVG7
2008-07-27 18:49    ---------    d-----w    C:\Documents and Settings\All Users\Dati applicazioni\avg7
2008-07-22 18:17    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\uTorrent
2008-07-13 11:42    ---------    d-----w    C:\Programmi\eMule
2008-07-11 11:52    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\Vso
2008-07-08 08:27    ---------    d-----w    C:\Programmi\BitTorrent
2008-07-08 08:06    ---------    d-----w    C:\Programmi\uTorrent
2008-07-06 15:53    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\BitTorrent
2008-06-30 12:28    ---------    d-----w    C:\Documents and Settings\NetworkService\Dati applicazioni\dpacvtsw
2008-06-30 11:31    ---------    d-----w    C:\Documents and Settings\Renato\Dati applicazioni\dpacvtsw
2008-06-20 17:39    247,296    ----a-w    C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45    360,320    ----a-w    C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44    138,368    ----a-w    C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52    225,920    ----a-w    C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59    272,768    ------w    C:\WINDOWS\system32\drivers\bthport.sys
2007-06-07 13:49    81,920    ----a-w    C:\Documents and Settings\Renato\Dati applicazioni\ezpinst.exe
2007-06-07 13:49    47,360    ----a-w    C:\Documents and Settings\Renato\Dati applicazioni\pcouffin.sys
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{156D5BC1-A014-4E75-910D-1CF6029D4FD2}]
2001-08-31 14:00    105472    --a------    c:\windows\system32\hdaqxxb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programmi\\MSN Messenger\\livecall.exe"=
"C:\\Programmi\\uTorrent\\uTorrent.exe"=

R0 lgfgnvek;lgfgnvek;C:\WINDOWS\system32\drivers\lgfgnvek.sys [2001-08-31 14:00]
R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\system32\drivers\VIRAGTLT.SYS [2008-03-17 19:23]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R3 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.sys [2003-03-30 22:38]
R3 axskbus;axskbus;C:\WINDOWS\system32\DRIVERS\axskbus.sys [2003-03-28 12:58]
R3 gaausb;D-Link DSL-200 USB ADSL Modem(ATM);C:\WINDOWS\system32\DRIVERS\gaausb.sys [2001-09-28 13:06]
R3 TTDec;ATI WDM Teletext Decoder (Microsoft Corporation);C:\WINDOWS\system32\DRIVERS\ATINTTXX.sys [2004-08-03 23:29]
S0 Winek84;Winek84;C:\WINDOWS\system32\Drivers\Winek84.sys []
S0 Winwd41;Winwd41;C:\WINDOWS\system32\Drivers\Winwd41.sys []
S2 gafwload;D-Link DSL-200 USB ADSL Loader;C:\WINDOWS\system32\DRIVERS\gafwload.sys [2001-09-28 13:07]
S2 viritsvclite;Virit eXplorer Lite;C:\PROGRAMMI\VIRIT\viritsvc.exe [2008-07-29 14:05]
S3 AtmElan;LAN ATM emulata;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2004-08-03 23:58]
S3 AtmLane;Emulazione LAN ATM;C:\WINDOWS\system32\DRIVERS\atmlane.sys [2004-08-03 23:58]
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
rjryxsja

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfc75f34-1815-11dd-a9fa-0050ba96ad46}]
\Shell\AutoRun\command - I:\InstallTomTomHOME.exe
.
- - - - ORFÃOS REMOVIDOS - - - -

Toolbar-ID - (no file)
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.it/ig
O8 -: E&sporta in Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-15 10:54:39
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-08-15 10:49:05
ComboFix-quarantined-files.txt  2008-08-15 10:59:01

Pre-Run: 14,364,172,288 byte disponibili
Post-Run: 14,353,231,872 byte disponibili

181    --- E O F ---    2008-07-29 22:24:43


ora faccio il log HijackThis..
Torna in alto
 
r16
Inviato: Friday, August 15, 2008 1:51:35 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016

C'è poco da fare..........Not talking Not talking
Come temevo il troyan si è rigenerato.
Questo è il troyan:
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000011_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
C:\WINDOWS\system32\appcert
C:\WINDOWS\system32\hdaqxxb.dll . . . . Eliminazione Fallita
Combofix,non riesce a completare l'opera, e da quella dll (spalleggiata dal valore della chiave del registro),riparte tutto.
In rete, non c'è niente che possa darmi qualche indicazione.
Quella dll,(e anche il valore) semplicemente non esistono.
Prova a fare le operazioni che ti ho indicato,nei post precedenti,in Modalità Provvisoria,ma non garantiscono la soluzione,del problema.Sono tentativi.
Guarda nel Task Manager,se vedi qualcosa di correlato (cgbidrmq).
Con la funzione "Cerca (o Trova) vedi se c'è questo cgbidrmq.
Se per miracolo trovi la soluzione,mi faresti un grosso favore comunicarmela.
Questi sono i casi, che vorrei che fosse il mio pc a essere infettato da quel bastardo di troyan.
Mi piacciono le guerre contro di loro.
P.S :Rileggendo tutto il topic,c'è una cosa che non mi quadra:
Saresti riuscito ad avere le AUTORIZZAZIONI, sulla chiave principale (HKEY_LOCAL_MACHINE), e non saresti riuscito ad avere le AUTORIZZAZIONI nella cartella di quel valore?
Sicuro di avere fatto il procedimento corretto?
Torna in alto
 
thething
Inviato: Saturday, August 16, 2008 12:03:38 PM
Rank: Newbie

Iscritto dal : 8/4/2008
Posts: 1
ecco il nuovo log HijackThis:
Commenta:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.24.04, on 16/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {156D5BC1-A014-4E75-910D-1CF6029D4FD2} - c:\windows\system32\hdaqxxb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot\SDHelper.dll
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Avast4\ashMaiSv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\PROGRAMMI\VIRIT\viritsvc.exe

--
End of file - 4496 bytes


in mod provvisoria nn riesco a eliminare la chiave {156D5BC1-A014-4E75-910D-1CF6029D4FD2} né manualmente né cn RegASSASSIN.
nn c'è niente cn il nome cgbidrmq...

all'interno del registro clikko cl dx su HKEY_LOCAL_MACHINE e seleziono "Autorizzazioni..."
la lista che appare NN è la lista degli users.
trovo: "Administrators"; "Everyone"; "RESTRIZIONI"; "SYSTEM"
imposto per tutti e 4 i gruppi "Controllo completo". clikko Applica e poi Ok.
entro nella kiave HKEY_LOCAL_MACHINE sino ad arrivare al valore HKEY_LOCAL_MACHINE\...\Browser Helper Objects\{156D5BC1-A014-4E75-910D-1CF6029D4FD2}...
clikko sulla cartella {156D5BC1-A014-4E75-910D-1CF6029D4FD2} x controllare le "Autorizzazioni..."
la lista k appare NN è la lista degli users. ma NN è nemmeno la lista k c'era prima nelle Autorizzazioni della kiave HKEY_LOCAL_MACHINE.
trovo: "Administrators"; "CREATOR OWNER"; Power Users; SYSTEM; Users
noto k solamente "Administrators" e "SYSTEM" hanno il "Controllo completo"... anke perkè glielo dato io in precedenza nella chiave madre HKEY_LOCAL_MACHINE.
cmq provo a dare "Controllo completo" a tt i gruppi nella lista, ma se poi clikko Applica appare una finestra di errore di nome "Protezione": "Impossibile salvare le modifiche apportante alle autorizzazioni su {156D5BC1-A014-4E75-910D-1CF6029D4FD2}. Accesso negato."
cerco in ogni caso a cancellare la sottokiave {156D5BC1-A014-4E75-910D-1CF6029D4FD2}, ma da errore: "Impossibile eliminare la chiave {156D5BC1-A014-4E75-910D-1CF6029D4FD2}. Errore durante l'eliminazione della chiave."

---

credo d aver fatto tt il possibile...
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » PROBLEMA TROJAN!!


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.