Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Win XP SP3 - Virus Beagle

4 pages: 1 [2] 3 4
Win XP SP3 - Virus Beagle Opzioni
Topic Precedente · Topic Sucessivo
giallogiallo
Inviato: Wednesday, September 24, 2008 4:12:24 PM
Rank: AiutAmico

Iscritto dal : 4/25/2006
Posts: 157
ECCO IL COMBOFIX.TXT
ComboFix 08-09-22.06 - SIMONE 2008-09-24 15.46.42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.1173 [GMT 2:00]
Eseguito da: C:\Documents and Settings\SIMONE\Desktop\ComboFix.exe

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\FRANCESCO\Dati applicazioni\addon.dat
C:\Documents and Settings\LUCIA\Dati applicazioni\addon.dat
C:\Documents and Settings\MARCO\Dati applicazioni\addon.dat
C:\Documents and Settings\SIMONE\Dati applicazioni\addon.dat
C:\InfoSat.txt
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\101796.exe
C:\WINDOWS\system32\drivers\downld\103859.exe
C:\WINDOWS\system32\drivers\downld\104515.exe
C:\WINDOWS\system32\drivers\downld\108687.exe
C:\WINDOWS\system32\drivers\downld\108812.exe
C:\WINDOWS\system32\drivers\downld\111390.exe
C:\WINDOWS\system32\drivers\downld\111640.exe
C:\WINDOWS\system32\drivers\downld\1131015.exe
C:\WINDOWS\system32\drivers\downld\1143328.exe
C:\WINDOWS\system32\drivers\downld\1145203.exe
C:\WINDOWS\system32\drivers\downld\115906.exe
C:\WINDOWS\system32\drivers\downld\1163406.exe
C:\WINDOWS\system32\drivers\downld\1170140.exe
C:\WINDOWS\system32\drivers\downld\1175671.exe
C:\WINDOWS\system32\drivers\downld\119218.exe
C:\WINDOWS\system32\drivers\downld\119609.exe
C:\WINDOWS\system32\drivers\downld\121562.exe
C:\WINDOWS\system32\drivers\downld\1219140.exe
C:\WINDOWS\system32\drivers\downld\1223140.exe
C:\WINDOWS\system32\drivers\downld\123171.exe
C:\WINDOWS\system32\drivers\downld\1245484.exe
C:\WINDOWS\system32\drivers\downld\1258250.exe
C:\WINDOWS\system32\drivers\downld\126000.exe
C:\WINDOWS\system32\drivers\downld\126093.exe
C:\WINDOWS\system32\drivers\downld\126734.exe
C:\WINDOWS\system32\drivers\downld\1280921.exe
C:\WINDOWS\system32\drivers\downld\128703.exe
C:\WINDOWS\system32\drivers\downld\129375.exe
C:\WINDOWS\system32\drivers\downld\131234.exe
C:\WINDOWS\system32\drivers\downld\132109.exe
C:\WINDOWS\system32\drivers\downld\133359.exe
C:\WINDOWS\system32\drivers\downld\135984.exe
C:\WINDOWS\system32\drivers\downld\138421.exe
C:\WINDOWS\system32\drivers\downld\142359.exe
C:\WINDOWS\system32\drivers\downld\147484.exe
C:\WINDOWS\system32\drivers\downld\14854125.exe
C:\WINDOWS\system32\drivers\downld\14885390.exe
C:\WINDOWS\system32\drivers\downld\14888281.exe
C:\WINDOWS\system32\drivers\downld\14910500.exe
C:\WINDOWS\system32\drivers\downld\14917156.exe
C:\WINDOWS\system32\drivers\downld\14920406.exe
C:\WINDOWS\system32\drivers\downld\14924406.exe
C:\WINDOWS\system32\drivers\downld\14961812.exe
C:\WINDOWS\system32\drivers\downld\14982375.exe
C:\WINDOWS\system32\drivers\downld\14993062.exe
C:\WINDOWS\system32\drivers\downld\15015390.exe
C:\WINDOWS\system32\drivers\downld\153031.exe
C:\WINDOWS\system32\drivers\downld\154453.exe
C:\WINDOWS\system32\drivers\downld\161234.exe
C:\WINDOWS\system32\drivers\downld\163859.exe
C:\WINDOWS\system32\drivers\downld\165562.exe
C:\WINDOWS\system32\drivers\downld\167921.exe
C:\WINDOWS\system32\drivers\downld\168156.exe
C:\WINDOWS\system32\drivers\downld\173187.exe
C:\WINDOWS\system32\drivers\downld\173234.exe
C:\WINDOWS\system32\drivers\downld\180046.exe
C:\WINDOWS\system32\drivers\downld\189609.exe
C:\WINDOWS\system32\drivers\downld\193796.exe
C:\WINDOWS\system32\drivers\downld\194140.exe
C:\WINDOWS\system32\drivers\downld\195562.exe
C:\WINDOWS\system32\drivers\downld\198125.exe
C:\WINDOWS\system32\drivers\downld\204734.exe
C:\WINDOWS\system32\drivers\downld\206250.exe
C:\WINDOWS\system32\drivers\downld\220812.exe
C:\WINDOWS\system32\drivers\downld\227312.exe
C:\WINDOWS\system32\drivers\downld\227765.exe
C:\WINDOWS\system32\drivers\downld\231359.exe
C:\WINDOWS\system32\drivers\downld\234125.exe
C:\WINDOWS\system32\drivers\downld\235328.exe
C:\WINDOWS\system32\drivers\downld\237843.exe
C:\WINDOWS\system32\drivers\downld\254296.exe
C:\WINDOWS\system32\drivers\downld\260546.exe
C:\WINDOWS\system32\drivers\downld\266312.exe
C:\WINDOWS\system32\drivers\downld\276265.exe
C:\WINDOWS\system32\drivers\downld\277250.exe
C:\WINDOWS\system32\drivers\downld\287671.exe
C:\WINDOWS\system32\drivers\downld\29427437.exe
C:\WINDOWS\system32\drivers\downld\29439531.exe
C:\WINDOWS\system32\drivers\downld\29442468.exe
C:\WINDOWS\system32\drivers\downld\29473796.exe
C:\WINDOWS\system32\drivers\downld\29481937.exe
C:\WINDOWS\system32\drivers\downld\29484906.exe
C:\WINDOWS\system32\drivers\downld\29490031.exe
C:\WINDOWS\system32\drivers\downld\29527562.exe
C:\WINDOWS\system32\drivers\downld\29605718.exe
C:\WINDOWS\system32\drivers\downld\29616156.exe
C:\WINDOWS\system32\drivers\downld\29638640.exe
C:\WINDOWS\system32\drivers\downld\303703.exe
C:\WINDOWS\system32\drivers\downld\311796.exe
C:\WINDOWS\system32\drivers\downld\6634640.exe
C:\WINDOWS\system32\drivers\downld\6637140.exe
C:\WINDOWS\system32\drivers\downld\6675250.exe
C:\WINDOWS\system32\drivers\downld\6717718.exe
C:\WINDOWS\system32\drivers\downld\6721937.exe
C:\WINDOWS\system32\drivers\downld\6740687.exe
C:\WINDOWS\system32\drivers\downld\6751640.exe
C:\WINDOWS\system32\drivers\downld\6774625.exe
C:\WINDOWS\system32\drivers\downld\704312.exe
C:\WINDOWS\system32\drivers\downld\706125.exe
C:\WINDOWS\system32\drivers\downld\738796.exe
C:\WINDOWS\system32\drivers\downld\744437.exe
C:\WINDOWS\system32\drivers\downld\782890.exe
C:\WINDOWS\system32\drivers\downld\787781.exe
C:\WINDOWS\system32\drivers\downld\808187.exe
C:\WINDOWS\system32\drivers\downld\819437.exe
C:\WINDOWS\system32\drivers\downld\843000.exe
C:\WINDOWS\system32\drivers\downld\94062.exe
C:\WINDOWS\system32\drivers\downld\94265.exe
C:\WINDOWS\system32\drivers\downld\94390.exe
C:\WINDOWS\system32\drivers\downld\95296.exe
C:\WINDOWS\system32\drivers\downld\95531.exe
C:\WINDOWS\system32\drivers\downld\97062.exe
C:\WINDOWS\system32\drivers\downld\97093.exe
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\winsyser.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA


((((((((((((((((((((((((( Files Creati Da 2008-08-24 al 2008-09-24 )))))))))))))))))))))))))))))))))))
.

2008-09-24 00:05 . 2006-11-16 18:01 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2008-09-24 00:05 . 2006-11-16 18:01 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2008-09-24 00:05 . 2006-11-16 18:01 <DIR> d-------- C:\Documents and Settings\Administrator\Preferiti
2008-09-24 00:05 . 2006-11-16 17:10 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2008-09-24 00:05 . 2006-11-16 18:01 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2008-09-24 00:05 . 2008-09-24 15:49 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2008-09-24 00:05 . 2006-11-16 18:01 <DIR> d-------- C:\Documents and Settings\Administrator\Documenti
2008-09-24 00:05 . 2006-11-16 18:01 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni
2008-09-24 00:05 . 2008-09-24 00:05 <DIR> d-------- C:\Documents and Settings\Administrator
2008-09-23 21:32 . 2008-09-23 21:32 <DIR> d-------- C:\VIRUSfighter
2008-09-23 17:26 . 2008-09-23 23:57 <DIR> d-------- C:\Documents and Settings\SIMONE\.housecall6.6
2008-09-19 18:25 . 2008-09-19 18:25 <DIR> d-------- C:\Programmi\Mio Technology
2008-09-19 13:28 . 2008-09-24 15:25 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-19 13:28 . 2008-09-19 13:28 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-16 15:22 . 2004-01-10 20:56 122,880 --a------ C:\WINDOWS\system32\pdfmont.dll
2008-09-11 10:42 . 1999-12-17 11:13 86,016 --a------ C:\WINDOWS\unvise32.exe
2008-09-10 13:15 . 2008-09-10 13:15 24,576 --------- C:\WINDOWS\system32\RCDLL_Polish.dll
2008-09-04 21:51 . 2008-09-04 21:51 <DIR> d-------- C:\Documents and Settings\SIMONE\Dati applicazioni\ScummVM
2008-09-04 21:50 . 2008-09-11 12:57 <DIR> d-------- C:\Programmi\ScummVM
2008-08-30 17:18 . 2008-08-30 17:18 <DIR> d-------- C:\Programmi\Seagate
2008-08-25 14:55 . 2008-08-25 14:55 <DIR> d-------- C:\Programmi\Creative
2008-08-25 14:55 . 2008-08-25 16:42 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Creative
2008-08-25 14:55 . 2006-10-06 14:17 53,248 --------- C:\WINDOWS\Ctregrun.exe
2008-08-25 14:55 . 1999-12-13 09:01 44,032 --------- C:\WINDOWS\system32\CTSVCCDA.EXE
2008-08-25 14:55 . 1999-11-18 09:00 25,088 --------- C:\WINDOWS\system32\CTSVCCTL.EXE
2008-08-24 10:35 . 2008-08-24 10:35 <DIR> d-------- C:\Documents and Settings\LUCIA\Dati applicazioni\PC Suite

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-23 19:32 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-09-23 11:00 --------- d-----w C:\Programmi\MiTAC Research (Shanghai) Ltd
2008-09-22 18:59 --------- d-----w C:\Programmi\HDD Health
2008-09-22 16:31 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Trend Micro
2008-09-21 15:33 --------- d-----w C:\Documents and Settings\SIMONE\Dati applicazioni\foobar2000
2008-09-20 14:11 --------- d-----w C:\Documents and Settings\FRANCESCO\Dati applicazioni\foobar2000
2008-09-14 13:16 --------- d-----w C:\Documents and Settings\FRANCESCO\Dati applicazioni\Ahead
2008-09-11 08:42 --------- d-----w C:\Programmi\La Gazzetta Dello Sport
2008-08-31 21:50 --------- d-----w C:\Documents and Settings\FRANCESCO\Dati applicazioni\DNA
2008-08-31 18:27 --------- d-----w C:\Documents and Settings\SIMONE\Dati applicazioni\uTorrent
2008-08-31 06:52 --------- d-----w C:\Programmi\DNA
2008-08-30 22:58 --------- d-----w C:\Documents and Settings\SIMONE\Dati applicazioni\DNA
2008-08-30 15:17 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-08-25 13:52 --------- d-----w C:\Programmi\C6 Messenger
2008-08-25 13:50 --------- d-----w C:\Programmi\FCM
2008-08-14 20:30 --------- d-----w C:\Programmi\Alice ti aiuta
2008-08-11 18:57 --------- d-----w C:\Programmi\Vivendi Universal Games
2008-08-11 18:54 --------- d-----w C:\Programmi\MagicDisc
2008-08-09 13:26 --------- d-----w C:\Programmi\Vuze
2008-08-09 13:25 --------- d-----w C:\Documents and Settings\SIMONE\Dati applicazioni\Azureus
2008-08-07 04:53 --------- d-----w C:\Programmi\Telecom Italia
2008-08-06 11:20 --------- d-----w C:\Programmi\File comuni\InstallShield
2008-08-02 14:31 --------- d-----w C:\Programmi\MagicISO
2008-07-31 14:52 --------- d-----w C:\Programmi\PFConfig
2008-07-28 15:19 116,736 ----a-w C:\WINDOWS\system32\drivers\mcdbus.sys
2008-07-27 11:22 --------- d-----w C:\Programmi\Azureus
2008-07-27 11:17 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Azureus
2008-05-01 06:42 7,729 ----a-w C:\Documents and Settings\MARCO\antbiasu.exe
2007-02-12 17:42 94,080 ----a-w C:\Documents and Settings\SIMONE\Dati applicazioni\ezplay.sys
2007-02-12 17:42 81,920 ----a-w C:\Documents and Settings\SIMONE\Dati applicazioni\ezpinst.exe
2007-02-12 17:42 47,360 ----a-w C:\Documents and Settings\SIMONE\Dati applicazioni\pcouffin.sys
2008-05-03 18:44 500,224 --sha-r C:\WINDOWS\system32\winsyser .exe
2008-05-10 07:35 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008051020080511\index.dat
.
Code:
<pre>
----a-w           155,648 2006-01-12 13:40:44  C:\Programmi\File comuni\Ahead\Lib\nerocheck .exe
----a-w           153,136 2007-03-01 13:57:24  C:\Programmi\File comuni\Nero\Lib\nerocheck .exe
----a-w            14,348 2008-04-03 19:42:41  C:\Programmi\HDD Health\hddhealth .exe
----a-w            69,632 2002-04-17 09:42:56  C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd .exe
----a-w           106,064 2007-07-14 14:39:26  C:\Programmi\National Instruments\NI-DAQ\HWConfig\nidevmon .exe
----a-w            14,348 2008-04-03 19:42:41  C:\Programmi\Nokia\Nokia PC Suite 6\LAUNCH~1 .exe
----a-w            15,360 2004-08-19 12:00:00  C:\WINDOWS\system32\ctfmon .exe
----a-w           155,648 2001-07-09 09:50:42  C:\WINDOWS\system32\NeroCheck .exe
--sha-r           500,224 2008-05-03 18:44:32  C:\WINDOWS\system32\winsyser .exe
</pre>



((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="C:\Programmi\Messenger\msmsgs.exe" [2008-04-14 1695232]
"AlcoholAutomount"="C:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-24 5537792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-24 86016]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2007-06-29 286720]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"nwiz"="nwiz.exe" [2005-02-24 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2002-06-12 C:\WINDOWS\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Documents and Settings\SIMONE\Menu Avvio\Programmi\Esecuzione automatica\
MagicDisc.lnk - C:\Programmi\MagicDisc\MagicDisc.exe [2008-08-11 575488]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmi\\MSN Messenger\\msnmsger.exe"=
"C:\\Programmi\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programmi\\BitTorrent_DNA\\dna.exe"=
"C:\\Programmi\\DNA\\btdna.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\uTorrent\\uTorrent.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Documents and Settings\\SIMONE\\Documenti\\mIRC Italiano\\mIRC.exe"=
"C:\\Programmi\\File comuni\\Ahead\\Nero Web\\SetupX.exe"=
"C:\\Programmi\\Hewlett-Packard\\hp business inkjet 1200 series\\Toolbox\\HPWNTBX.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"41987:TCP"= 41987:TCP:utorrent

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-11-18 162432]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-11-18 12032]
R2 Network WanMiniport First Position;Network WanMiniport First Position;C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe [2003-04-18 8192]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C5CD9787-54F4-6B5A-7054-5E50F28A8F48}]
C:\WINDOWS\crack\crack.exe s
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\SIMONE\Dati applicazioni\Mozilla\Firefox\Profiles\8ap0dm77.default\
FF -: plugin - C:\Documents and Settings\SIMONE\Documenti\firefox\plugins\npnul32.dll
FF -: plugin - C:\Programmi\DNA\plugins\npbtdna.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 15:51:31
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programmi\Creative\Shared Files\CTDevSrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wpabaln.exe
.
**************************************************************************
.
Ora fine scansione: 2008-09-24 16:02:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-24 14:02:17

Pre-Run: 79.253.667.840 byte disponibili
Post-Run: 79,275,630,592 byte disponibili

304 --- E O F --- 2008-09-10 12:08:51

adesso scarico malwaree lancio pure quello
Torna in alto
 
shapiro
Inviato: Wednesday, September 24, 2008 4:23:02 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
Per favore........shapiro
Ho detto che in 2 si fà solo confusione.


a parte che ho scritto solo la lettera q

la discussione era abbandonata , ma appena sono entrato io con la mia ''soluzione'' sei entrato tu....quindi
Torna in alto
 
giallogiallo
Inviato: Wednesday, September 24, 2008 4:34:11 PM
Rank: AiutAmico

Iscritto dal : 4/25/2006
Posts: 157
Non litigate perfavore.. la procedura che ho seguito fino ad ora era consigliata da entrambi, solo ho dovuto ammattire un po' per riuscire a farla partire.
Ora attualmente sta girando anche malware.
Attendo nuove.
Segnale positivo è stata la comparsa dell'avviso di protezione di windows che nessun antivirus è presente..

Vi ringrazio
Torna in alto
 
r16
Inviato: Wednesday, September 24, 2008 5:59:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
giallogiallo ha scritto:
Non litigate perfavore.. la procedura che ho seguito fino ad ora era consigliata da entrambi, solo ho dovuto ammattire un po' per riuscire a farla partire.
Ora attualmente sta girando anche malware.
Attendo nuove.
Segnale positivo è stata la comparsa dell'avviso di protezione di windows che nessun antivirus è presente..

Vi ringrazio

La procedura che hai eseguito, è totalmente diversa da quella segnalata da shapiro.( ti ha detto di far girare Elibagla in Modalità normale?)
E quando, certe procedure sò già in partenza che non serviranno a niente,io ho il dovere di intervenire.
Per l'interesse dell'utente.
Dovere era dirti di eliminare i crack, e dovere era di dirti di Disattivare il Ripristino.
Senza questa procedura tutto il lavoro sarebbe stato fatto per niente. Il Beagle si sarebbe rigenerato.
*********************************************************************************************************

Apri un file di testo sul Desktop (start\esegui\digita: notepad.exe\ Ok
ci incolli il codice scritto in rosso, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C5CD9787-54F4-6B5A-7054-5E50F28A8F48}]

lo chiudi, e "trascinalo" sull'icona di ComboFix

Attendi la fine della scansione, senza toccare nulla, (nemmeno il mouse) poi Riavvia il pc
Posta il log aggiornato di combofix
Prova a eliminare il crack
E posta un log di HijackThis .
Scarica VIRIT :
http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e fai la scansione in Modalità Provvisoria (è molto importante).
Posta anche il log.
Elimina tutte le versioni Java che hai nel pc, e installa questa:
http://www.aiutaamici.com/software?ID=11134
Devi Disistallare TUTTI i software di sicurezza che hai nel pc, (Antivirus Antispyware ecc...)Fare una pulizia con CCleaner, RIAVVIARE il pc, e Reistallarli .

Scarica questo:Avenger, scompatta Avenger all'interno di una apposita cartella creata sul Desktop
http://swandog46.geekstogo.com/avenger.zip

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai capia-incolla) nel riquadro bianco: (quelle in rosso)
Citazione:

Files to delete:
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet001\Services\srosa
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet003\Services\srosa
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\ControlSet001\Services\pci32
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\ControlSet003\Services\pci32
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ROSA
HKLM\SYSTEM\ControlSet001\Services\rosa
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_ROSA
HKLM\SYSTEM\ControlSet003\Services\rosa
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_ROSA
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet001\Services\m_hook
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Services\m_hook
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | mule_st_key


Clicca su Execute
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger .
Torna in alto
 
shapiro
Inviato: Wednesday, September 24, 2008 6:04:32 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Brick wall roba da mattid'oh!
Torna in alto
 
giallogiallo
Inviato: Wednesday, September 24, 2008 6:15:49 PM
Rank: AiutAmico

Iscritto dal : 4/25/2006
Posts: 157
Posto nel frattempo il log di malware
Malwarebytes' Anti-Malware 1.28
Versione del database: 1201
Windows 5.1.2600 Service Pack 3

24/09/2008 17.29.48
mbam-log-2008-09-24 (17-29-48).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 134413
Tempo trascorso: 1 hour(s), 9 minute(s), 6 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\ntdefend32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
Torna in alto
 
r16
Inviato: Wednesday, September 24, 2008 6:19:46 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ok giallogiallo
Fai le operazioni che ti ho indicato, se hai domande o dubbi mi riferisci.
Torna in alto
 
giallogiallo
Inviato: Wednesday, September 24, 2008 6:23:25 PM
Rank: AiutAmico

Iscritto dal : 4/25/2006
Posts: 157
r16 ha scritto:
Ok giallogiallo
Fai le operazioni che ti ho indicato, se hai domande o dubbi mi riferisci.


non posso provare a eliminar il crack perchè non so dove sia...
Torna in alto
 
r16
Inviato: Wednesday, September 24, 2008 6:24:43 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Si trova qui:
C:\WINDOWS\crack\crack.exe s
Ma devi fare l'operazione di Combofix che ti ho segnalato sopra.
E' la chiave del registro che lo rigenera.
Controlla nel Task Manager se lo trovi.
Torna in alto
 
giallogiallo
Inviato: Wednesday, September 24, 2008 6:25:48 PM
Rank: AiutAmico

Iscritto dal : 4/25/2006
Posts: 157
da quella locazione l'ho già eliminato..
non so se e dove sia tornato...
Torna in alto
 
giallogiallo
Inviato: Thursday, September 25, 2008 2:04:45 PM
Rank: AiutAmico

Iscritto dal : 4/25/2006
Posts: 157
ho risolto..
Grazie mille.
Mi siete stati entrambi di molto aiuto..
Torna in alto
 
mishsurf
Inviato: Tuesday, September 30, 2008 3:55:37 PM
Rank: Newbie

Iscritto dal : 9/30/2008
Posts: 0
Salve, ho seguito questo post qualche giorno fa perchè sono rimasto vittima di bagle e mi è stato di vitale aiuto, credo di essere riuscito grazie a voi a debellarlo, purtroppo però temo non completamente. Ogni tanto il mio antivirus rileva ed elimina dei file .exe che si generano in C:\System Volume Information. Come posso porre fine definitivamente a questo inquetante strascico di bagle ?
Torna in alto
 
pidue
Inviato: Tuesday, September 30, 2008 4:31:03 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332



Torna in alto
 
r16
Inviato: Tuesday, September 30, 2008 5:27:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Per P2:
Voglio dirti una cosa, una volta per tutte..........Drool
I tuoi pareri, le tue intromissioni, le tue eventuali correzzioni o precisazioni, insomma tutto quello che ritieni di dire,per me, è bene accetto, mi arrabbio se non lo fai. Drool
*********************************************************************************************************
Per mishsurf :
Segui queste indicazioni;
Disattiva il ripristino configurazione di sistema:
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121
Spegni il pc.
Avvia il pc.
Fai una scansione con il tuo antivirus, e vedi se rileva ancora qualcosa.
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
Ricordati di rinascondere le cartelle di sistema; (se le hai visualizzate.)
Torna in alto
 
mishsurf
Inviato: Tuesday, September 30, 2008 6:02:13 PM
Rank: Newbie

Iscritto dal : 9/30/2008
Posts: 0
Ok, provo subito. Posto il risultato in ogni caso, grazie mille.
Torna in alto
 
mishsurf
Inviato: Tuesday, September 30, 2008 7:45:44 PM
Rank: Newbie

Iscritto dal : 9/30/2008
Posts: 0
Ok, procedura eseguita e per adesso tutto tace. Grazie di nuovo

Una domanda: dipende in qualche modo da Bagle il fatto che io non riesca più ad accere a C:\System Volume Information\ neanche da admin e in modalità provvisoria ?
Torna in alto
 
pidue
Inviato: Tuesday, September 30, 2008 7:57:14 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
r16 ha scritto:
Per P2:
Voglio dirti una cosa, una volta per tutte..........Drool
I tuoi pareri, le tue intromissioni, le tue eventuali correzzioni o precisazioni, insomma tutto quello che ritieni di dire,per me, è bene accetto, mi arrabbio se non lo fai. Drool


Tranquillo, r16, avevo scritto qualcosa per mishsurf, invitandolo ad aprire un nuovo thread, poi mi sono pentito e mi sono accorto che non si possono cancellare i post. In questa sezione del forum, per mia abitudine non intervengo, o intervengo solo raramente, sui post già presi in carico da qualcun altro.


Torna in alto
 
r16
Inviato: Tuesday, September 30, 2008 7:58:55 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
No, non dipende dal Beagle.
Nella cartella C:\System Volume Information si trovano tutti i punti di ripristino creati dal S.O.
Tu non puoi essere mai entrato in tale cartella, è inacessibile per l'utente.
Infatti se tenti di aprirla ti dice "accesso negato".
Ma non solo a te ,a TUTTI.

Per P2:
Volevo solo dirti, che nei miei post, puoi intervenire come e quando vuoi, non mi dà fastidio, anzi.
Torna in alto
 
pidue
Inviato: Tuesday, September 30, 2008 8:04:23 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
r16 ha scritto:
No, non dipende dal Beagle.
Nella cartella C:\System Volume Information si trovano tutti i punti di ripristino creati dal S.O.
Tu non puoi essere mai entrato in tale cartella, è inacessibile per l'utente.
Infatti se tenti di aprirla ti dice "accesso negato".
Ma non solo a te ,a TUTTI.


Non proprio a tutti... in quelle cartelle i virus riescono a intrufolarsi , non per nulla si disattiva il Ripristino per fare una scansione come si deve. Drool
Siccome insistevi.. Drool


Torna in alto
 
lui49
Inviato: Tuesday, September 30, 2008 8:07:16 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
ma allora perchè io vi posso accedere?
Torna in alto
 
Utenti presenti in questo topic
Guest

4 pages: 1 [2] 3 4

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Win XP SP3 - Virus Beagle


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.