Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Virus mi ha attaccato la scheda rete Opzioni
nitrol1luigi
Inviato: Friday, July 03, 2009 7:58:17 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Ok, questo funziona (w gli spagnoli XD).

Code:

      (3-7-2009  17:24:40)
EliBagle v12.74  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.74
a "virus@satinfo.es".  Gracias.
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Renombrado a .VIR
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\111WFS1INTWQ.SYS --> Eliminado Bagle(rootkit)
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\11S11RO1S1A2.SYS --> Eliminado Bagle(rootkit)
C:\USERS\OEM\APPDATA\ROAMING\M\FLEC006.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\DOWN\2130178.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\130089.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\144644.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\158668.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\184564.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\1861731.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\1875537.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\1890966.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\1958576.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\1962367.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\1997077.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\204564.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\2111348.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\2132596.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\224157.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\2291436.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\235093.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\242706.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\250490.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\279023.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\299287.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\303031.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\328647.EXE --> Eliminado Bagle.dldr
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\402966.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\422747.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\444446.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\460452.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\518406.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\535067.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\565690.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\655937.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\679150.EXE --> Eliminado Bagle
C:\USERS\OEM\APPDATA\ROAMING\DRIVERS\DOWNLD\98296.EXE --> Eliminado Bagle
Eliminada Carpeta "%WinSys%\Drivers\Down"
Eliminada Carpeta "%AppData%\M"
Reinicie para Completar la Limpieza.

      (3-7-2009  17:25:38)
EliBagle v12.74  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   24652
Nº Total de Ficheros:      147918
Nº de Ficheros Analizados: 20436
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

      (3-7-2009  17:34:16)
EliBagle v12.74  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\Users\oem\AppData\Roaming\Drivers\WINUPGRO.EXE.VIR --> Eliminado
Eliminada Carpeta "%AppData%\Drivers"

      (3-7-2009  17:34:51)
EliBagle v12.74  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios:   24653
Nº Total de Ficheros:      147884
Nº de Ficheros Analizados: 20435
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0


Ho un computer SANO?!?

Ora internet funziona normalmente, ma non riesco comunque a collegarmi alla rete wireless. Il computer non rileva il router. A detta di mia madre, sul router si accendono meno luci del solito. Non posso confermare dato che non ho il router in camera.

shapiro
Inviato: Friday, July 03, 2009 8:03:24 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Apri la lista dei Servizi
Start > Esegui >digita SERVICES.MSC >Ok ed abilita, dove è necessario, questi servizi disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS). (Per avviare un servizio, clic con il tasto destro su Proprietà >Automatico > Ok > Avvia > Ok).



Scarica ed installa CCleaner: clicca qui per il download

http://blog.aiutamici.com/post/2009/06/16/CCleaner-220920-nuove-funzionalita.aspx
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)


scarica Malwarebytes http://www.malwarebytes.org/mbam/program/mbam-setup.exe
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare per ora le ventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
nitrol1luigi
Inviato: Friday, July 03, 2009 8:04:56 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Uh.. eh, io non ho il comando esegui in start. Sono sempre vista io :P
wolfestein
Inviato: Friday, July 03, 2009 8:08:44 PM

Rank: AiutAmico

Iscritto dal : 2/15/2009
Posts: 15,949
Apri la pagina del router e controlla che:
1>Il wireless sia attivato.
2>Che il tuo pc risulti tra gli apparecchi collegati.
3>Metti un log di HijackThis.
4>Fai attenzione a cosa scarichi e dove navighi,il beagle non si prende visitando aiutamici.
P.S.Che router hai.
Per accedere al registro digita Regedit in "Cerca programmi e file".
nitrol1luigi
Inviato: Friday, July 03, 2009 8:12:47 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Pagina del router? Da dove la piglio?
Il log va bene quello di prima o devo rifarlo?
Ovviamente sono andato a mio rischio e pericolo scaricando da e-mule. Starò molto più attento.
Router... uh, vediamo. TP-LINK TL-WR841ND.

Ho Fastweb, dovrebbe collegarsi subito no?

EDIT: Scusa ma, accedendo al registro, come faccio ad eseguire i comandi consigliati da shapiro sll'inizio del suo post?
nitrol1luigi
Inviato: Friday, July 03, 2009 8:51:18 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Allora: con ccleaner ho trovato 55 file danneggiati, soprattutto dll. Tutti riparati.

Log di malawarebytes:

Code:
Malwarebytes' Anti-Malware 1.38
Versione del database: 2369
Windows 6.0.6001 Service Pack 1

03/07/2009 20.47.46
mbam-log-2009-07-03 (20-47-46).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 234516
Tempo trascorso: 25 minute(s), 14 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Not selected for removal.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


con ccleaner ho salvato due file di registro. Cosa devo farci? Mentre per services.msc ancora non ho capito cosa e come devo fare.
shapiro
Inviato: Friday, July 03, 2009 9:01:53 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
per ''esegui' prova con la combinazione Win + R
nitrol1luigi
Inviato: Friday, July 03, 2009 9:09:41 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Funziona, ho avviato tutto, tranne aggiornamenti automatici e zero configuration reti senza fili perchè non erano presenti nell'elenco. PErò diverse cose tipo il firewall erano disabilitati, e ora funzionano. Quindi un passo avanti no? Ma perchè il router non viene riconosciuto?

Su richiesta di wolf:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.10.47, on 03/07/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files (x86)\Vtune\TBPANEL.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\TP-LINK\TP-LINK Wireless N Client Utility\jswtrayutil.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files (x86)\QuickTime\QTTask.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\oem\AppData\Roaming\m\flec006.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [jswtrayutil] "C:\Program Files (x86)\TP-LINK\TP-LINK Wireless N Client Utility\jswtrayutil.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TBPanel] C:\Program Files (x86)\Vtune\TBPanel.exe /A
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [nHancer] "C:\Program Files\nHancer\nHancer.exe" /tray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [drvsyskit] C:\Users\oem\AppData\Roaming\drivers\winupgro.exe
O4 - HKCU\..\Run: [mule_st_key] C:\Users\oem\AppData\Roaming\m\flec006.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIZIO DI RETE')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe
O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - TP-LINK TECHNOLOGIES CO., LTD. - C:\Program Files (x86)\TP-LINK\TP-LINK Wireless N Client Utility\jswpsapi.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\SysWOW64\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8703 bytes
shapiro
Inviato: Friday, July 03, 2009 9:09:49 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
riavvia malwarebytes ed elimina quella riga
nitrol1luigi
Inviato: Friday, July 03, 2009 9:13:26 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Ehm, scusa, gentilmente, puoi dirmi come fare? Mi scusa per la mia ignoranza e ti ringrazio per la tua pazienza. Grazie a voi ho risolto diversi problemi.
shapiro
Inviato: Friday, July 03, 2009 9:17:59 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
scusa, gentilmente, puoi dirmi come fare?


riavvia malwarebytes se non lo hai chiuso- quando finisce la scansione, togli quella riga infetta che ha trovato
shapiro
Inviato: Friday, July 03, 2009 9:28:39 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
appena finito, esegui questa procedura per sicurezza

Scarica Avenger

http://swandog46.geekstogo.com/avenger.zip

Estrailo in una cartella a tua scelta
Esegui il file avenger.exe
Ora incolla queste righe nella box bianca che si è aperta:

files to delete:
C:\Users\oem\AppData\Roaming\drivers\winupgro.exe
C:\Users\oem\AppData\Roaming\m\flec006.exe


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.



Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKCU\..\Run: [drvsyskit] C:\Users\oem\AppData\Roaming\drivers\winupgro.exe

O4 - HKCU\..\Run: [mule_st_key] C:\Users\oem\AppData\Roaming\m\flec006.exe
nitrol1luigi
Inviato: Friday, July 03, 2009 9:53:16 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Ciao senti, rifacendo la scansiane, malawarebytes ha trovato un'altro file infetto: c:\Users\oem\AppData\Roaming\drivers\downld.

Tu mi hai detto di cancellare solo un file, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges

Quindi io lascio tutti in sospeso per una tua risposta, se devo cancellare o meno il primo file.
shapiro
Inviato: Friday, July 03, 2009 9:55:00 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Iil primo eliminalo

la seconda riga puoi postarmela?
nitrol1luigi
Inviato: Friday, July 03, 2009 9:58:30 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Il primo è Worm.Bagle e è in c:\Users\oem\AppData\Roaming\drivers\downld.

il secondo è Hijack.displaypropprietes in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges


Malwarebytes' Anti-Malware 1.38
Versione del database: 2369
Windows 6.0.6001 Service Pack 1

03/07/2009 21.57.41
mbam-log-2009-07-03 (21-57-23).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 234665
Tempo trascorso: 30 minute(s), 26 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 1
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
c:\Users\oem\AppData\Roaming\drivers\downld (Worm.Bagle) -> No action taken.

File infetti:
(Nessun elemento malevolo rilevato)
shapiro
Inviato: Friday, July 03, 2009 10:09:14 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
elimina elimina e' del bagle
nitrol1luigi
Inviato: Friday, July 03, 2009 10:13:31 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
tutti e due quindi, giusto?
shapiro
Inviato: Friday, July 03, 2009 10:16:15 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
si tutti e due( la seconda e' una cartella)
nitrol1luigi
Inviato: Friday, July 03, 2009 10:18:01 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Malwarebytes' Anti-Malware 1.38
Versione del database: 2369
Windows 6.0.6001 Service Pack 1

03/07/2009 22.16.32
mbam-log-2009-07-03 (22-16-32).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 234665
Tempo trascorso: 30 minute(s), 26 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 1
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Cartelle infette:
c:\Users\oem\AppData\Roaming\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully.

File infetti:
(Nessun elemento malevolo rilevato)


Fatto. Riavvio e procedo ad avenger. Grazie mille per la pazienza.
nitrol1luigi
Inviato: Friday, July 03, 2009 10:45:39 PM

Rank: AiutAmico

Iscritto dal : 5/8/2008
Posts: 134
Allora, come al solito il file log non appare dopo il riavvio. Con hijack trovo solo il primo file che hai menzionato e l'ho riparato. Il problema è che adesso internete rifunziona di nuovo male, e non ricorda le password che avevo chiesto di salvare, e così msn che non mi ricorda più. ORa è peggio di prima?!
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.