[Help] Chi mi aiuta a debellare kaboom.dll e tutto il resto? [Archivio]

View Full Version : [Help] Chi mi aiuta a debellare kaboom.dll e tutto il resto?

overclokk

25-02-2006, 18:58

Allora devo dire che ho preso sto virus segalitico da un allegato di un mio amico....
ispeziono l'allegato antivirus avast mi dice tutto ok e io lancio il giochino...

ok infettato e con Hijackthis e regedit pulisco kaboom.dll msx.dll e un eseguibile che adesso non ricordo più..... fin qui tutto ok... poi mi accorgo un giorno di avere nel registro di nuovo kaboom.dll..... da allora scansiono con Hijackthis 1-2 volte al giorno ed ogni tanto lo ritrovo....

come faccio a toglierlo definitivamente??? non è che avast è stato sbrandellato dal virus?

altra cosa nel mio system32 mi sono ritrovato di dll strane create di recente queste 2:

Iddqd.dll e msmnu.dll

al loro interno c'è sta cosa in
IDDQD.DLL

R E G I S T R Y T Y P E L I B HKCR
{
Iddqd.Resurrector.1 = s 'resurrect'
{
CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
}
Iddqd.Resurrector = s 'resurrect'
{
CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
CurVer = s 'Iddqd.Resurrector.1'
}
NoRemove CLSID
{
ForceRemove {3B177BCE-B599-4ABD-BECE-B57EE18187FA} = s 'resurrect'
{
ProgID = s 'Iddqd.Resurrector.1'
VersionIndependentProgID = s 'Iddqd.Resurrector'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'Apartment'
}
'TypeLib' = s '{56601F80-9E54-45BD-819F-727B0B55D045}'
}
}
}
HKCR
{
NoRemove *
{
NoRemove ShellEx
{
NoRemove ContextMenuHandlers
{
ForceRemove Resurrector = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
}
}
}
}Ì4 V S _ V E R S I O N _ I N F O ½ïþ ? , S t r i n g F i l e I n f o 0 0 0 0 0 4 b 0 C o m m e n t s C o m p a n y N a m e ( F i l e D e s c r i p t i o n 6 F i l e V e r s i o n 1 , 0 , 1 , 1 I n t e r n a l N a m e $ L e g a l C o p y r i g h t ( L e g a l T r a d e m a r k s ( O L E S e l f R e g i s t e r ( O r i g i n a l F i l e n a m e P r i v a t e B u i l d P r o d u c t N a m e : P r o d u c t V e r s i o n 1 , 0 , 1 , 1 S p e c i a l B u i l d D V a r F i l e I n f o $ T r a n s l a t i o n

e per MSMNU.DLL

R E G I S T R Y T Y P E L I B HKCR
{
Iddqd.Resurrector.1 = s 'resurrect'
{
CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
}
Iddqd.Resurrector = s 'resurrect'
{
CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
CurVer = s 'Iddqd.Resurrector.1'
}
NoRemove CLSID
{
ForceRemove {3B177BCE-B599-4ABD-BECE-B57EE18187FA} = s 'resurrect'
{
ProgID = s 'Iddqd.Resurrector.1'
VersionIndependentProgID = s 'Iddqd.Resurrector'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'Apartment'
}
'TypeLib' = s '{56601F80-9E54-45BD-819F-727B0B55D045}'
}
}
}
HKCR
{
NoRemove *
{
NoRemove ShellEx
{
NoRemove ContextMenuHandlers
{
ForceRemove Resurrector = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
}
}
}
}Ä4 V S _ V E R S I O N _ I N F O ½ïþ ? $ S t r i n g F i l e I n f o 0 4 0 9 0 4 B 0 C o m p a n y N a m e B
F i l e D e s c r i p t i o n i d d q d M o d u l e 6 F i l e V e r s i o n 1 , 0 , 0 , 1 , I n t e r n a l N a m e i d d q d B L e g a l C o p y r i g h t C o p y r i g h t 2 0 0 6 <
O r i g i n a l F i l e n a m e i d d q d . D L L :
P r o d u c t N a m e i d d q d M o d u l e : P r o d u c t V e r s i o n 1 , 0 , 0 , 1 ( O L E S e l f R e g i s t e r D V a r F i l e I n f o $ T r a n s l a t i o n

Chi ci capisce è bravo.....

aiutatemi..le devo togliere ste 2 dll che sembrano correlate tra di loro...forse anche con Kaboom.dll non so...

overclokk

25-02-2006, 18:59

ah dentro kaboom.dll c'è questo manicomio

G I S T R Y T Y P E L I B `Ñ HKCR
{
Kb.Dredge.1 = s 'Dredge'
{
CLSID = s '{EB870508-E2B7-4169-8120-760F69703776}'
}
Kb.Dredge = s 'Dredge'
{
CLSID = s '{EB870508-E2B7-4169-8120-760F69703776}'
CurVer = s 'Kb.Dredge.1'
}
NoRemove CLSID
{
ForceRemove {EB870508-E2B7-4169-8120-760F69703776} = s 'Dredge'
{
ProgID = s 'Kb.Dredge.1'
VersionIndependentProgID = s 'Kb.Dredge'
ForceRemove 'Programmable'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'Apartment'
}
'TypeLib' = s '{3D45B44B-0C54-4C23-AC6D-D22020DB78CA}'
}
}
}
HKLM
{
SOFTWARE
{
Microsoft
{
Windows
{
CurrentVersion
{
Explorer
{
'Browser Helper Objects'
{
ForceRemove {EB870508-E2B7-4169-8120-760F69703776}
}
}
}
}
}
}
}

andorra24

25-02-2006, 19:01

Per disinfettarti da kaboom.dll e soci segui le istruzioni di questo link:
http://www.greatis.com/security/ICQCHK.exe%20MSX.DLL%20remover.htm

overclokk

25-02-2006, 19:05

già fatto... hai letto cosa ho scritto almeno? ;)

overclokk

25-02-2006, 19:05

ogni 1-2 giorni mi ritorna...come mai?

andorra24

25-02-2006, 19:09

già fatto... hai letto cosa ho scritto almeno? ;)
Intanto datti una calmata. Nei tuoi post non c'e' il minimo accenno al procedimento indicato nel link che ti ho postato e quindi non potevo mica leggerti nella mente!

Telikalikput

25-02-2006, 19:12

ogni 1-2 giorni mi ritorna...come mai?

Perchè te li meriti! :mad:

overclokk

25-02-2006, 19:18

[QUOTE=overclokk]Allora devo dire che ho preso sto virus segalitico da un allegato di un mio amico....
ispeziono l'allegato antivirus avast mi dice tutto ok e io lancio il giochino...

ok infettato e con Hijackthis e regedit pulisco kaboom.dll msx.dll e un eseguibile che adesso non ricordo più..... fin qui tutto ok... poi mi accorgo un giorno di avere nel registro di nuovo kaboom.dll..... da allora scansiono con Hijackthis 1-2 volte al giorno ed ogni tanto lo ritrovo....

come faccio a toglierlo definitivamente??? non è che avast è stato sbrandellato dal virus?

[QUOTE]
Dai ragazzi non vi arrabbiate.... avevo messo anche la faccina che devo fare di più.....

non vi pare un pò strano che mi ritorni sempre... la cosa più strana è che mentre diciamo nella fase in cui c'erano diciamo tutti e tre i componenti per dirla così (kaboom.dll msx.dll e l'eseguibile) erano partite le email...
invece adesso quando scansiono con hijackthis compare la voce di kaboom.dll
ma le email non partono....fortunatamente :mc:

overclokk

25-02-2006, 19:18

Perchè te li meriti! :mad:
grazie grazie troppo buono... adesso che me lo hai detto allora mi metto il cuore in pace :p

andorra24

25-02-2006, 19:22

Hai provato ad eseguire il fix con hijackthis in modalita' provvisoria dopo aver disattivato il ripristino di sistema?

overclokk

25-02-2006, 19:33

si ho fatto di tutto. io il ripristino non l'ho nemmeno abilitato...
sembra pulitissimo....niente dll niente processi strani... niente di niente
riavvio tutto ok... vado su internet scarico la posta ok
riavvio ok.... uso emule ecc ecc... ok
poi al riavvio o all'avvio (negli ultimi 6 giorni) lancio sempre Hijackthis e mai niente
magari lascio il pc acceso e vado a mangiare apro hijack evvai con la stringa kaboom.dll..... FORMAT? o cambio antivirus?

ah quelle 2 dll come vi sembrano? le ho inviate al grande capo....
ah firewall di windows sp2 abilitato

andorra24

25-02-2006, 19:42

Puoi postare il log di hijackthis cosi lo guardo?

overclokk

25-02-2006, 20:17

questo è quello senza il kaboom.dll

Logfile of HijackThis v1.99.1
Scan saved at 17.51.15, on 22/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ITE\Smart Guardian\ITESmart.exe
C:\Programmi\Ontrack\EasyRecovery Professional\EasyRecovery.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Html2pop3\html2pop3.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Luca\Desktop\Nuova cartella\XNEWS.EXE
C:\Programmi\NetPerSec\NetPerSec.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\ZZZ\Utility\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA706E4-65EB-413F-B3A6-64EC3C696362}: NameServer = 212.216.112.112,212.48.4.15
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Ah Grazie per adesso :)

andorra24

25-02-2006, 20:23

Questo log che hai postato e' pulito.

overclokk

26-02-2006, 02:55

infatti non riesco a capire...
o il trojan mi ha aperto una porta che io non so e che lui sfrutta ogni tanto
oppure c'è qualcosa che lo rigenera.... però non riesco a capire cosa...
potrei fare un elenco delle dll di system32 ma le uniche sospette sono
quelle 2 citate all'inizio ovvero Iddqd.dll e msmnu.dll che sono fatte di recente e su google non danno nessun risultato... :muro:

andorra24

26-02-2006, 07:18

ma le uniche sospette sono
quelle 2 citate all'inizio ovvero Iddqd.dll e msmnu.dll che sono fatte di recente e su google non danno nessun risultato... :muro:
Su google in effetti non c'e' traccia di queste 2 dll e non e' un buon segno. Scansionale su questo sito www.virustotal.com e se dovessero risultare infette eliminale manualmente oppure usando killbox: http://www.bleepingcomputer.com/files/killbox.php

overclokk

26-02-2006, 15:24

This is a report processed by VirusTotal on 02/26/2006 at 15:22:14 (CET) after scanning the file "msmnu.dll" file.
Antivirus Version Update Result
AntiVir 6.33.1.50 02.25.2006 TR/Drop.Adcl.BS.4.B
Avast 4.6.695.0 02.23.2006 no virus found
AVG 718 02.24.2006 no virus found
Avira 6.33.1.50 02.25.2006 TR/Drop.Adcl.BS.4.B
BitDefender 7.2 02.26.2006 no virus found
CAT-QuickHeal 8.00 02.25.2006 no virus found
ClamAV devel-20060126 02.26.2006 Trojan.Clicker.Small-100-dll
DrWeb 4.33 02.26.2006 no virus found
eTrust-InoculateIT 23.71.86 02.25.2006 no virus found
eTrust-Vet 12.4.2095 02.24.2006 no virus found
Ewido 3.5 02.26.2006 Downloader.BHO.f
Fortinet 2.71.0.0 02.26.2006 no virus found
F-Prot 3.16c 02.25.2006 no virus found
Ikarus 0.2.59.0 02.24.2006 no virus found
Kaspersky 4.0.2.24 02.26.2006 Trojan-Downloader.Win32.BHO.f
McAfee 4705 02.24.2006 no virus found
NOD32v2 1.1418 02.24.2006 a variant of Win32/TrojanDownloader.Agent.AEP
Norman 5.70.10 02.24.2006 no virus found
Panda 9.0.0.4 02.26.2006 no virus found
Sophos 4.02.0 02.26.2006 no virus found
Symantec 8.0 02.26.2006 no virus found
TheHacker 5.9.4.102 02.24.2006 no virus found
UNA 1.83 02.24.2006 no virus found
VBA32 3.10.5 02.26.2006 no virus found

l'altra la da per pulita ma in realtà se leggi all'inizio del mio post si nota come le 2 siano correlate...(Iddqd.dll e msmnu.dll intendo)
per cui adesso le tolgo entrambe..... unica cosa che danni mi hanno fatto al registro....

ForceRemove {3B177BCE-B599-4ABD-BECE-B57EE18187FA} = s 'resurrect'

il format è sempre più vicino... :muro:

overclokk

26-02-2006, 15:39

evvai.......

ariecco il kaboom.dll

Logfile of HijackThis v1.99.1
Scan saved at 15.39.24, on 26/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\ITE\Smart Guardian\ITESmart.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Html2pop3\html2pop3.exe
C:\Programmi\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\ZZZ\Utility\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\system32\kaboom.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA706E4-65EB-413F-B3A6-64EC3C696362}: NameServer = 212.216.112.112,212.48.4.15
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

madonna... :mc:

andorra24

26-02-2006, 15:54

Io so di decine di utenti infettati dal kaboom.dll che hanno risolto perfettamente con il procedimento indicato da questo link:
http://www.greatis.com/security/ICQCHK.exe%20MSX.DLL%20remover.htm
E' molto strano che tu non sia riuscito a risolvere con quel tool di rimozione. Sicuro di aver eseguito tutto alla lettera?

O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\system32\kaboom.dll vuoi provare a rimuoverlo con killbox?

Fai anche una scansione con bitdefender free:
http://www.bitdefender.com/site/Download/downloadFile/340/EN/

overclokk

26-02-2006, 16:05

innanzitutto grazie per il tuo aiuto...
te lo avevo già detto ma te lo ripeto...
adesso ho debellato tutto dal registro e da system32... aspettiamo 2-3 giorni
e poi vediamo... :)

andorra24

26-02-2006, 16:13

adesso ho debellato tutto dal registro e da system32... aspettiamo 2-3 giorni
e poi vediamo... :)
Ok, speriamo bene. :sperem: