PDA

View Full Version : aiutatemi x fav

Shaperwinter
22-10-2006, 22:09
Ragazzi ho un serio problema cn il malware "Win32:Sality-AB".
Come antivirus uso "Avast" aggiornatissimo e nn fa altro ke segnalarmi il virus ma nn opera in alcun modo x rimuoverlo. questo malware inoltre incide su tutti i processi ke faccio (m blocca il modem, nn m fa installare giochi o programmi, etc.) e pertanto mi sta dando ai nervi.

Ho installato un sacco d spyware, ma nessuno è stato in grado di AIUTARMI e spero lo facciate voi cn la vostra esperienza e competenza.

Vi ringrazio e spero di risolvere al + presto questo problema
FOXYLADY
22-10-2006, 22:24
Usa questo tool
http://download.drweb.com/drweb+cureit/

Ciao
Shaperwinter
22-10-2006, 22:33
l'ho già fatto...ma niente.
ora ho visto ke nella partizione "c" m crea un file "sqmdata00.sqm" con lo 00 ke avanza d numerazione...ne ho una decina! (quest'ultimo file è nascosto).
mi sta dando delle noie pazzeske sto troian!
FOXYLADY
22-10-2006, 22:39
Posta un log di hijackthis qui
http://www.hwupgrade.it/forum/showthread.php?t=937676
Shaperwinter
22-10-2006, 22:42
ma devo postare i dati ke escono sul file "wordpad"?
FOXYLADY
22-10-2006, 22:43
Si ;)
Shaperwinter
22-10-2006, 22:43
quanto segue, è scritto sul file degli appunti:


Logfile of HijackThis v1.99.1
Scan saved at 23.42.53, on 22/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Avast4\aswUpdSv.exe
d:\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
D:\Diskeeper Professional Premier Setup\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Cyberlink\Shared files\RichVideo.exe
d:\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
D:\Avast4\ashDisp.exe
D:\SpeedTouch USB\Dragdiag.exe
D:\Java\jre1.5.0_06\bin\jusched.exe
d:\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\Rar$EX04.719\avenger.exe
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\winymkcq¥.exe
C:\WINDOWS\system32\wscntfy.exe
I:\19.10.2006\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [CTSysVol] d:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] d:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avast!] d:\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "d:\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RemoteControl] d:\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] d:\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Diskeeper Professional Premier Setup\DkIcon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Detector] D:\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [RemoteCenter] D:\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\SPYWAR~1\tools\iesdpb.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F956197-C2E4-4176-8EB0-A25E971C30BF}: NameServer = 85.37.17.49 85.38.28.91
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - d:\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Diskeeper - Diskeeper Corporation - D:\Diskeeper Professional Premier Setup\DkService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\Cyberlink\Shared files\RichVideo.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - d:\Spyware Doctor\sdhelp.exe





COSA SI FA ORA? :|
FOXYLADY
22-10-2006, 22:57
Così ad una prima occhiata non vedo nulla di strano, a parte questo che non so cosa sia
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\winymkcq¥.exe



per favore posta il log anche nel thread che ti ho indicato sopra, così che venga analizzato anche da altri utenti.
juninho85
22-10-2006, 22:59
come già detto da foxylady devi postarlo qui (http://www.hwupgrade.it/forum/showthread.php?t=937676)
juninho85
22-10-2006, 23:01
l'ho già fatto...ma niente.
ora ho visto ke nella partizione "c" m crea un file "sqmdata00.sqm" con lo 00 ke avanza d numerazione...ne ho una decina! (quest'ultimo file è nascosto).
mi sta dando delle noie pazzeske sto troian!
quei file sono creati dalle cartelle condivise di windows live messenger
Shaperwinter
22-10-2006, 23:10
m farebbe davvero piacere averti tra i miei contatti di msn messenger, se solo tu disponessi di questo programma.
Il mio indirizzo è shaperwinter@hotmail.com

Cmq, mi dici di scrievere un post nella pagina di quel programma?..
juninho85
23-10-2006, 08:08
m farebbe davvero piacere averti tra i miei contatti di msn messenger, se solo tu disponessi di questo programma.
Il mio indirizzo è shaperwinter@hotmail.com

Cmq, mi dici di scrievere un post nella pagina di quel programma?..
questo dei file di MSN è un caso indipendente dal W32....ti basta scaricare la a-patch e selezionare "disable shared folder"
emc_2u2
10-11-2006, 11:04
... per disabilitare i files .SQM (nella root), è sufficiente esere collegati a WLM, cliccare sul menu "?", scegliere "Programma Analisi Utilizzo Software" e poi selezionare "Non desidero partecipare" e dare ok.

Chuss!
evil_stefano
11-11-2006, 16:20
Running processes:
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\CTHELPER.EXE
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\Rar$EX04.719\avenger.exe
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\winymkcq¥.exe
C:\WINDOWS\system32\wscntfy.exe

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE



bho... questi mi sembrano sospetti..

incomincia a cancellare i temp di internet
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\
C:\DOCUME~1\AMMINI~1\IMPOST~1\Temp INTERN files\


poi dicci come va ?