View Full Version : SpybotSD.exe viene eliminato automaticamente
come da titolo: i file di spybot, (SpybotSD.exe, Update.exe e Teatimer.exe vengono eliminati appena creati, anche se rinomino semplicemente un qualsiasi file con uno di quei 3 nomi scompare all'improvviso dopo pochi secondi...
e come se non bastasse non riesco ad installare altri antivirus come kasperky o nod32 (ad-aware 2007 e avg devo ancora provare...)
ah... ed in + se provo ad avviare in modalità provvisoria mi si riavvia in automatico all'avvio... adesso magari provo a togliere il riavvio automatico per vedere la schermata blu...
vi prego di aiutarmi, nn vorrei dover formattare...:mc:
Prova a fare una scansione online ;)
Ti consiglio bitdefender che oltre a rilevare virus gli elimina anche: http://www.bitdefender.com/scan8/ie.html
Se usi windows vista non puoi scansionare online con bitdefender xkè nn è compatibile.
Se hai Vista fai la scansione online con Nod32
grazie del consiglio, ora provo :)
EDIT: sono andato sul sito... solo che quando clicco su "I agree" non succede niente :(... non compare nemmeno la maninana... il puntatore resta invariato...
cmq sempre seguendo il tuo consiglio ho provato anche quello di panda software online, che mi ha trovato ben 4 virus, 3 dei quali sono fra i processi...
va bè... cmq ora sto facendo la scansione cn ad-aware 2007, che x ora sembra avermi trovato 16 infezioni... sembra + efficente di quello vecchio, non speravo in un grande cambiamento sinceramente...
Chill-Out
09-07-2007, 15:34
Posta un log di HijackThis
Ciao
Posta un log di HijackThis
Ciao
Giusto, ottima idea. Dopo aver effettuato la scansione posta anche un log di hijackthis.
Se non sai cosa è e come si usa te lo spiego io brevemente.
Hijackthis è un file eseguibile (senza installazione) che serve per analizzare il sistema e rimuovere "file nocivi" che l'antivirus non rileva.
Per analizzare il sistema e per avere il log (documento di testo) dell'analisi devi aprire Hijackthis e dopodichè cliccare su "Do a system scan and save a logfile"
http://screenshots.xnavigation.net/viewimg/1287/hijackthis.jpg
Dopodichè attendi che esce il documento di testo e quindi seleziona tutto e incolla qui o nel 3d ufficiale di hijackthis: http://www.hwupgrade.it/forum/showthread.php?t=937676
Per scaricare hijackthis vai sul sito: http://www.ilsoftware.it/dl.asp?ID=754 dopodichè estrai la cartella e apri hijackthis ;)
eccolo:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.44.18, on 09/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wintems.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOCUME~1\Gong\IMPOST~1\Temp\Rar$EX00.468\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Programmi\BitDownload\TorrentManager.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Azureus] C:\Programmi\Azureus\Azureus.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D3BC204-EC0D-4D5E-A5B1-FE12FD5D4351}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 7552 bytes
EDIT: ah, un'altra cosa...
chi sa trovare l'infiltrato in questa immagine :D
http://img178.imageshack.us/img178/7027/immaginegt6.th.png (http://img178.imageshack.us/my.php?image=immaginegt6.png)
Sembra che ci sia un elemento sospetto però non sono sicuro che si debba eliminare o no. Posta nel 3d che ti ho dato prima di hijackthis, li sono + esperti :D
wintems.exe dovrebbe essere beagle
poi
R3 - URLSearchHook: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O2 - BHO: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
Vanno eliminati sicuramente perche' molto sospetti
comunque dovresti avere altra file infetti sul pc.
Prova a fare prima una scansione con gmer per vedere se hai rootkit
juninho85
09-07-2007, 16:01
C:\WINDOWS\system32\wintems.exe
R3 - URLSearchHook: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O2 - BHO: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O3 - Toolbar: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
ti sei preso il bigolo ;)
agisci come descritto in questa (http://www.megalab.it/articoli.php?id=948&pagina=3) pagina ;)
ti sei preso il bigolo ;)
agisci come descritto in questa (http://www.megalab.it/articoli.php?id=948&pagina=3) pagina ;)
perfetto
EDIT: ah, un'altra cosa...
chi sa trovare l'infiltrato in questa immagine :D
http://img178.imageshack.us/img178/7027/immaginegt6.th.png (http://img178.imageshack.us/my.php?image=immaginegt6.png)
Non capisco, in che senso "trovare l'infiltrato..."? :confused:
wintems.exe dovrebbe essere beagle
poi
R3 - URLSearchHook: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
O2 - BHO: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll
Vanno eliminati sicuramente perche' molto sospetti
comunque dovresti avere altra file infetti sul pc.
Prova a fare prima una scansione con gmer per vedere se hai rootkit
Esatto io ero incerto su wintems.exe. Se è un Bagle si spiega tutto :D
mitici! proprio i sintomi del mio povero computer! grazie mille!!!:)
ora mi darò da fare...
juninho85
09-07-2007, 16:10
Non capisco, in che senso "trovare l'infiltrato..."? :confused:
forse riguardo le dimensioni del programma...:D
mitici! proprio i sintomi del mio povero computer! grazie mille!!!:)
ora mi darò da fare...
Prego, ma qui mica ci trovi pizza e fichi :D
ok... ho appena finito e riesco ad installare gli antivirus :)
ora mi manca solo da eliminare l'altro, Mitglieder.OI, (trovato con panda total scan online) ma x quello c'è tempo... e probabilmente gli antivirus lo troveranno...
c'è solo una cosa che non mi convince...
con lo scan di panda appena fatto mi trova di nuovo Bagle con queste voci:
w32/bagle.hx.w
hkey_current_user\software\datetime4
hkey_current_user\softwar...rentversion\run\drvsyskit
hkey_current_user\softwar...entversion\run\german.exe
e poi, il log di avenger mi da alcuni errori...
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\llanpvyx
*******************
Script file located at: \??\C:\WINDOWS\cqllilfe.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\Documents and Settings\Gong\Dati applicazioni\hidires\m_hook.sys not found!
Deletion of file C:\Documents and Settings\Gong\Dati applicazioni\hidires\m_hook.sys failed!
Could not process line:
C:\Documents and Settings\Gong\Dati applicazioni\hidires\m_hook.sys
Status: 0xc0000034
File C:\Documents and Settings\Gong\Dati applicazioni\hidires\hidr.exe deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\WINDOWS\system32\hldrrr.exe deleted successfully.
Folder C:\Documents and Settings\Gong\Dati applicazioni\hidires deleted successfully.
Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed!
Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
Status: 0xc0000034
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed!
Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
Status: 0xc0000034
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
in pratica ora non è + attivo, ma è rimasto... ma niente che non si possa risolvere con gli antivirus che posso tornare ad installare :)
grazie di tutto di nuovo :)
juninho85
09-07-2007, 16:37
ho avuto a che fare anch'io con la versione che ti sei preso te,mi pare sia una delle prime che si son propagate,senza i due file .sys
comunque devi modificare queste chiavi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run|german.exe
HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun
HKEY_CURRENT_USER\Software\...*\Currentrentversion\run\drvsyskit
ed eliminare il seguente file
C:\Windows\System32\german.exe
sempre con avenger
*=copia il percorso indicato dall'antivirus
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.