View Full Version : Ho un problema con msn, causato da un virus!
da qualche giorno ho dei problemi con msn.
Ogni volta che mi connetto invio automaticamente un file a tutti i miei contatti in linea, le finestre delle conversazioni mi si aprono da sole...
come antivirus ho avast, ho fatto una scansione ma non ci sono virus presenti...
quindi ho scaricato un firewall- anti-spyware "VIRIT-L-T".
alla prima scansione ha rilevato infetto il seguente file:
WINDOWS.003.PERFOMN.EXE possibile variante da trojan.WIN32.SMALL.MI
Ho impostato l'opzione "rinominazine automatica", mi ha i rinominato i file infetti.
Adesso però, il problema persiste e ogni volta che mi collego su msn invio agli altri il file windows.003 che mi era stato detto infetto dall'anti-spyware.
se vado nella cartela file ricevuti per eliminare il file, mi dice che è inesistente!!
cosa devo fare?
ps.se per favore potete usare un linguaggio semplice, dato che sono un frana e di computer non ne capisco molto!
grazie
Bugs Bunny
01-09-2007, 16:23
log di hijackthis
Riverside
01-09-2007, 16:41
da qualche giorno ho dei problemi con msn.
Ogni volta che mi connetto invio automaticamente un file a tutti i miei contatti in linea, le finestre delle conversazioni mi si aprono da sole...
GUIDA ALLA RIMOZIONE: questa è la procedura che devi seguire:
PROCEDURA – PRIMA PARTE (DA CONNESSI AD INTERNET):
Scarica, senza installarli, (per comodità salvali sul Desktop), i seguenti Software e Tool:
● CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
● TOOL MSNFIX: clicca qui per il download (http://sosvirus.changelog.fr/MSNFix.zip)
● PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
● ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
● HIJACKTHIS v.2.0.2: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
NOTE:
● gli unici, tra questi, che richiedono l’installazione sono, CCLEANER e ASQUARED;
● MSNFIX, una volta decompresso, crea in automatico, una cartella sul Desktop;
● PANDA ANTIROOTKIT, è stand-alone;
● HIJACKTHIS v.2.0.2, è stand-alone.
PROCEDURA – SECONDA PARTE (DISCONNETTERSI DA INTERNET):
Disattiva il Ripristino configurazione di sistema: ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Provvedi a svuotare del suo contenuto la cartella PREFETCH procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella).
Installa CCLEANER:
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui
Installa MSNFIX:
● scompatta il file Zip, che hai, precedentemente posizionato sul Desktop (verrà creata una cartella)
● lancia MSNFix File batch
● digita I per impostare la lingua, e, premi invio
● digita R per cercare il malware
● digita N per eliminare ciò che trova
● digita A per creare il log da pubblicare
● digita R per ripulire il registro ed uscire
● digita Q per terminare MSNFix
Il log che verrà creato, ti confermerà, o meno l'avvenuta rimozione.
MSNFix, creerà, inoltre un file Zip (lo trovi, assieme al log, all'interno della cartella posizionata sul Desktop), contenente i file infetti rimossi: cestinalo, e ripulisci il cestino.
● Terminata la scansione con MSNFIX, riavvia il sistema
Una volta completato MSNFIX, pubblica il suo log (lo alleghi alla discussione, utilizzando la funzione Carica un file), sul Forum, per farlo controllare ed attendi la risposta.
PROCEDURA – TERZA PARTE (CONNESSI AD INTERNET):
Installa PANDA ANTIROOTKIT:
● scompatta il file Zip, sul Desktop (verrà creata una icona di Startup)
● lancia il Tool (che aggiornerà, automaticamente, da Server, la sua black list) ed eseguirà una scansione per verificare la presenza, o meno, di Rootkit, sul P.C.
Installa ASQUARED FREE:
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato.
Installa HIJACKTHIS v.2.0.2:
● crea una nuova Cartella sul Desktop (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona di Startup)
● lancialo poi clicca su Scan ed una volta che è stata creata la list, clicca su Save Log
A questo punto, pubblica, il log di HijackThis (lo alleghi alla discussione, utilizzando la funzione Carica un file) sul Forum per farlo controllare ed attendi la risposta.
Stabilito che il problema è stato risolto, se vuoi puoi riattivare (con la stesso procedimento indicato prima) il Ripristino configurazione di sistema.
Bravo riverside! Procedura semplice e chiara, con tanto di link diretti,
Bravissimo!!
Io la metterei pure in rilievo, fossi nell'amministratore.
allora io ci ho provato...ecco i risultati
e questo è il log di hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.48.40, on 01/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS.003\System32\smss.exe
C:\WINDOWS.003\system32\winlogon.exe
C:\WINDOWS.003\system32\services.exe
C:\WINDOWS.003\system32\lsass.exe
C:\WINDOWS.003\system32\svchost.exe
C:\WINDOWS.003\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.003\system32\spoolsv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS.003\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS.003\wanmpsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS.003\system32\WgaTray.exe
C:\WINDOWS.003\Explorer.EXE
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS.003\system32\rundll32.exe
C:\WINDOWS.003\SetPoint.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS.003\system32\ctfmon.exe
C:\Programmi\AOL 7.0\aoltray.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS.003\msagent\AgentSvr.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\GIANNI~1\IMPOST~1\Temp\Rar$EX63.428\HijackThis.exe
C:\WINDOWS.003\system32\NOTEPAD.EXE
C:\Programmi\Windows Live Toolbar\msn_sl.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SetPoint.exe] C:\WINDOWS.003\SetPoint.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Icône AOL.lnk = C:\Programmi\AOL 7.0\aoltray.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programmi\Bonjour\ExplorerPlugin.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\AIM.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: http://www.happyfile.net
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: *.whatsnew.name
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cathlythebest.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cathlythebest.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS.003\wanmpsvc.exe
--
End of file - 7764 bytes
Riverside
01-09-2007, 21:36
e questo è il log di hijackthis :
Msnfix ha rimosso tutto ciò che doveva rimuovere ;)
Questi sono due screensaver: non dovrebbero legittimi; verifica se li hai installati tu, altrimenti, rimuovili:
[C:\WINDOWS.003\system32\Logo.scr] A0B457A21E5726E0F8BCEA887701B213
[C:\WINDOWS.003\system32\anfysave.scr] 414E884ABCB21F6C25BDCAE584D642BC
Rilancia Htis e fixa queste voci:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: www.archiviosex.n***t
O15 - Trusted Zone: *.archiviosex.n***t
O15 - Trusted Zone: http://www.otherchance.c***m
O15 - Trusted Zone: www.otherchance.c***om
O15 - Trusted Zone: *.otherchance.c***m
O15 - Trusted Zone: www.redfunny.c***m
O15 - Trusted Zone: *.whatsnew.name
(ho editato i link, per evitare che qualcuno ci finisca dentro).
Fatto questo, il problema è risolto.
Suggerimento: cambia antivirus.
Bravo riverside! Procedura semplice e chiara, con tanto di link diretti …
Grazie demi@n, la Guida la avevo scritta per un altro Forum che frequento (con questo virus si sono infettate diverse persone); il tool di rimozione è stato sviluppato da un mio amico francese; alla fine, tutto torna utile.
Grazie demi@n, la Guida la avevo scritta per un altro Forum che frequento (con questo virus si sono infettate diverse persone); il tool di rimozione è stato sviluppato da un mio amico francese; alla fine, tutto torna utile.
Complimenti a tutti e due allora! ;)
Temo ci sia un problema...
ho eliminato i file che mi avete detto e ho riavviato il computer.
Quando l'ho acceso "virit lite monitor" mi ha segnalato che :
"Il registro dei programmi in esecuzione automatica è stato modificato.
Il seguente programma è in esecuzione automatica :
C:\WINDOWS.003\PERFMON.EXE"
E' normale?
Riverside
02-09-2007, 19:06
Il seguente programma è in esecuzione automatica :
C:\WINDOWS.003\PERFMON.EXE" ...... E' normale?
Il processo è leggitimo, ma non ho idea del perchè si trovi in esecuzione automatica.
Al limite, se ti da fastidio, toglilo dalla esecuzione automatica.
In ogni caso, direi di cambiare antivirus (ovvero disinstalla sia Avast che Virit e passa a qualcosa di più serio, per esempio Antivir).
ok..ci provo a toglierlo dall'esecuzione automatica.
comunque anche con MSNfix se elimino i virus, appena spengo il computer e lo riaccendo mi compaiono di nuovo.
E succede così anche con avast...ogni volta che accendo il pc mi segnala il virus "win32 dialer-970 (trj)" lo elimino...però poi se spengo il computer mi riappare!!!:muro:
Riverside
02-09-2007, 21:02
ok..ci provo a toglierlo dall'esecuzione automatica.
comunque anche con MSNfix se elimino i virus, appena spengo il computer e lo riaccendo mi compaiono di nuovo.
E succede così anche con avast...ogni volta che accendo il pc mi segnala il virus "win32 dialer-970 (trj)" lo elimino...però poi se spengo il computer mi riappare!!!:muro:
Complicazione dovuta da Avast: lo rileva ma non lo rimuove e non lo mette, neppure in quarantena.
Quindi, cambia antivirus (passa ad Antivir), fai una scansione completa del sistema, poi ripeti, con le medesime modalità che ho indicato nella guida, MSNFIX e ripubblica il log che ottieni.
Temo ci sia un problema...
ho eliminato i file che mi avete detto e ho riavviato il computer.
Quando l'ho acceso "virit lite monitor" mi ha segnalato che :
"Il registro dei programmi in esecuzione automatica è stato modificato.
Il seguente programma è in esecuzione automatica :
C:\WINDOWS.003\PERFMON.EXE"
E' normale? direi proprio di no: se c'è una cartella Windows.003 in C: direi proprio che puoi cancellarla (ma probabilmente non ci riuscirai). tanto per cominciare termina quel processo. e occhio a non eliminare C:\Windows :D
direi proprio di no: se c'è una cartella Windows.003 in C: direi proprio che puoi cancellarla (ma probabilmente non ci riuscirai). tanto per cominciare termina quel processo. e occhio a non eliminare C:\Windows :D
Sinceramente, quando ho visto quel Windows.003 mi sono corsi dei brividi lungo la schiena (si fa per dire), ma avendo letto il post di Riverside, il quale è rimasto quasi impassibile di fronte alla cosa dichiarando che C:\WINDOWS.003\PERFMON.EXE è un processo legittimo e che la cosa strana sia (solamente) quella che si avvia in automatico, mi sono detta: "vabbè... probabilmente sono io che ho troppe paranoie :what: ".
Evidentemente a River è sfuggito quello 003 di troppo.
Capita anche agli espertoni... la cosa, vi dirò, mi consola! :D
Riverside
02-09-2007, 23:14
Evidentemente a River è sfuggito quello 003 di troppo.
Capita anche agli espertoni... la cosa, vi dirò, mi consola! :D
Il fatto è che la cosa non mi era affatto sfuggita (voglio, anche, precisare che non sono un espertone e che come tutti, ne ho di cose da imparare).
Se guardi il log di HThis, in quella localizzazione cè un pacco di roba che dovrebbe trovarsi in C:\WINDOWS\sistem32\:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.48.40, on 01/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS.003\System32\smss.exe
C:\WINDOWS.003\system32\winlogon.exe
C:\WINDOWS.003\system32\services.exe
C:\WINDOWS.003\system32\lsass.exe
C:\WINDOWS.003\system32\svchost.exe
C:\WINDOWS.003\System32\svchost.exe
C:\WINDOWS.003\system32\spoolsv.exe
C:\WINDOWS.003\system32\svchost.exe
C:\WINDOWS.003\system32\WgaTray.exe
C:\WINDOWS.003\Explorer.EXE
C:\WINDOWS.003\system32\rundll32.exe
C:\WINDOWS.003\SetPoint.exe
C:\WINDOWS.003\system32\ctfmon.exe
C:\WINDOWS.003\msagent\AgentSvr.exe
C:\WINDOWS.003\system32\NOTEPAD.EXE
Io ho concentrato la mia attenzione rispetto al problema che era stato posto.
Per quanto riguarda PERFMON.EXE (come tutti quelli che sono localizzati - vedi log) in C:\WINDOWS.003\System32\), è un processo legittimo.
Il perché, poi, tutti quei processi, siano localizzati una posizione diversa (!) è un mistero che merita un approfondimento.
Altri due aspetti curiosi:
1) anche il WAN Miniport Service è localizzato li:
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS.003\wanmpsvc.exe
2) di PERFMON.EXE, nel log pubblicato, non c'era traccia.
Davvero... non ha nemmeno una cosa in C:\Windows\System32....
Dì un po' ekrix, ma, per caso, hai rinominato la cartella Windows in Windows.003??
Riverside
02-09-2007, 23:37
Davvero... non ha nemmeno una cosa in C:\Windows\System32.... Dì un po' ekrix, ma, per caso, hai rinominato la cartella Windows in Windows.003??
Era un dubbio che era sorto anche a me; tutto quello che ho trovato in proposito fa riferimento ad un fantomatico FILEMONKEY (http://www.monkeyjob.com/FileMonk/FMExamp/Sequence-Number-Files-Names.htm) che, da quello che ho capito, è un programmino che serve per modificare, aggiungendo una numerazione, l'estensione di files e cartelle.
Il fatto è che la cosa non mi era affatto sfuggita (voglio, anche, precisare che non sono un espertone e che come tutti, ne ho di cose da imparare).
Se guardi il log di HThis, in quella localizzazione cè un pacco di roba che dovrebbe trovarsi in C:\WINDOWS\sistem32\: e tu credi che siano tutti autentici? :asd:
Per quanto riguarda PERFMON.EXE (come tutti quelli che sono localizzati - vedi log) in C:\WINDOWS.003\System32\), è un processo legittimo. si, però dovrebbe trovarsi in System32, non in C:\Windows.
Il perché, poi, tutti quei processi, siano localizzati una posizione diversa (!) è un mistero che merita un approfondimento. dicesi infezione :p
Riverside
03-09-2007, 00:07
si, però dovrebbe trovarsi in System32, non in C:\Windows.
Scusa:
Per quanto riguarda PERFMON.EXE (come tutti quelli che sono localizzati - vedi log) in C:\WINDOWS.003\System32\), è un processo legittimo.
Il perché, poi, tutti quei processi, siano localizzati una posizione diversa (!) è un mistero che merita un approfondimento.
dicesi infezione
Potrebbe essere un trojan downloader oppure no. E, se leggi bene, non ho escluso che possa trattarsi di una infezione.
secondo me qui ci vuole un abella scansione online con kapsersky....;)
Sinceramente, quando ho visto quel Windows.003 mi sono corsi dei brividi lungo la schiena (si fa per dire), ma avendo letto il post di Riverside, il quale è rimasto quasi impassibile di fronte alla cosa dichiarando che C:\WINDOWS.003\PERFMON.EXE è un processo legittimo e che la cosa strana sia (solamente) quella che si avvia in automatico, mi sono detta: "vabbè... probabilmente sono io che ho troppe paranoie :what: ".
Evidentemente a River è sfuggito quello 003 di troppo.
Capita anche agli espertoni... la cosa, vi dirò, mi consola! :D
Prima di tutto devo fare i miei complineti a Riverside per aver scritto tutto con precisione. Uso quasi la stessa procedura da anni con enorme successo.
Il windows.003... ...se non ricordo male... ... proviene dalla terza installazione di windows senza la rimozione delle versioni precedenti: pertanto leggitimaa come suopposto da rIVERSIDE
:mbe:
e quindi?
va bè, comunque ho fatto come ha detto Riverside , ho tolto avast e ho installato antivir.
Adesso faccio la scansione e poi ripubblico il log di MSNFix.
Comunque grazie a tutti.
Il windows.003... ...se non ricordo male... ... proviene dalla terza installazione di windows senza la rimozione delle versioni precedenti: pertanto leggitimaa come suopposto da rIVERSIDE :mbe: e come si spiega che perfmon.exe sta nella cartella sbagliata? :mbe: dovrebbe stare in C:\Windows.003\System32
Prima di tutto devo fare i miei complineti a Riverside per aver scritto tutto con precisione. Uso quasi la stessa procedura da anni con enorme successo.
Sia chiaro, soprattutto a Riverside, che sono stata la prima a fargli i complimenti. Non mi stavo beffando di lui, semplicemente ogni tanto fa anche bene scherzare e sdrammatizzare. E' un modo come un altro per imparare, oltretutto. Infatti la mia battuta, ovviamente benevola, e provocatoria al tempo stesso, ha fatto scaturire un'ulteriore risposta di non poco conto.
Insomma, per farla breve, non si impara solo sbagliando, ma anche scherzando! ;)
River lo sa che ho molto apprezzato tutti i dettagli ben spiegati nella sua esemplare procedura! :cool: E gnene sono pure molto grata!!! :flower:
Chiaro? :)
lancetta
03-09-2007, 14:16
A questo punto si può fare un ulteriore prova prendi sti benedetti file nella cartella 003 e falli analizzare su virus total
A questo punto si può fare un ulteriore prova prendi sti benedetti file nella cartella 003 e falli analizzare su virus total
Su virustotal, si può analizzare un'intera cartella? :D
Riverside
03-09-2007, 14:44
A questo punto si può fare un ulteriore prova prendi sti benedetti file nella cartella 003 e falli analizzare su virus total
Ciao Lancetta, aspettavo il tuo intervento.
Secondo me, tutti quei processi sono legittimi: guarda il log di HThis che è stato pubblicato: non solo non sono duplicati (quindi, il sospetto di una infezione sarebbe fondato) ma, se fai caso, manca, totalmente, la localizzazione corretta C:\WINDOWS\System32\
Resto del parere che, qualcosa (o qualcuno) ha rinominato la cartella C:\WINDOWS\ in C:\WINDOWS.003\
Avevo anche evidenziato in un mio precedente post, (dimostra, anche questo, come la cartella C:\WINDOWS\ non esista):
Altri due aspetti curiosi:
1) anche il WAN Miniport Service è localizzato li:
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS.003\wanmpsvc.exe
AntiVir PersonalEdition Classic
Report file date: lunedì 3 settembre 2007 14:58
Scanning for 1043274 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Gianni Dj
Computer name: U2Z0Y4
Version information:
BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:16
AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:56
LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:06
LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:19:00
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 20:24:24
ANTIVIR2.VDF : 6.39.1.74 1637376 Bytes 02/09/2007 20:24:24
ANTIVIR3.VDF : 6.39.1.79 18944 Bytes 03/09/2007 12:39:06
AVEWIN32.DLL : 7.4.1.66 2789888 Bytes 02/09/2007 20:24:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:28
AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:52
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 02/09/2007 20:24:24
AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:10
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:06
AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:28
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:44
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:20
RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:44
Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: C:\Programmi\AntiVir PersonalEdition Classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: lunedì 3 settembre 2007 14:58
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'wmplayer.exe' - '1' Module(s) have been scanned
Scan process 'GoogleUpdater.exe' - '1' Module(s) have been scanned
Scan process 'EasyShare.exe' - '1' Module(s) have been scanned
Scan process 'aoltray.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'WDFMGR.EXE' - '1' Module(s) have been scanned
Scan process 'MONLITE.EXE' - '1' Module(s) have been scanned
Scan process 'GoogleDesktop.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'GoogleDesktop.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.EXE' - '1' Module(s) have been scanned
Scan process 'WgaTray.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'WANMPSVC.EXE' - '1' Module(s) have been scanned
Scan process 'VIRITSVC.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'a2service.exe' - '1' Module(s) have been scanned
Scan process 'SPOOLSV.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned
Scan process 'LSASS.EXE' - '1' Module(s) have been scanned
Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned
Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned
Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned
Scan process 'SMSS.EXE' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'A:\'
[NOTE] In the drive 'A:\' no data medium is inserted!
Boot sector 'F:\'
[NOTE] No virus was found!
Starting to scan the registry.
C:\WINDOWS.003\SetPoint.exe
[DETECTION] Contains signature of the worm WORM/IRCBot.388096
[INFO] The file was moved to '4750057a.qua'!
C:\WINDOWS.003\SetPoint.exe
[DETECTION] Contains signature of the worm WORM/IRCBot.388096
The registry was scanned ( '22' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\u5g9p7x1h4a3.exe
[DETECTION] Contains signature of the dial-up program DIAL/52224.A.19
[INFO] The file was moved to '47430553.qua'!
C:\WINDOWS.003\S_00305_jpg.zip
[0] Archive type: ZIP
--> www.S_00305_jpg-msn.com
[DETECTION] Contains signature of the worm WORM/IRCBot.388096
[INFO] The file was moved to '470c0609.qua'!
C:\WINDOWS.003\perfmon.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '474e061a.qua'!
C:\Programmi\File comuni\delsim\del.exe
[DETECTION] Contains signature of the dial-up program DIAL/52224.A.19
[INFO] The file was moved to '47480881.qua'!
C:\Documents and Settings\Gianni Dj\Impostazioni locali\Temp\VIRIT\perfmon.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '474e0b01.qua'!
C:\Documents and Settings\Gianni Dj\Impostazioni locali\Temporary Internet Files\Content.IE5\OLQROTUV\backup[1].zip
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '473f0b35.qua'!
C:\Documents and Settings\Gianni Dj\Impostazioni locali\Temporary Internet Files\Content.IE5\I1KLM5KP\mod4[1].rar
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47400b52.qua'!
C:\System Volume Information\_restore{7E2DEE66-14B4-4382-B786-DA7F153BF3DF}\RP1\A0000022.exe
[DETECTION] Contains signature of the dial-up program DIAL/52224.A.19
[INFO] The file was moved to '470c0c72.qua'!
C:\System Volume Information\_restore{7E2DEE66-14B4-4382-B786-DA7F153BF3DF}\RP3\A0000153.exe
[DETECTION] Contains signature of the worm WORM/IRCBot.388096
[INFO] The file was moved to '470c0c83.qua'!
C:\System Volume Information\_restore{7E2DEE66-14B4-4382-B786-DA7F153BF3DF}\RP3\A0000154.exe
[DETECTION] Contains signature of the dial-up program DIAL/52224.A.19
[INFO] The file was moved to '470c0c87.qua'!
C:\System Volume Information\_restore{7E2DEE66-14B4-4382-B786-DA7F153BF3DF}\RP3\A0000155.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '470c0c89.qua'!
C:\System Volume Information\_restore{7E2DEE66-14B4-4382-B786-DA7F153BF3DF}\RP3\A0000156.exe
[DETECTION] Contains signature of the dial-up program DIAL/52224.A.19
[INFO] The file was moved to '470c0c8c.qua'!
Begin scan in 'A:\'
Search path A:\ could not be opened!
Periferica non pronta.
Begin scan in 'F:\' <KATE'S MP3>
Begin scan in 'D:\'
Search path D:\ could not be opened!
Periferica non pronta.
Begin scan in 'E:\'
Search path E:\ could not be opened!
Periferica non pronta.
End of the scan: lunedì 3 settembre 2007 15:31
Used time: 32:40 min
The scan has been done completely.
3497 Scanning directories
107812 Files were scanned
13 viruses and/or unwanted programs were found
0 classified as suspicious:
0 files were deleted
0 files were repaired
13 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
107799 Files not concerned
1222 Archives were scanned
3 Warnings
9 Notes
0 Hidden objects were found
scusate l'ignoranza lo so che adesso vi stupirò...ma mettere in quarantena un virus significa isolarlo, invece di cancellarlo?:confused:
MSNFix 1.484
C:\Documents and Settings\Gianni Dj\Desktop\MSNFix
Fix effettuato il 03/09/2007 - 15.42.42,49 By Gianni Dj
modalità normale
************************ Cercare i files presenti
... C:\WINDOWS.003\system32\microsoft\backup.ftp
... C:\WINDOWS.003\system32\microsoft\backup.tftp
... C:\WINDOWS.003\Z058_jpg.zip
************************ Ricerca le cartelle presenti
Nessuna cartella trovata
************************ Eliminazione dei files
.. OK ... C:\WINDOWS.003\system32\microsoft\backup.ftp
.. OK ... C:\WINDOWS.003\system32\microsoft\backup.tftp
.. OK ... C:\WINDOWS.003\Z058_jpg.zip
************************ Pulizia del Registro
************************ Files sospetti
/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento
[C:\WINDOWS.003\system32\Logo.scr] A0B457A21E5726E0F8BCEA887701B213
[C:\WINDOWS.003\system32\anfysave.scr] 414E884ABCB21F6C25BDCAE584D642BC
I files e le chiavi di registro eliminati sono stati salvati nel file 03092007_15.43.2307.zip
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Il windows.003... ...se non ricordo male... ... proviene dalla terza installazione di windows senza la rimozione delle versioni precedenti: pertanto leggitimaa come suopposto da rIVERSIDE
J100 mi pare abbia già individuato "cosa" abbia compiuto la trasformazione della cartella... :rolleyes:
lancetta
03-09-2007, 14:57
Ciao Riverside..:) Demi@n :flower: ......effettivamente i file in questione dovrebbero essere però in system32 per cui anche se la cartella è rinominata(003) non mi sembra quella giusta,penso che qualcosa c'è lo potrà dire virus total essendo pure degli eseguibili la cosa è quantomai sospetta.Un altra cosa che si può fare anche,se non sempre è reale in quanto alcuni virus simulano anche quello,è controllare la cartella in questione quando è stata creata.
lancetta
03-09-2007, 15:00
edit: dal log della scansione ha una backdoor e dialer sul pc
Riverside
03-09-2007, 15:03
edit: dal log della scansione ha una backdoor sul pc
E non solo quello, a quanto pare.
Certo che è strano che Asquared non abbia rilevato, perlomeno questa roba, per esempio:
Starting to scan the registry.
C:\WINDOWS.003\SetPoint.exe
[DETECTION] Contains signature of the worm WORM/IRCBot.388096
[INFO] The file was moved to '4750057a.qua'!
C:\WINDOWS.003\SetPoint.exe
[DETECTION] Contains signature of the worm WORM/IRCBot.388096
lancetta
03-09-2007, 15:08
forse non hai neanche disattivato il ripristino di sistema QUI link (http://support.microsoft.com/kb/310405/it) in quanto l'antivirus ne ha trovati di "ospiti" anche lì
lancetta
03-09-2007, 15:13
direi che a questo punto devi rifare tutta la procedura postata da riverside disattivando il ripristino rifacendo le scansioni ripublicando i vari log,e aggiungi come antispyware anche questoche è free e molto efficace
Superantispyware (http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWARE) aggiornalo e fagli fare una "Perform complete scan" da "scan your computer"
Un'altra cosa fai anche scansione degli ads Così:apri hijackthis clicca "open the misc tools section",click su "open ads spy",leva la spunta a "quick scan",click sul tasto "scan" e riporta qui cosa ha rilevato.
Adesso vi saluto..vado al lavoro
Riverside
03-09-2007, 15:14
forse non hai neanche disattivato il ripristino di sistema QUI link (http://support.microsoft.com/kb/310405/it) in quanto l'antivirus ne ha trovati di "ospiti" anche lì
Quando si dice NON LEGGERE: guardare qui (http://www.hwupgrade.it/forum/showpost.php?p=18497184&postcount=3)
pensa che lo avevo, anche, evidenziato :(
lancetta
03-09-2007, 15:19
La tua guida è ottima e chiara Riverside,:) diversamente da me che ho il vizio di postare di volta in volta,:D
Saluti :cool:
Quando si dice NON LEGGERE: guardare qui (http://www.hwupgrade.it/forum/showpost.php?p=18497184&postcount=3)
pensa che lo avevo, anche, evidenziato :(
ma io l'avevo disattivato, ma alla fine di tutto il processo l'ho riattivato!
adesso rifaccio tutto.
ps:
il download di superantispyware mi si blocca!
comunque faccio tutta la procedura e poi ripubblico i log.
Riverside
03-09-2007, 15:51
ma io l'avevo disattivato, ma alla fine di tutto il processo l'ho riattivato! adesso rifaccio tutto.
Si, ma questa volta (dopo aver aggiornato Asquared e Panda Antirootkit) rifai l'intera procedura, in modalità provvisoria.
E sempre in quella modalità rifai una scansione completa con l'antivirus.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.57.51, on 03/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS.003\System32\smss.exe
C:\WINDOWS.003\system32\winlogon.exe
C:\WINDOWS.003\system32\services.exe
C:\WINDOWS.003\system32\lsass.exe
C:\WINDOWS.003\system32\svchost.exe
C:\WINDOWS.003\System32\svchost.exe
C:\WINDOWS.003\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS.003\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS.003\wanmpsvc.exe
C:\WINDOWS.003\Explorer.EXE
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS.003\system32\rundll32.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS.003\wdfmgr.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS.003\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\AOL 7.0\aoltray.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS.003\system32\WgaTray.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\GIANNI~1\IMPOST~1\Temp\Rar$EX00.461\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [wdfmgr.exe] C:\WINDOWS.003\wdfmgr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.003\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Icône AOL.lnk = C:\Programmi\AOL 7.0\aoltray.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programmi\Bonjour\ExplorerPlugin.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\AIM.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.happyfile.net
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://cathlythebest.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cathlythebest.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS.003\wanmpsvc.exe
--
End of file - 6813 bytes
:help:
Vedo che attendi da parecchio...
Io non sono espertissima, ma ti posso dire che di questo ho letto qualcosa in giro:
C:\Programmi\Bonjour\mDNSResponder.exe
La parola "Bonjour" fa eco nella mia mente. Prova a fare una ricerca su google (intanto che attendi risposte da altri più esperti), oppure fai analizzare quel file (mDNSResponder.exe) da virustotal, a questo indirizzo:
http://www.virustotal.com/it/
Se non sai come fare: clicca sul tasto "Scegli", vai nella directory (cartella) sopra indicata e seleziona il file in questione, poi clicca su "Apri".
Il sito caricherà quel file e lo analizzerà con una quindicina di antivirus ('na figata! :D ;) ).
Intanto fai questo.
Riverside
03-09-2007, 19:23
Logfile of Trend Micro HijackThis v2.0.2
Niente da fare, il problema della localizzazione in una cartella diversa permane.
Questo, fallo analizzare qui: Virus total (http://www.virustotal.com/it/)
O4 - HKLM\..\Run: [wdfmgr.exe] C:\WINDOWS.003\wdfmgr.exe
Hai fatto tutta la procedura in modalità provvisoria???
Vedo che attendi da parecchio...Io non sono espertissima, ma ti posso dire che di questo ho letto qualcosa in giro: C:\Programmi\Bonjour\mDNSResponder.exe
Demi :flower:, quel processo è legittimo anche se non e' essenziale.
Viene utilizzato da Apple per diversi software, come, per esempio, ITunes.
E', è anche utilizzato da Photoshop CS3 oppure, per la condivisione di files.
P.S.: controlla la posta in PM.
Oooops.... (faccina che si vergogna... qui non c'è!).
Sorry... eppure avevo letto qualcosa su questo "Bonjour"... ariscusa! :(
Riverside
03-09-2007, 19:55
Oooops.... faccina che si vergogna...
Intendevi, questa???? :kiss: ....... :fiufiu:
Allora in modalità provvisoria ho fatto la scansione con antivir:
:D non mi ha segnalato virus!!!!
ntiVir PersonalEdition Classic
Report file date: lunedì 3 settembre 2007 19:14
Scanning for 1043274 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Gianni Dj
Computer name: U2Z0Y4
Version information:
BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:16
AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:56
LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:06
LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:19:00
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 20:24:24
ANTIVIR2.VDF : 6.39.1.74 1637376 Bytes 02/09/2007 20:24:24
ANTIVIR3.VDF : 6.39.1.79 18944 Bytes 03/09/2007 12:39:06
AVEWIN32.DLL : 7.4.1.66 2789888 Bytes 02/09/2007 20:24:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:28
AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:52
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 02/09/2007 20:24:24
AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:10
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:06
AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:28
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:44
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:20
RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:44
Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: C:\Programmi\AntiVir PersonalEdition Classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: lunedì 3 settembre 2007 19:14
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'A:\'
[NOTE] In the drive 'A:\' no data medium is inserted!
Starting to scan the registry.
The registry was scanned ( '21' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'A:\'
Search path A:\ could not be opened!
Periferica non pronta.
Begin scan in 'D:\'
Search path D:\ could not be opened!
Periferica non pronta.
Begin scan in 'E:\'
Search path E:\ could not be opened!
Periferica non pronta.
End of the scan: lunedì 3 settembre 2007 19:56
Used time: 42:30 min
The scan has been done completely.
3301 Scanning directories
103114 Files were scanned
0 viruses and/or unwanted programs were found
0 classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
103114 Files not concerned
1182 Archives were scanned
2 Warnings
9 Notes
0 Hidden objects were found
e poi sempre in modalità provvisoria ho fatto la scanzione con a-squared free:
a-squared Free - Version 3.0
Last update: 03/09/2007 17.24.42
Impostazioni scansione:
Oggetti: Memoria, Tracce, Cookies, C:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On
Scansione avviata: 03/09/2007 19.57.54
C:\WINDOWS.003\wanmpsvc.exe rilevati: Heuristic.Dialer.RAS
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\011.part/CD2.ape rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\098.part/VIDEO_TS.VOB rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\039.part/xxx - BangBus 01 - Reagan.asf rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\008.part/ntg-vengeance_xvid1.avi rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\100.part/South_Park.S06E01.Freak_Strike.NFG.ShareReactor.mpg rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\220.part/Test Drive.cso rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\227.part/Roller Coaster Tycoon 3.iso rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\135.part/Ulead.Video.Studio.v9.0.GERMAN CD1.bin rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\276.part/cyg-iv8a.r36 rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\231.part/The Killers - Somebody Told Me (XFM Session 10-03).mp3 rilevati: Heuristic.ArchiveBomb
Scansionati
Files: 46579
Tracce: 137487
Cookies: 12
Processi: 10
Rilevato
Files: 11
Tracce: 0
Cookies: 0
Processi: 0
Chiavi registro: 0
Fine scansione: 03/09/2007 21.00.28
Tempo scansione: 1.02.34
vi prego ditemi che è tutto a posto, perchè sto diventando pazza.
Intendevi, questa???? :kiss: ....... :fiufiu:
No... :what:
Possibile che non esista su questo forum la faccina che si vergona? :eekk: :D
Lasciamo però spazio a ekrix, vittima del problema... :(
Demi :flower:, quel processo è legittimo anche se non e' essenziale.
Viene utilizzato da Apple per diversi software, come, per esempio, ITunes.
E', è anche utilizzato da Photoshop CS3 oppure, per la condivisione di files.
P.S.: controlla la posta in PM.
Intendevi, questa???? :kiss: ....... :fiufiu: vabbè ma te prego, provarci con argomenti da nerd è il colmo :asd:
mi ricorda tantissimo una certa scena del film "Hackers 2 - Operation Takedown" :D
e adesso se ne uscirà pure la demi@n sostenendo che nonnò, a lei interessano moltissimo :rolleyes:
dal momento che frequento da poco questa sezione e non vi avevo mai letti prima c'è la possibilità che voi due siate già fidanzati, nel qual caso ho fatto una di quelle FDM che sarebbe neanche da manuale, d'autore. :asd:
Riverside
03-09-2007, 21:00
mi ricorda tantissimo una certa scena del film "Hackers 2 - Operation Takedown"
Ma tu ad ironia stai messo a zero??
Al posto di intervenire per scrivere cazzate, se hai qualche soluzione da proporre per risolvere il problema segnalato (che non sia la formattazione) sarebbe, anche ben accetta.
P.S.: a me ricordi, "Net - intrappolata nella Rete", ma sono certo che non sei Sandra Bullock.
Riverside
03-09-2007, 21:08
Allora in modalità provvisoria ho fatto la scansione con antivir ……..
Ricapitoliamo: il log di Antvir ora sembra pulito cosi come è pulito quello di MSNFIX.
Asquared, invece, pare abbia trovato parecchie porcherie che hai beccato su Emule: le hai rimosse?:
a-squared Free - Version 3.0
Last update: 03/09/2007 17.24.42
Impostazioni scansione:
Oggetti: Memoria, Tracce, Cookies, C:\
Archivio scansioni: On
Scientifico: On
ADS Scan: On
Scansione avviata: 03/09/2007 19.57.54
C:\WINDOWS.003\wanmpsvc.exe rilevati: Heuristic.Dialer.RAS
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\011.part/CD2.ape rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\098.part/VIDEO_TS.VOB rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\039.part/xxx - BangBus 01 - Reagan.asf rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\008.part/ntg-vengeance_xvid1.avi rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\100.part/South_Park.S06E01.Freak_Strike.NFG.ShareReactor.mpg rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\220.part/Test Drive.cso rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\227.part/Roller Coaster Tycoon 3.iso rilevati: Heuristic.ArchiveBombC:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\135.part/Ulead.Video.Studio.v9.0.GERMAN CD1.bin rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\276.part/cyg-iv8a.r36 rilevati: Heuristic.ArchiveBomb
C:\Documents and Settings\Gianni Dj\Desktop\eMule\Temp\231.part/The Killers - Somebody Told Me (XFM Session 10-03).mp3 rilevati: Heuristic.ArchiveBomb
In ogni caso il problema della localizzazione è sempre presente.
Fa una cosa, ancora: scarica ed installa Vir.IT, aggiornalo e fai una scansione: qui per il download (http://www.tgsoft.it/italy/index_ita.html)
Si. li ho rimossi.
Adesso scarico il programma che mi hai detto, e vi riporto i risultati.
Riguardo al file C:\WINDOWS.003\ wdfmgr.exe , antivir mi ha segnalato che:
"C:\WINDOWS.003\wdfmgr.exe"
contains signature of the worm WORM\sdbot.5416...
e quindi ho confermato l'opzione "nega accesso".
Comunque Vir.IT non ha trovato niente:
VirIT eXplorer Lite Log
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
03/09/2007 - 22:23:41
[SCANSIONE DEL REGISTRO]
OK
[A:]
BOOT SECTOR: OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
[D:]
[E:]
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 30362.
Files Totali: 30362.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
lancetta
03-09-2007, 22:50
Ciao facciamo un'altra prova ancora.......scaricati Questo VUNDOFIX (http://www.atribune.org/public-beta/VundoFix.exe)
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....
Non ha trovato nessun file infetto.
VundoFix V6.5.8
Checking Java version...
Sun Java not detected
Scan started at 11.15.39 04/09/2007
Listing files found while scanning....
No infected files were found.
Perdonatemi la domanda:
wdfmgr.exe
non è il programma legittimo di media player (vedasi link)
http://www.parlandosparlando.com/view.php/id_509/lingua_0/whoisit_1
???
Quando capita di file con lo stesso nome stanno altrove (nel caso specifico non in system32), alcune volte uso una tecnica non propriamente professionale ma alquanto atipica:
vado con il puntatore del mouse sul file nella giusta posizione e vedo cosa mi compare come descrizione del file, faccio la stessa cosa sul file nella posizione sbagliata e, molto spesso, su questo file non si sono indicazioni microsoft che magari stavano sul primo, decido in modo totalmente arbitrario che quel file non appartiene a windows e lo cancello senza pensarci due volte.
So che per quest'ultima cosa scritta verrò duramente crititcato ma ... ...spesso (99%) funziona.
:confused:
Si però ogni volta che accendo il pc, antivir mi segnala wdfmgr.exe e io confermo l'opzione "nega accesso".
E quando vado per cercare il file nella cartella di WINDOWS non riesco a trovarlo...questo succede perchè ho ho negato l'accesso vero??!!!
quindi ho risolto il problema...:rolleyes:
oppure no??!!:doh:
comunque ho rifatto una scansione con msn fix...e mi dice sempre che l'infezione è presente.
MSNFix 1.488
C:\Documents and Settings\Gianni Dj\Desktop\MSNFix
Fix effettuato il 04/09/2007 - 13.26.10,54 By Gianni Dj
modalità normale
************************ Cercare i files presenti
... C:\WINDOWS.003\wdfmgr.exe
... C:\WINDOWS.003\Z058_jpg.zip
... C:\WINDOWS.003\system32\microsoft\backup.ftp
... C:\WINDOWS.003\system32\microsoft\backup.tftp
... C:\WINDOWS.003\Z058_jpg.zip
************************ Ricerca le cartelle presenti
Nessuna cartella trovata
************************ Eliminazione dei files
.. OK ... C:\WINDOWS.003\wdfmgr.exe
.. OK ... C:\WINDOWS.003\Z058_jpg.zip
.. OK ... C:\WINDOWS.003\system32\microsoft\backup.ftp
.. OK ... C:\WINDOWS.003\system32\microsoft\backup.tftp
.. OK ... C:\WINDOWS.003\Z058_jpg.zip
Riverside
04-09-2007, 12:46
Mi è venuto un dubbio:
Disattiva il Ripristino configurazione di sistema
Provvedi a svuotare del suo contenuto la cartella PREFETCH procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella).
Installa MSNFIX: clicca qui per il download (http://sosvirus.changelog.fr/MSNFix.zip)
● scompatta il file Zip, sul Desktop (verrà creata una cartella)
MSNFIX eseguilo da disconesso.
● lancia MSNFIX File batch
● digita I per impostare la lingua, e, premi invio
● digita R per cercare il malware
● digita N per eliminare ciò che trova
● digita A per creare il log da pubblicare
● digita R per ripulire il registro ed uscire
● digita Q per terminare MSNFix
Verrà creato un log ed un file Zip (lo trovi, assieme al log, all'interno della cartella posizionata sul Desktop), contenente i file infetti rimossi: cestina solo il file Zip, e ripulisci il cestino.
● Terminata la scansione con MSNFIX, riavvia il sistema
Una volta completato MSNFIX, pubblica il suo log, sul Forum, per farlo controllare.
ho disattivato il ripristino configurazione del sistema, ho svuotato la cartella prefetch che però ,non so perchè, da me si trova nella cartella WINDOWS.003
ho fatto la scansione con msnfix da disconnessa...e non mi ha trovato nessuna infezione.
Riverside
04-09-2007, 16:18
ho disattivato il ripristino configurazione del sistema, ho svuotato la cartella prefetch che però ,non so perchè, da me si trova nella cartella WINDOWS.003
ho fatto la scansione con msnfix da disconnessa...e non mi ha trovato nessuna infezione.
Per forza, MSNFIX la ha rimossa:
MSNFix 1.488
C:\Documents and Settings\Gianni Dj\Desktop\MSNFix
Fix effettuato il 04/09/2007 - 13.26.10,54 By Gianni Dj
modalità normale
* Cercare i files presenti
... C:\WINDOWS.003\wdfmgr.exe
... C:\WINDOWS.003\Z058_jpg.zip
... C:\WINDOWS.003\system32\microsoft\backup.ftp
... C:\WINDOWS.003\system32\microsoft\backup.tftp
... C:\WINDOWS.003\Z058_jpg.zip
* Ricerca le cartelle presenti
Nessuna cartella trovata
* Eliminazione dei files
.. OK ... C:\WINDOWS.003\wdfmgr.exe
.. OK ... C:\WINDOWS.003\Z058_jpg.zip
.. OK ... C:\WINDOWS.003\system32\microsoft\backup.ftp
.. OK ... C:\WINDOWS.003\system32\microsoft\backup.tftp
.. OK ... C:\WINDOWS.003\Z058_jpg.zip
Una cosa è sicura: con tutte le scansioni che ti abbiamo fatto eseguire in questi giorni, ora hai il P.C. più pulito del mondo.
Per quanto riguarda il problema di C:\WINDOWS.003 (fermo restando che, a mi parere, tutto ciò che è localizzato li dentro, è legittimo), ho esaurito le idee.
Nel corso della discussione, j100 aveva suggerito:
Il windows.003 .... se non ricordo male .... proviene dalla terza installazione di windows senza la rimozione delle versioni precedenti …..
Per caso, nel corso del tempo, hai ripristinato, utilizzando il CD di Windows, il sistema?.
no, non ho ripristinato nulla.
Comunque è strano perchè io nel disco locale (C) ho sia una cartella chiamata WINDOWS, un'altra WINDOWS.000, un'altra ancora WINDOWS.001, poi WINDOWS.002 e WINDOWS.003....
ma è normale??
Riverside
04-09-2007, 21:07
no, non ho ripristinato nulla.
Comunque è strano perchè io nel disco locale (C) ho sia una cartella chiamata WINDOWS, un'altra WINDOWS.000, un'altra ancora WINDOWS.001, poi WINDOWS.002 e WINDOWS.003.... ma è normale??
No che non lo è.
Ed è quello che stiamo cercando di capire, praticamente da quando hai aperto la discussione.
Puoi pubblicare uno screen del contenuto della cartella C:\WINDOWS??.
lancetta
04-09-2007, 23:46
e potresti vedere nelle proprietà della cartella a che data risalgono?
:D :D :D :D
mi sa che il problema è stato risolto!!
sono andata su msn e non è successo nulla di strano!!!
no, non ho ripristinato nulla.
Comunque è strano perchè io nel disco locale (C) ho sia una cartella chiamata WINDOWS, un'altra WINDOWS.000, un'altra ancora WINDOWS.001, poi WINDOWS.002 e WINDOWS.003....
ma è normale??
Il problema, erik, non è che tu hai ripristinato un'installazione di windows, ma hai rifatto ben tre installazioni quando già ne stava una senza disinstallare la vecchia. Windows, quando fai una nuova installazione ti chiede la cartella, e se tu vai avanti senza specificare niente, per default mette un .000 poi .001 poi .002 poi .003 .... Questo è l'unico motivo per cui hai tutte quelle le cartelle.
Fai attenzione che non puoi cancallare nemmeno uina di quelle cartelle... ...in particolare la prima "windows" e l'ultima "windows.003"... ...se dovessi cancellarne una non parte più il pc inquanto i grandi geni dei ingegneri al lavoro di occhialino da topo (Bill) in una situazione di questo tipo ti lasciano alcuni file che vengono presi dalla prima cartella e altri dall'ultima. :O :eek: :sbav:
Scusate se mi son lasciato andare ma quella con occhialino da topo è una vecchia storia che mi rode non poco.
Riverside
05-09-2007, 13:41
:D :D :D :D mi sa che il problema è stato risolto!!
sono andata su msn e non è successo nulla di strano!!!
Quel problema si è risolto dopo aver eseguito la procedura indicata nella Guida.
Forse non ci siamo capiti Ekrix, ma il tuo problema, in questo momento, è quel C:\WINDOWS.003 (e, come hai segnalato prima, 001 - 002) ed è su quello che ti abbiamo chiesto qualche informazione in più.
Insomma, saremmo tutti curiosi di capire per quale ragione tutti i processi legittimi di sistema che dovrebbero essere sotto C:\WINDOWS siano localizzati in una cartella diversa.
Ti avevo chiesto, in proposito, di pubblicare una screenshot del contenuto della cartella C:\WINDOWS (visto che dici che è presente).
Lunaqueen
13-09-2007, 15:27
Salve a tutti, sono stata infettata anche io dal quel tipo di virus su msn, ho trovato per caso il blog di Marco Lancini e ho visto la guida per risolverlo. Sono arrivata a MSNFIX.
Ho il log, vorrei farlo controllare, lo lascio in allegato.
Aspetto risposte, grazie! :)
Riverside
13-09-2007, 19:06
Salve a tutti, sono stata infettata anche io dal quel tipo di virus su msn, ho trovato per caso il blog di Marco Lancini e ho visto la guida per risolverlo. Sono arrivata a MSNFIX.
Ho il log, vorrei farlo controllare, lo lascio in allegato. Aspetto risposte, grazie! :)
c'è un thread semi-ufficiale sulla questione: http://www.hwupgrade.it/forum/showthread.php?t=1547867
posta il log di MSNFIX li, e prosegui, poi, in quella discussione.
Lunaqueen
13-09-2007, 19:40
Si, ho già postato lì :)
Ma non vedo la risposta...
Scusa per l'errore.
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.