View Full Version : Antivirus scomparso - Installazione applicazioni crashante
ciao,
E' un pò complicato da spiegare ma faro' del mio meglio... Innanzitutto uso avast! antivirus ed ora e' completamente inutilizzabile: nonostante abbia provato a reinstallarlo, il programma non ne vuole sentire di partire, ce' addirittura l'icona sul desktop con la classica finestrella di "apri con"... eppure il programma e' installato.
qualcuno direbbe:- disinstallalo e reinstallalo:O ... niente da fare , se entro in pannello di controllo ---> installazione applicazioni, mi appare la classica schermata blu che dice solo che si e' verificato un problema ecc ecc con la solita informazione tecnica ***stop 0x000 ecc ecc.:stordita: e sono costretto a riavviare il computer...
ho provato a cercare l'uninstaller nella cartella di avast! ma non ce'.
stessa cosa che e' successa con avast e' successa con un altra applicazione, stessa identica cosa icona finestrella programma mancante... eppure ce' tutto dentro la cartella :eek ... ho fatto anche una scansione con Registry Mechanic e ho risolto 254 problemi ma e' stato inutile, e anche una scansione con il cleaner di avast! che essendo una applicazione separata mi ha permesso di fare scansione...
qualcuno sa cosa sia successo?
Chill-Out
18-09-2007, 15:42
ciao,
E' un pò complicato da spiegare ma faro' del mio meglio... Innanzitutto uso avast! antivirus ed ora e' completamente inutilizzabile: nonostante abbia provato a reinstallarlo, il programma non ne vuole sentire di partire, ce' addirittura l'icona sul desktop con la classica finestrella di "apri con"... eppure il programma e' installato.
qualcuno direbbe:- disinstallalo e reinstallalo:O ... niente da fare , se entro in pannello di controllo ---> installazione applicazioni, mi appare la classica schermata blu che dice solo che si e' verificato un problema ecc ecc con la solita informazione tecnica ***stop 0x000 ecc ecc.:stordita: e sono costretto a riavviare il computer...
ho provato a cercare l'uninstaller nella cartella di avast! ma non ce'.
stessa cosa che e' successa con avast e' successa con un altra applicazione, stessa identica cosa icona finestrella programma mancante... eppure ce' tutto dentro la cartella :eek ... ho fatto anche una scansione con Registry Mechanic e ho risolto 254 problemi ma e' stato inutile, e anche una scansione con il cleaner di avast! che essendo una applicazione separata mi ha permesso di fare scansione...
qualcuno sa cosa sia successo?
Avast colpisce ancora, si tratta di Bagle innazitutto prova con questo tool:
http://www.zonavirus.com/datos/desca...5/elibagla.asp scorri in fondo e clicca su DESCARGAR EliBaglA avvia EliBaglA, spunta la casella "eliminar ficheros automaticamente", e fai la scansione. Riavvia il pc e posta il log in C:InfoSat.txt.
Avast colpisce ancora, si tratta di Bagle innazitutto prova con questo tool:
http://www.zonavirus.com/datos/desca...5/elibagla.asp scorri in fondo e clicca su DESCARGAR EliBaglA avvia EliBaglA, spunta la casella "eliminar ficheros automaticamente", e fai la scansione. Riavvia il pc e posta il log in C:InfoSat.txt.
Tue Sep 18 15:52:42 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.53
a "
[email protected]". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE --> Bagle Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\FLEC006.EXE.Muestra EliBagle v10.53
a "
[email protected]". Gracias.
C:\DOCUMENTS AND SETTINGS\EBEEEE\DATI APPLICAZIONI\M\FLEC006.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\EBEEEE\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"
Tue Sep 18 15:53:39 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Tue Sep 18 15:59:11 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Tue Sep 18 16:00:58 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\Drivers\HIDR.EXE.VIR --> Eliminado
Tue Sep 18 16:01:45 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Tue Sep 18 16:07:47 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Tue Sep 18 16:09:42 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Tue Sep 18 16:09:44 2007
EliBagle v10.53 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
ecco...
Chill-Out
18-09-2007, 16:35
Scarica Gmer http://files3.majorgeeks.com/files/536a76f94cf7535158f66cfbd4b113b6/spyware/gmer.zip
scompatta il file, lancia la scansione alla ricerca di eventuali elementi hidden (rootkit) cancella eventuali voci in rosso, posta il log.
Scarica Gmer http://files3.majorgeeks.com/files/536a76f94cf7535158f66cfbd4b113b6/spyware/gmer.zip
scompatta il file, lancia la scansione alla ricerca di eventuali elementi hidden (rootkit) cancella eventuali voci in rosso, posta il log.
ho appena finito di fare la scansione con gmer ma il log e' lunghissimo! lo posto comunque?
ho cancellato tutte le voci in rosso
Riverside
18-09-2007, 17:39
ho appena finito di fare la scansione con gmer ma il log e' lunghissimo! lo posto comunque? ho cancellato tutte le voci in rosso
Posta il log, te lo hanno chiesto.
In ogni caso EliBaglA ha rimosso parte dell'infezione.
Chill-Out
18-09-2007, 17:52
In attesa del log di Gmer, per costruire lo script giusto (visto le tante varianti del virus) da inserire in The Avenger lo puoi gia scaricare da qui:
http://swandog46.geekstogo.com/avenger.zip
sarebbe meglio fare una scansione online con Kaspersky http://www.kaspersky.com/virusscanner selezionado Scan My Computer e salvando il log in formato Html
prima però:
Disattiva ripristino configurazione sistema, se non sai come fare leggi la guida del Supporto Tecnico Microsoft http://support.microsoft.com/kb/310405/it
Installa CCLEANER: http://download.piriform.com/ccsetup141.exe
clicca sulla icona di Setup, si avvierà il Wizard di installazione; una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui
ho hostato il file perche' addirittura si bloccava quando selezionavo invia risposta... ecco il link http://www.filehost.gr/download.php?file=8f401646d45f8ff53d7b9cccb942a4a4
xcdegasp
18-09-2007, 18:09
ho hostato il file perche' addirittura si bloccava quando selezionavo invia risposta... ecco il link http://www.filehost.gr/download.php?file=8f401646d45f8ff53d7b9cccb942a4a4
1,39Mb di file di testo? ma chè?? :eek: :mbe:
1,39Mb di file di testo? ma chè?? :eek: :mbe:
lo so e' enorme !!!:read: per quello gli ho dato quel nome e chiedevo se dovevo postarlo comunque nonostante le dimensioni :O
xcdegasp
18-09-2007, 18:19
lo so e' enorme !!!:read: per quello gli ho dato quel nome e chiedevo se dovevo postarlo comunque nonostante le dimensioni :O
ma con che cavolo di roba ti sei infettato? :eek:
veramente, txt così lunghi li vedo solo al lavoro ma per altre cose che non hanno a che vedere con virus/malware :D :p
il problema è che saranno più 10000 righe.. analizzarle tutte è da sclero....
Chill-Out
18-09-2007, 18:31
ma con che cavolo di roba ti sei infettato? :eek:
veramente, txt così lunghi li vedo solo al lavoro ma per altre cose che non hanno a che vedere con virus/malware :D :p
il problema è che saranno più 10000 righe.. analizzarle tutte è da sclero....
si è da sclero :muro: , comunque tentiamo di rimuovere Bagle in modo da poter reinstallare il parco software di sicurezza.
si è da sclero :muro: , comunque tentiamo di rimuovere Bagle in modo da poter reinstallare il parco software di sicurezza.
si ora sta scansionando con kaspersky online ci sta mettendo un bel po' :stordita:
ho finito la scansione ma per eliminarli mi dice di comprare kaspersky...
rimetto avast oppure che faccio? illuminatemi :cry:
Riverside
18-09-2007, 21:03
ho finito la scansione ma per eliminarli mi dice di comprare kaspersky... metto avast oppure che faccio? illuminatemi :cry:
Ma che rimetti Avast :( non ti bastano tutti i casini che hai??
ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho, ed altre cose importanti ed interessanti in relazione ad Antivir.
Mentre gli altri sono alle prese con il tuo log di Gmer, pubblica un log di HThis, per favore:
HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una nuova Cartella sul Desktop (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona di Startup)
● lancialo poi clicca su Scan ed una volta che è stata creata la list, clicca su Save Log
Ma che rimetti Avast :( non ti bastano tutti i casini che hai??
ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho, ed altre cose importanti ed interessanti in relazione ad Antivir.
Mentre gli altri sono alle prese con il tuo log di Gmer, pubblica un log di HThis, per favore:
HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
● crea una nuova Cartella sul Desktop (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip (verrà creata una icona di Startup)
● lancialo poi clicca su Scan ed una volta che è stata creata la list, clicca su Save Log
grazie mille spero che antivir non mi faccia passare certe *******:D
Riverside
18-09-2007, 21:15
grazie mille spero che antivir non mi faccia passare certe *******:D
Vuoi reinstallare Avast SiVirus :D :nonsifa:
Vuoi reinstallare Avast SiVirus :D :nonsifa:
mhauhauauahauhauha nono... ho installato proprio ora antivir, aggiornato, ora lo configuro :D
ecco il log di hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.24.41, on 18/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\GameSpot\DownloadManager_Win32.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Ebeeee\IMPOST~1\Temp\Rar$EX00.157\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avast.com/eng/avast_4_professional.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programmi\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [igndlm.exe] C:\Programmi\IGN\Download Manager\dlm.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CursorXP] C:\Programmi\CursorXP\CursorXP.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0835BC90-6ABC-4F52-A103-4FC3A61F2C33} (A18X Control) - http://www.albatross18.com/season2/cabs/A18X.ocx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.2.100.cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25A63873-8C73-4305-9775-41FCB8FF47C0}: NameServer = 192.168.1.1
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DNADownloader - CNET Networks - C:\Programmi\GameSpot\DownloadManager_Win32.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
--
End of file - 8667 bytes
hai mai pensato a fare una scansione online con kaspersky?????
ps. il link è nella mia firma...
Chill-Out
18-09-2007, 21:41
ho finito la scansione ma per eliminarli mi dice di comprare kaspersky...
rimetto avast oppure che faccio? illuminatemi :cry:
Non ti ho mai detto che Kaspersky avrebbe disinfettato il PC, serviva semplicemente il log (che non vedo) della scansione per confezionare lo script per Avenger, capisco l'ansia di risolvere il problema ma leggere però, in ogni caso se sei riuscito ad installare Antivir il tool e gmer hanno lavorato a dovere.
Chill-Out
18-09-2007, 21:42
hai mai pensato a fare una scansione online con kaspersky?????
ps. il link è nella mia firma...
la scansione l'ha già fatta.
Riverside
18-09-2007, 21:48
ecco il log di hijackthis:
Intanto, disattiva il Ripristino configurazione di sistema, e lascialo disattivato fino a quando non si sarà risolto il tuo problema.
Il log di HThis è pulito.
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
per questo riferimento, se conosci quel sito bene, altrimenti fixa, tranquillamente, la voce.
Poi, sempre in attesa di una risposta sul log di GMer, dilettati anche con questo ;) :
SYSCLEAN TRENDMICRO clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● crea, sul Desktop, una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente):
clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita il ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean ed attendi il responso finale.
hai mai pensato a fare una scansione online con kaspersky?????
ps. il link è nella mia firma...
gia fatta :D e mi ha trovato 3 virus e 6 file infetti ora sto procedendo con la scansione usando antivir... speriamo bene :D
stavo facendo la scansione con antivir quando ad un certo punto lo speaker interno del case ha iniziato a fare rumori :eek: ogni file esaminato fa un "bip" ma e' normale? :eek:
ora devo andare via... ci sono tutta la sera che combatto :muro: lascio la scansione a proseguire, intanto ha smesso di fare rumori :stordita:
Non ti ho mai detto che Kaspersky avrebbe disinfettato il PC, serviva semplicemente il log (che non vedo) della scansione per confezionare lo script per Avenger, capisco l'ansia di risolvere il problema ma leggere però, in ogni caso se sei riuscito ad installare Antivir il tool e gmer hanno lavorato a dovere.
ecco il log di kaspersky scusa tra tutte ste cose da fare mi ero dimenticato
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, September 18, 2007 8:20:46 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.1
Kaspersky Anti-Virus database last update: 18/09/2007
Kaspersky Anti-Virus database records: 420314
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true
Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
Scan Statistics:
Total number of scanned objects: 136447
Number of viruses found: 3
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 01:32:04
Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\cert8.db Object is locked skipped
C:\Documents and Settings\Ebeeee\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\history.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\key3.db Object is locked skipped
C:\Documents and Settings\Ebeeee\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\parent.lock Object is locked skipped
C:\Documents and Settings\Ebeeee\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\search.sqlite Object is locked skipped
C:\Documents and Settings\Ebeeee\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\urlclassifier2.sqlite Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Cronologia\History.IE5\MSHist012007091820070919\index.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\*******@hotmail.it\SharingMetadata\Logs\Dfsr00005.log Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\*******@hotmail.it\SharingMetadata\pending.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\*******@hotmail.it\SharingMetadata\Working\database_A808_19C0_819_8E86\dfsr.db Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\*******@hotmail.it\SharingMetadata\Working\database_A808_19C0_819_8E86\fsr.log Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\*******@hotmail.it\SharingMetadata\Working\database_A808_19C0_819_8E86\fsrtmp.log Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\*******@hotmail.it\SharingMetadata\Working\database_A808_19C0_819_8E86\tmp.edb Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Contacts\*******@hotmail.it\real\members.stg Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Contacts\*******@hotmail.it\shadow\members.stg Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\qwlixcla.default\Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Temp\~DF1739.tmp Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Temp\~DF17F6.tmp Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Temp\~DF412C.tmp Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Temp\~DF4139.tmp Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Ebeeee\Impostazioni locali\Temporary Internet Files\Content.IE5\SPQ25W1P\mxd[1].jpg Infected: Trojan-Downloader.Win32.Bagle.ea skipped
C:\Documents and Settings\Ebeeee\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\Ebeeee\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.53 Infected: Trojan-Downloader.Win32.Bagle.dq skipped
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2007-09-18.16-01-04.log Object is locked skipped
C:\Programmi\CursorXP\CursorXP.exe Infected: Trojan-Downloader.Win32.Bagle.dq skipped
C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe Infected: Trojan-Downloader.Win32.Bagle.dq skipped
C:\Programmi\GameSpot\logs\GameSpot_Download_Service.log Object is locked skipped
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\access_log Object is locked skipped
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error.log Object is locked skipped
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\error_log Object is locked skipped
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\logs\ssl_request_log Object is locked skipped
C:\Programmi\Player Tool\3wPlayer-1.0.0.3-setup-0312.exe/file8 Infected: Trojan.Win32.Obfuscated.en skipped
C:\Programmi\Player Tool\3wPlayer-1.0.0.3-setup-0312.exe Inno: infected - 1 skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{3C151C8F-6AA9-4942-B7FA-292C8EE0814A}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\nmp.log Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
Scan process completed.
Riverside
18-09-2007, 22:20
Scan Statistics:
Total number of scanned objects: 136447
Number of viruses found: 3
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 01:32:04
C:\Documents and Settings\Ebeeee\Impostazioni locali\Temporary Internet Files\Content.IE5\SPQ25W1P\mxd[1].jpg Infected: Trojan-Downloader.Win32.Bagle.ea skipped
C:\Muestras\HIDR.EXE.Muestra EliBagle v10.53 Infected: Trojan-Downloader.Win32.Bagle.dq skipped
C:\Programmi\CursorXP\CursorXP.exe Infected: Trojan-Downloader.Win32.Bagle.dq skipped
C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe Infected: Trojan-Downloader.Win32.Bagle.dq skipped
C:\Programmi\Player Tool\3wPlayer-1.0.0.3-setup-0312.exe/file8 Infected: Trojan.Win32.Obfuscated.en skipped
C:\Programmi\Player Tool\3wPlayer-1.0.0.3-setup-0312.exe Inno: infected - 1 skipped
Bene ora che siamo in possesso di questo fondamentale dato: (non serviva certo una scansione online per farci capire che il P.C. è infetto) vuoi, per favore, eseguire la procedura che ti ho indicato prima (e pubblicare qui, il log di TrendMicro, quello si che è importante).
Chill-Out
18-09-2007, 23:46
Intanto, disattiva il Ripristino configurazione di sistema, e lascialo disattivato fino a quando non si sarà risolto il tuo problema.
Il log di HThis è pulito.
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
per questo riferimento, se conosci quel sito bene, altrimenti fixa, tranquillamente, la voce.
Poi, sempre in attesa di una risposta sul log di GMer, dilettati anche con questo ;) :
SYSCLEAN TRENDMICRO clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● crea, sul Desktop, una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente):
clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita il ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean ed attendi il responso finale.
Non sono così esperto da riuscire ad interpretare tutte le voci in "nero", ma probabilmente qui qualcuno lo è quindi è in grado di capire nel dettaglio i valori riportati dalla casella Type. Principalmente il log serviva per capire quali elementi hidden erano stati cancellati.
Chill-Out
18-09-2007, 23:47
Bene ora che siamo in possesso di questo fondamentale dato: (non serviva certo una scansione online per farci capire che il P.C. è infetto) vuoi, per favore, eseguire la procedura che ti ho indicato prima (e pubblicare qui, il log di TrendMicro, quello si che è importante).
Sono di passaggio, la scansione serviva per capire come compilare lo script in avenger, saresti gentile da farlo tu. Grazie.
ecco il report di sysclean:
Damage Cleanup Engine (DCE) 5.3(Build 1103)
Windows XP(Build 2600: Service Pack 2)
Start time : mer set 19 2007 18:36:35
Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Ebeeee\Desktop\Sysclean\TMRDCT.ptn" (version ) [fail]
Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Ebeeee\Desktop\Sysclean\tsc.ptn" (version 896) [success]
Complete time : mer set 19 2007 18:40:28
Execute pattern count(2913), Virus found count(0), Virus clean count(0), Clean failed count(0)
Damage Cleanup Engine (DCE) 5.3(Build 1103)
Windows XP(Build 2600: Service Pack 2)
Start time : mer set 19 2007 18:42:35
Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Ebeeee\Desktop\Sysclean\TMRDCT.ptn" (version ) [fail]
Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Ebeeee\Desktop\Sysclean\tsc.ptn" (version 896) [success]
Complete time : mer set 19 2007 18:46:26
Execute pattern count(2913), Virus found count(0), Virus clean count(0), Clean failed count(0)
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.