Ciao a tutti.
Non so se sono infetto ma credo di no, dato che di problemi non ne vedo.
Da premettere che come antivirus uso Antivir.
Capita spesso anche una volta al giorno che mentre navigo mi compare il messaggio di guardian per dirmi che ha trovato un virus e nel caso specifico un trojan horse.
Io naturalmente faccio subito delete.
Me li trova sempre nella cartella:
D:\Documents and Settings\padi\Impostazioni locali\Temp
Sono sempre dei file .exe che trova.
Volevo sapere se potrei essere infetto o se è normale che navigando sul web si becchino sti trojan.
Ah non è che visito chissà quali siti, mi capita pure svogliando le pagine di hwupgrade.
Che mi dite?

log di hijackthis (www.trendsecure.com), e dimmi se hai un firewall

puoi scaricarlo velocemente dalla mia firma! :D

...anche un log di gmer e findawf non sarebbe male

log di hijackthis (www.trendsecure.com), e dimmi se hai un firewall
quello di XP

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.24.36, on 12/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
D:\Programmi\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
D:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
D:\WINDOWS\system32\GSICON.EXE
D:\WINDOWS\system32\dslagent.exe
D:\WINDOWS\system32\CTHELPER.EXE
D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
D:\windows\system32\winlogon.exe
D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programmi\Outlook Express\msimn.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programmi\Acronis\TrueImageEnterprise\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "D:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "D:\Programmi\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ssmala.exe] D:\DOCUME~1\padi\IMPOST~1\Temp\ssmala.exe
O4 - HKLM\..\Run: [manxhbfj] "d:\windows\system32\manxhbfj.exe"
O4 - HKLM\..\Run: [ATIPTA] D:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{79E75D3B-FEFE-4DC0-B51A-801CB1A63A9C}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

--
End of file - 4229 bytes

O4 - HKLM\..\Run: [ssmala.exe] D:\DOCUME~1\padi\IMPOST~1\Temp\ssmala.exe
O4 - HKLM\..\Run: [manxhbfj] "d:\windows\system32\manxhbfj.exe"

fai analizzare questi 2 qui (http://www.virustotal.com/),almeno sappiamo con che infezione abbiamo a che fare e ci regoliamo di conseguenza.
c'avrei giurato che avessi hwu come homepage!:D

fai analizzare questi 2 qui (http://www.virustotal.com/),almeno sappiamo con che infezione abbiamo a che fare e ci regoliamo di conseguenza.
ho fatto la scansione con antivir ma non me li rileva come virus.
cmq come dicevo non ho nessunissimo problema sul pc solo che ogni tot di tempo (fai chessò 24-48 ore) mi scatta il guardian antivir che mi trova un trojan.
magari boh me li piglio navigando
c'avrei giurato che avessi hwu come homepage!:D
LOL :D

Ah poi uso spesso anche Emule.
Da quello si possono prendere trojan?

ho fatto la scansione con antivir ma non me li rileva come virus.
cmq come dicevo non ho nessunissimo problema sul pc solo che ogni tot di tempo (fai chessò 24-48 ore) mi scatta il guardian antivir che mi trova un trojan.
magari boh me li piglio navigando


non è che te lo pigli,ce l'hai già nel sistema,di tanto in tanto si aziona per questo il guard di avira lo intercetta.
nel post precedente clicca su "qui",ti si apre un sito in cui poter analizzare quegli eseguibili che ti ho indicato prima

Ah poi uso spesso anche Emule.
Da quello si possono prendere trojan?

se scarichi fakes si,nell'utilizzo comune assoltamente no

fai analizzare questi 2 qui (http://www.virustotal.com/),almeno sappiamo con che infezione abbiamo a che fare e ci regoliamo di conseguenza.
c'avrei giurato che avessi hwu come homepage!:D
da quel sito mi esce sta scritta:
0 bytes size received / Se ha recibido un archivo vacio

cmq ora provo con un antispyware e veduma se mi trova qualcosa.

da quel sito mi esce sta scritta:
0 bytes size received / Se ha recibido un archivo vacio

cmq ora provo con un antispyware e veduma se mi trova qualcosa.
i file intanto gli hai trovati?effettivamente sono di o kb?nel caso non fosse così zippali prima di fare l'upload

ma sto file manxhbfj.exe che caspita sarebbe?
non riesco manco a zipparlo nè a copiarlo.
è un file da 32KB
l'altro file invece non c'è più.

se lo copio mi esce:

ma sto file manxhbfj.exe che caspita sarebbe?
non riesco manco a zipparlo nè a copiarlo.

disabilita il ripristino configurazione di sistema

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

SYSCLEAN TRENDMICRO clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● crea, una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta all’interno della cartella creata, il file zippato contenente le definizioni
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● pubblica, il relativo log

Inoltre, dopo aver eseguito i due tool, pubblica un nuovo log di Hthis.

ecco me ne ha beccato uno proprio ora.
guardate un po'.
ecco sono tipo così

http://pasqdit.interfree.it/virus.jpg

è in uso ecco perchè non riesci a copiarlo o zipparlo, avvia in provvisoria ed esegui una scansione completa con Antivir, ricordi se i files in questione hanno l'icona con le labbra rosse? ciao

è in uso ecco perchè non riesci a copiarlo o zipparlo, avvia in provvisoria ed esegui una scansione completa con Antivir, ricordi se i files in questione hanno l'icona con le labbra rosse? ciao
anche in modalità provvisoria non riesco nè a copiarlo nè a zipparlo
sarà quello allora?
uhm sai che non lo so che icona hanno?
quando il guardian segnala faccio delete e li elimino
la prox volta che ricapita vado nella cartella temp e vedo che icona hanno

è in uso ecco perchè non riesci a copiarlo o zipparlo, avvia in provvisoria ed esegui una scansione completa con Antivir, ricordi se i files in questione hanno l'icona con le labbra rosse? ciao

non erano igfxsvc e spoolw32 quelli delle labbra rosse+dialer?

cmq vabbè se non provoca danni me lo tengo.
al prossimo format lo eliminerò :p

facciamo così,includi in avenger (http://www.megalab.it/articoli.php?id=946) questo script:
Files to delete:
D:\DOCUMENTS AND SETTINGS\padi\IMPOSTAZIONI LOCALI\Temp\ssmala.exe
D:\windows\system32\manxhbfj.exe
D:\DOCUMENTS AND SETTINGS\padi\IMPOSTAZIONI LOCALI\Temp\uvxsda.exe
il fetente senza dubbio si rigenera,però almeno riuscirai a ritrovarteli in un zipo in C:\avenger in modo da potermeli passare,voglio vedere che modifiche apporta;)

facciamo così,includi in avenger (http://www.megalab.it/articoli.php?id=946) questo script:
il fetente senza dubbio si rigenera,però almeno riuscirai a ritrovarteli in un zipo in C:\avenger in modo da potermeli passare,voglio vedere che modifiche apporta;)
uhm ogni volta nella cartella temp ha un nome diverso per cui non penso sia molto utile sto script.
caspita mi sa che è proprio quello il file che provoca problemi
quello nella cartella system32 chiamato manxhbfj.exe
non esiste un modo per deletarlo?

uhm ogni volta nella cartella temp ha un nome diverso per cui non penso sia molto utile sto script.

cambia una volta che lo elimini no?prova a prender nota del nome attuale e prova a eliminarlo con avenger

cambia una volta che lo elimini no?prova a prender nota del nome attuale e prova a eliminarlo con avenger
domani vedo :D
ora devo uscire
adesso la cartella temp è vuota

non erano igfxsvc e spoolw32 quelli delle labbra rosse+dialer?
No, sono random i nomi, ciao

ecco qua
nessuna icona rossa

http://pasqdit.interfree.it/virus2.jpg

facciamo così,includi in avenger (http://www.megalab.it/articoli.php?id=946) questo script:
il fetente senza dubbio si rigenera,però almeno riuscirai a ritrovarteli in un zipo in C:\avenger in modo da potermeli passare,voglio vedere che modifiche apporta;)
vuoi che ti passo uno di quelli che crea nella cartella temp?
giusto?
appena me ne crea uno lo zippo.
ora l'ho deletato :(

guarda che dovresti averne uno anche in system32 sempre con nomi random,prova a vedere

guarda che dovresti averne uno anche in system32 sempre con nomi random,prova a vedere
si vabbè ma nella cartella system32 ci saranno 2000 files :D
ma non credo cmq
l'antivirus becca solo quelli generati nella cartella temp

si vabbè ma nella cartella system32 ci saranno 2000 files :D
ma non credo cmq
l'antivirus becca solo quelli generati nella cartella temp

ordinali per data recente ;)

ecco
c'è qualche file strano?

http://pasqdit.interfree.it/system32.jpg

di questo
D:\windows\system32\manxhbfj.exe
nessuna traccia?

di questo

nessuna traccia?
eccolo:

http://pasqdit.interfree.it/virus3.jpg

ecco,zippamelo assieme a quella roba nella cartella temporea,in pvt ti passo il contatto mail ;)

ecco,zippamelo assieme a quella roba nella cartella temporea,in pvt ti passo il contatto mail ;)
ma quello non posso :(
mi dice sempre che è in uso e non me lo fa zippare.
nella cartella temp ora non c'è nulla
appena entra copio e te lo passo ;)

devi farlo da modalità provvisoria

Logfile of Trend Micro HijackThis v2.0.2

Intanto, mentre risolvete la questione del passaggio del file, fixa queste voci:

O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programmi\Acronis\TrueImageEnterprise\TrueImageMonitor.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] D:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe

da aggiornare INTERNET EXPLORER: clicca qui per il download (https://www.microsoft.com/italy/windows/downloads/ie/getitnow.mspx)
scorri fino in fondo la pagina web, a sinistra devi selezionare il tuo sistema operativo (nel tuo caso sarà Windows XP ServicePack2 e avvii il download

da aggiornare JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

devi farlo da modalità provvisoria
stessa cosa
mi da sempre errore di copia
dai appena si rigenera nella cartella temp te lo mando ;)

Intanto, mentre risolvete la questione del passaggio del file, fixa queste voci:

O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programmi\Acronis\TrueImageEnterprise\TrueImageMonitor.exe

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] D:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe

da aggiornare INTERNET EXPLORER: clicca qui per il download (https://www.microsoft.com/italy/windows/downloads/ie/getitnow.mspx)
scorri fino in fondo la pagina web, a sinistra devi selezionare il tuo sistema operativo (nel tuo caso sarà Windows XP ServicePack2 e avvii il download

da aggiornare JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso
Uhm azzz
Mi pare un bello sbattimento :D
No vabbè appena ho tempo faccio il ripristino immagine con acronis true image (ho l'immagine di windows appena installato).
Solo che ho un bel po' di roba nella partizione dove ho il S.O. e non ho voglia per ora di masterizzare.

ci sarebbe una soluziwone un po' più ortodossa ma forse può funzionare; ma non paratemi per questo
installati eqsecure3.4, vai nelle impostazioni della file protection e da li inserisci un regola che blocchi la scrittura di file nella temp; poi nella application protect inserisci un regola che blocchi l'esecuzione da quella cartella; forse così ce la facciamo

mi ci gioco quel che vuoi che oltre a quegli exe c'hai pure una DLL...fai uno scan completo da modalità provvisoria...eddai :ave:

mi ci gioco quel che vuoi che oltre a quegli exe c'hai pure una DLL...fai uno scan completo da modalità provvisoria...eddai :ave:

sono perfettamente d'accordo

mi ci gioco quel che vuoi che oltre a quegli exe c'hai pure una DLL...fai uno scan completo da modalità provvisoria...eddai :ave:
fatto e non ha trovato nulla.
ecco ti passo anche il log di antivir





AntiVir PersonalEdition Classic
Report file date: domenica 14 ottobre 2007 13:46

Scanning for 878606 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: padi
Computer name: PADITORA

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 10/09/2007 14:06:58
AVSCAN.DLL : 7.0.6.0 49192 Bytes 10/09/2007 14:06:58
LUKE.DLL : 7.0.5.3 147496 Bytes 10/09/2007 14:06:59
LUKERES.DLL : 7.0.6.1 10280 Bytes 10/09/2007 14:06:59
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:59:09
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 09:02:54
ANTIVIR2.VDF : 7.0.0.57 446464 Bytes 07/10/2007 11:18:57
ANTIVIR3.VDF : 7.0.0.84 166912 Bytes 13/10/2007 11:35:55
AVEWIN32.DLL : 7.6.0.23 2753024 Bytes 12/10/2007 11:18:29
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 10/09/2007 14:06:58
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 14:39:26
AVREG.DLL : 7.0.1.6 30760 Bytes 10/09/2007 14:06:58
AVARKT.DLL : 1.0.0.20 278568 Bytes 10/09/2007 14:06:56
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 10/09/2007 14:06:56
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 10/09/2007 14:06:54
RCTEXT.DLL : 7.0.62.0 86056 Bytes 10/09/2007 14:06:54
SQLITE3.DLL : 3.3.17.1 339968 Bytes 10/09/2007 14:06:59

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: D:\Documents and Settings\All Users\Dati applicazioni\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: domenica 14 ottobre 2007 13:46

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
11 processes with 11 modules were scanned

Start scanning boot sectors:
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
D:\WINDOWS\system32\manxhbfj.exe
[WARNING] The file could not be opened!
The registry was scanned ( '37' files ).


Starting the file scan:

Begin scan in 'D:\'
D:\pagefile.sys
[WARNING] The file could not be opened!
D:\WINDOWS\system32\manxhbfj.exe
[WARNING] The file could not be opened!


End of the scan: domenica 14 ottobre 2007 14:02
Used time: 16:46 min

The scan has been done completely.

1786 Scanning directories
90783 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
90783 Files not concerned
767 Archives were scanned
3 Warnings
127 Notes

prova con lo scan rootkit attivo

prova con lo scan rootkit attivo

o più semplicemente scan con gmer e panda antirootkit

ma posso usare 200.000 programmi per lo scan :D
ma se non me lo fa eliminare come si fa.
nel vostro XP c'è quel file?

ma posso usare 200.000 programmi per lo scan :D
ma se non me lo fa eliminare come si fa.
nel vostro XP c'è quel file?
ovvio che no,altrimenti ti avrei saputo dire già come fare...per questo vorrei quel file,infettarmi e vedere cosa crea e modifica :D

o più semplicemente scan con gmer e panda antirootkit

esatto,anzi già che ci siamo testiamo l'avira antirootkit (http://dl.antivir.de/down/windows/antivir_rootkit.zip)

esatto,anzi già che ci siamo testiamo l'avira antirootkit (http://dl.antivir.de/down/windows/antivir_rootkit.zip)

non è stand alone da quel che mi ricordi

anche antirootkit non trova nulla
ma su XP non si può fare una roba come il vecchio windows98?
ossia avviare da un dischetto e copiarsi i file usando i comandi dos.

anche antirootkit non trova nulla
ma su XP non si può fare una roba come il vecchio windows98?
ossia avviare da un dischetto e copiarsi i file usando i comandi dos.

non ha una funzione integrata, ma volendo si fa dal cd del sistema operativo o creandosene uno con bartpe

ok forse sono riuscito a terminarlo
vediamo se lo copia

edit: niente come non detto (ho provato a terminare l'esecuzione con ctrl+alt+canc)

tra l'altro sei pure sfortunato,il trojan è nel vdf avira già da luglio a finora,almeno ricercando su google,nessuno sembra ne sia rimasto infetto :D
prova come detto prima con gmer

non ha una funzione integrata, ma volendo si fa dal cd del sistema operativo o creandosene uno con bartpe
dal cd di windows si possono copiare i files?
spe che provo

puoi crearti con bartpe builder un cd avviabile con un sistema di emergenza con tanto di prompt dei comandi

non è stand alone da quel che mi ricordi

ricordi giusto

tra l'altro sei pure sfortunato,il trojan è nel vdf avira già da luglio a finora,almeno ricercando su google,nessuno sembra ne sia rimasto infetto :D
prova come detto prima con gmer
juni non ho più voglia di provare programmi su programmi.
tanto il risultato è lo stesso.
ci scommetto che il file è quello ormai ne sono sicuro.
voglio solo trovare il modo di copiarmelo.

puoi crearti con bartpe builder un cd avviabile con un sistema di emergenza con tanto di prompt dei comandi
ok allora provo così

juni non ho più voglia di provare programmi su programmi.
tanto il risultato è lo stesso.
ci scommetto che il file è quello ormai ne sono sicuro.
voglio solo trovare il modo di copiarmelo.
su questo non ci son dubbi,il problema è che non è solo quello.
io farei prima un tentativo con gmer(stand alone)
e anche con gmer,con questo script:
Files to move:
D:\WINDOWS\system32\manxhbfj.exe | D:\WINDOWS\Temp
se va a buon fine te lo zippi direttamente cliccandoci col tasto destro

Linkoptmizer.b, basta che li modifichi i permessi e lo puoi eliminare;)

Ciao

:muro:


http://pasqdit.interfree.it/virus4.jpg

modifica i permessi del file e li dai il controllo completo sotto il tuo account, controlla che non sia stata aggiunta/modificata la chiave explorer.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Ciao

PS:Comunque avenger dovrebbe eliminare il file senza problema

modifica i permessi del file e li dai il controllo completo sotto il tuo account, controlla che non sia stata aggiunta/modificata la chiave explorer.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Ciao

PS:Comunque avenger dovrebbe eliminare il file senza problema
non voglio eliminarlo voglio passarlo a juninho :D
anche perchè non so cosa sia
cmq veduma un po'


modifica i permessi del file e li dai il controllo completo sotto il tuo account, controlla che non sia stata aggiunta/modificata la chiave explorer.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
no non c'è quella chiave

te l'ho detto io cos'è, tempo da perdere non ne ho:rolleyes: se vuoi una copia basta che modofichi i permessi del file e lo zippi e poi elimini l'eseguibile, ciao

te l'ho detto io cos'è, tempo da perdere non ne ho:rolleyes: se vuoi una copia basta che modofichi i permessi del file e lo zippi e poi elimini l'eseguibile, ciao
si ma sti permessi come li modifico scusa?

su questo non ci son dubbi,il problema è che non è solo quello.
io farei prima un tentativo con gmer(stand alone)
e anche con gmer,con questo script:
Files to move:
D:\WINDOWS\system32\manxhbfj.exe | D:\WINDOWS\Temp
se va a buon fine te lo zippi direttamente cliccandoci col tasto destro
il comando mi sembra che non sia giusto.
Files to move:
D:\WINDOWS\system32\manxhbfj.exe | D:\WINDOWS\Temp\copia.bak

il comando mi sembra che non sia giusto.
Files to move:
D:\WINDOWS\system32\manxhbfj.exe | D:\WINDOWS\Temp\copia.bak

tra l'altro ho sbagliato scrivendo gmer anzichè avenger :D

si ma sti permessi come li modifico scusa?
su xp professional basta che vai su opzioni cartelle e toglia la spunta da "condivisione semplice" sulla home puoi installare FaJo XP File Security Extension (XP FSE) http://www.fajo.de/portal/index.php?lang=en&option=content&task=view&id=6&Itemid=0
clicchi con il destro del muose sul file e ti esce il tag ""protezione" abilità l'opzione full control al tuo account e confermi, con Fajo invece c'è il tag "security" poi la procedura è uguale

Ciao

non c'è nessuna casella con "condivisione semplice"
dai vabbè lascio perdere.
adesso mi backuppo tutto il materiale e poi procedo con il ripristino immagine di true image.

c'è solo sulla professional, start>impostazioni>pannello di controllo>opzioni cartelle>visualizzazione e togli la spunta dalla casella "utilizza condivisione file semplice(scelta consigliata)" e confermi con applica>ok , sulla home il tag "protezione" appare in modalità provvisoria oppure installando il programma citato prima appare sempre, ciao

non c'è nessuna casella con "condivisione semplice"
dai vabbè lascio perdere.

opzioni cartella/visualizzazione

problema risolto :D
anche se in maniera un po' brusca
mega formattone e ho eliminato tutto

AntiVir PersonalEdition Classic
Report file date: domenica 14 ottobre 2007 19:00

Scanning for 878606 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: padi
Computer name: PADITORA

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.57 446464 Bytes 07/10/2007 15:56:34
ANTIVIR3.VDF : 7.0.0.84 166912 Bytes 13/10/2007 15:56:34
AVEWIN32.DLL : 7.6.0.23 2753024 Bytes 14/10/2007 15:56:34
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: D:\Documents and Settings\All Users\Dati applicazioni\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: domenica 14 ottobre 2007 19:00

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'msimn.exe' - '1' Module(s) have been scanned
Scan process 'mirc.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'schedul2.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'CTHELPER.EXE' - '1' Module(s) have been scanned
Scan process 'dslagent.exe' - '1' Module(s) have been scanned
Scan process 'gsicon.exe' - '1' Module(s) have been scanned
Scan process 'schedhlp.exe' - '1' Module(s) have been scanned
Scan process 'TrueImageMonitor.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
30 processes with 30 modules were scanned

Start scanning boot sectors:
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '34' files ).


Starting the file scan:

Begin scan in 'D:\'
D:\pagefile.sys
[WARNING] The file could not be opened!


End of the scan: domenica 14 ottobre 2007 19:05
Used time: 05:06 min

The scan has been done completely.

1138 Scanning directories
48126 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
48126 Files not concerned
601 Archives were scanned
1 Warnings
127 Notes