View Full Version : Win32/Robobot
salve a tutti,
mi ritrovo il file "install.exe", nell'unità C, che è infettato dal worm Win32/Robobot.
qualcuno sa dirmi come posso eliminarlo?
grazie. :)
Devi mettere il report di Hijackthis per scoprire la linea nei registri che fa partire il programma.
ciao
ecco qui:
Logfile of HijackThis v1.99.1
Scan saved at 18.13.31, on 08/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\xpssl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\LeechGet 2004\LeechGet.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Antonio\Desktop\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IECheck] C:\WINDOWS\system32\xpssl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: internat.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CB2B60F-D1F2-4921-B3C4-CE5419C41859}: NameServer = 85.37.17.9 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{8CB2B60F-D1F2-4921-B3C4-CE5419C41859}: NameServer = 85.37.17.9 151.99.125.1
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
cosa sai dirmi?
grazie. :)
ecco qui:
Logfile of HijackThis v1.99.1
Scan saved at 18.13.31, on 08/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\xpssl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\LeechGet 2004\LeechGet.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Antonio\Desktop\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IECheck] C:\WINDOWS\system32\xpssl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: internat.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con il Wizard di LeechGet - file://C:\Programmi\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Scarica con LeechGet - file://C:\Programmi\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Scarica pagina con LeechGet - file://C:\Programmi\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CB2B60F-D1F2-4921-B3C4-CE5419C41859}: NameServer = 85.37.17.9 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{8CB2B60F-D1F2-4921-B3C4-CE5419C41859}: NameServer = 85.37.17.9 151.99.125.1
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
cosa sai dirmi?
grazie. :)
da fixare:
C:\WINDOWS\system32\xpssl.exe
O4 - HKLM\..\Run: [IECheck] C:\WINDOWS\system32\xpssl.exe
O4 - Global Startup: internat.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
da fixare:
C:\WINDOWS\system32\xpssl.exe
O4 - HKLM\..\Run: [IECheck] C:\WINDOWS\system32\xpssl.exe
O4 - Global Startup: internat.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
grazie 3dsst ma... ahem... come fixo? :stordita:
grazie 3dsst ma... ahem... come fixo? :stordita:
sempre da hijackhits selezioni le voci che ti ho detto e pi premi fix ;)
da fixare:
C:\WINDOWS\system32\xpssl.exe
questo come lo fixo? non mi appare come selezionabile da HijackThis.
grazie ancora. :)
Da fixare:
O4 - HKLM\..\Run: [IECheck] C:\WINDOWS\system32\xpssl.exe
Disattivare il "sysem recovery"
cancellare il file
C:\WINDOWS\system32\xpssl.exe
se non è possibile farlo in modalità normale occorre farlo in modalità provvisoria
ripristinare il "system recovery"
ciao
questo come lo fixo? non mi appare come selezionabile da HijackThis.
grazie ancora. :)
come no eppure lo hai nell'elenco?
cercalo a mano e prima fallo scansionare all'antivirus poi fagli fare anche una bella scansione a sto file dal sito di kaspersky al massimo levalo a mano ma prima fai un backup
ops......scusate....sono arrivato in ritardo :(
ops......scusate....sono arrivato in ritardo :(
dai anche tu un occhiata al nostro amico non si sa mai ;)
Concordo con voi . La vostra analisi è perfetta.
Sebbene Internat.exe sia il nome di un programma regolare, la forma:
O4 - Global Startup: internat.exe
non l'avevo mai vista.
ok, ora riavvio e vi faccio sapere.
grazie a tutti. :)
niente da fare ragazzi... purtroppo i file infetti continuano a comparire...
internat.exe è ricomparso in esecuzione automatica (associato al virus Protoride.BK), mentre in C mi ritrovo file strani quali IP.exe, NVCOM.exe, autorun.inf, install.exe, testfile. in D invece ho autorun.inf, testfile e install.exe.
ma li mortacci loro... :cry:
niente da fare ragazzi... purtroppo i file infetti continuano a comparire...
internat.exe è ricomparso in esecuzione automatica (associato al virus Protoride.BK), mentre in C mi ritrovo file strani quali IP.exe, NVCOM.exe, autorun.inf, install.exe, testfile. in D invece ho autorun.inf, testfile e install.exe.
ma li mortacci loro... :cry:
Disabilita il ripristino del sistema e poi fai una bella scansione in modalita provvisoria
Disabilita il ripristino del sistema e poi fai una bella scansione in modalita provvisoria
con AVG free otterrei qualche risultato?
con AVG free otterrei qualche risultato?
che ne so io non l'ho mai usato sai che ti dico lascia avg free disattivato scaricati la trial di kaspersky lo fai girare e ti leva tutto l'impossibile poi se vuoi la levi e ritorni al tuo avg ;)
che ne so io non l'ho mai usato sai che ti dico lascia avg free disattivato scaricati la trial di kaspersky lo fai girare e ti leva tutto l'impossibile poi se vuoi la levi e ritorni al tuo avg ;)
la trial dovrei farla girare in provvisoria?
la trial dovrei farla girare in provvisoria?
no falla pure girare normalmente vai tra se poi non riesce a disinfettare ( mai successo) allora fallo in provvisoria ma non dovrebbe essercene bisogno
che versione hai scaricato
niente da fare ragazzi... purtroppo i file infetti continuano a comparire...
internat.exe è ricomparso in esecuzione automatica (associato al virus Protoride.BK), mentre in C mi ritrovo file strani quali IP.exe, NVCOM.exe, autorun.inf, install.exe, testfile. in D invece ho autorun.inf, testfile e install.exe.
ma li mortacci loro... :cry:
se la segnalazione del nome del virus è corretta bisogna sapere se puoi lavorare con regedit:
start-esegui-regedit.exe (return)
prova a fare questa prova e dicci se si apre l'editor del file di registro.
grazie
ho scaricato questa versione qui (http://www.kaspersky.com/trials?chapter=154373188).
sì, posso agire sul registro.
fra un pò eseguo la scansione (da provvisoria, non si sa mai) e vi dico.
per ora grazie. :)
niente da fare ragazzi... purtroppo i file infetti continuano a comparire...
internat.exe è ricomparso in esecuzione automatica (associato al virus Protoride.BK), mentre in C mi ritrovo file strani quali IP.exe, NVCOM.exe, autorun.inf, install.exe, testfile. in D invece ho autorun.inf, testfile e install.exe.
ma li mortacci loro... :cry:
ma che ti lamenti scusa? scusate per la critica ragazzi, ma gli avete consigliato decisamente male: ci sono dei files *infetti*... è inutile che eliminate roba dallo startup, no? :)
ora dipende a che livello sono infetti... nel 99,999% dei casi io reinstallerei i files infettati; se proprio proprio si tratta di roba di cui non hai altre copie e della quale non puoi fare a meno, bisogna vedere se è stata modificata solo la IAT o il codice o cos'altro.
ma che ti lamenti scusa? scusate per la critica ragazzi, ma gli avete consigliato decisamente male: ci sono dei files *infetti*... è inutile che eliminate roba dallo startup, no? :)
ora dipende a che livello sono infetti... nel 99,999% dei casi io reinstallerei i files infettati; se proprio proprio si tratta di roba di cui non hai altre copie e della quale non puoi fare a meno, bisogna vedere se è stata modificata solo la IAT o il codice o cos'altro.
mi lamento della generazione automatica di file di cui ignoro l'origine e che sono associati a trojan, che ne dici?
quali sarebbero i file infetti?
.quali sarebbero i files infetti?
salve a tutti,
mi ritrovo il file "install.exe", nell'unità C, che è INFETTATO dal worm Win32/Robobot.
qualcuno sa dirmi come posso eliminarlo?
grazie. :)
Ho trovato una interessate serie di post a questo indirizzo:
http://www.p2pforum.it/forum/archive/index.php/t-28676.html
e anche qui
http://www.p2pforum.it/forum/showpost.php?p=235185&postcount=18
sembra abbastanza vicino al tuo caso.
Purtroppo il virus malvagio che hai trovato w32\robobot è catalogato solo da kaspersky e da sophos.
Ho trovato una interessate serie di post a questo indirizzo:
http://www.p2pforum.it/forum/archive/index.php/t-28676.html
e anche qui
http://www.p2pforum.it/forum/showpost.php?p=235185&postcount=18
sembra abbastanza vicino al tuo caso.
Purtroppo il virus malvagio che hai trovato w32\robobot è catalogato solo da kaspersky e da sophos.
Infatti io gli avevo consigliato di scaricare la trial di kav e farsi una bella scansione ;)
Infatti io gli avevo consigliato di scaricare la trial di kav e farsi una bella scansione ;)
ho fatto la scansione è Kav ha eliminato tutti i file infetti.
sarò alle prese con il pc "infetto" venerdì prossimo e vi saprò dire. :)
ho fatto la scansione è Kav ha eliminato tutti i file infetti.
sarò alle prese con il pc "infetto" venerdì prossimo e vi saprò dire. :)
ok attendiamo tue notizie ;)
Come ti sei trovato con il kasp ?????
ok ragazzi, sembra proprio che i virus siano stati rimossi con Kaspersky.
ho intenzione di acquistarlo... ma ditemi: è meglio di NOD32?
grazie. :)
ok ragazzi, sembra proprio che i virus siano stati rimossi con Kaspersky.
ho intenzione di acquistarlo... ma ditemi: è meglio di NOD32?
grazie. :)
E il migliore ;) ma dimenticati la leggerezza del nod ;) cmq appena installato fagli fare una scansione completa impostandolo su massima protezione in modo che lui crea il suo database poi si regolarizza e diventa un po più leggero cmq ti consiglio la pro e piu leggera della personal e da meno problemi con eventuali firewall ma non è in italiano ;)
come non detto, proprio ora è stato rilevato il worm Protoride.AY, associato al file msupdate.exe che si trova in Esecuzione automatica.
mi sa che formatto proprio e buonanotte! :mad:
come non detto, proprio ora è stato rilevato il worm Protoride.AY, associato al file msupdate.exe che si trova in Esecuzione automatica.
mi sa che formatto proprio e buonanotte! :mad:
Prima di formattare scaricati il sp2 mi raccomando cosi lo installi prima di connetterti a internet ;)
come non detto, proprio ora è stato rilevato il worm Protoride.AY, associato al file msupdate.exe che si trova in Esecuzione automatica.
mi sa che formatto proprio e buonanotte! :mad:
Infatti msupdate.exe è un virus. (CoolWWWSearch)
il removal tool lo trovi qui:
http://www.majorgeeks.com/download4113.html
e poi riposta il log di hijackthis
ciao
Prima di formattare scaricati il sp2 mi raccomando cosi lo installi prima di connetterti a internet ;)
uso da mesi il SP2.
Infatti msupdate.exe è un virus. (CoolWWWSearch)
il removal tool lo trovi qui:
http://www.majorgeeks.com/download4113.html
e poi riposta il log di hijackthis
ciao
il virus non è stato rilevato nel sistema, meno male.
effettivamente da qualche settimana il problema non si sta più ripresentando.
uso da mesi il SP2.
azz scusa ho letto male ;)
comuque volevo ringraziare tutti, mi siete stati di grande aiuto. :)
comuque volevo ringraziare tutti, mi siete stati di grande aiuto. :)
;)
ciao...sapete dirmi se c'è qualcosa che non va?...mi appare ogni tanto robobot...grazie e ciao
Logfile of HijackThis v1.99.1
Scan saved at 11.45.35, on 05/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Canon\MultiPASS4\MPTBox.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\atwtusb.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\LiveUpdate\LiveUpdate.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PENSOFT\Quick95.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Canon\MultiPASS4\MPDBMgr.exe
C:\Documents and Settings\bruno\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hot-searches.com/search.php?v=6&aff=0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hot-searches.com/index.php?v=6&aff=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programmi\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [MPTBox] C:\Programmi\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Programmi\LiveUpdate\LiveUpdate.exe" /autostart
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe" -quiet
O4 - Startup: Quick StartUp.lnk = C:\PENSOFT\fquick32.exe
O4 - Startup: Start.lnk = C:\PENSOFT\Quick95.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Alice - {74622FA9-3D1E-40C5-9C99-D08A15C1B3F8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O12 - Plugin for .IE5: C:\PROGRA~1\INTERN~1\PLUGINS\NPQTPL~1.DLL
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab
O16 - DPF: Yahoo! Bridge - http://download.games.yahoo.com/games/clients/y/bt1_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab
O16 - DPF: Yahoo! Chinese Checkers - http://download.games.yahoo.com/games/clients/y/cct0_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/games/clients/y/dtt1_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt2_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: Yahoo! Spades - http://download.games.yahoo.com/games/clients/y/st2_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/games/clients/y/ywt0_x.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/035a1a62f10cdd709822/netzip/RdxIE601_it.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A419C5E-20FE-41E6-A509-476BB31392C3}: NameServer = 217.141.255.204 151.99.125.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Cacnp60fn - Conexant - C:\WINDOWS\System32\drivers\HSF_V124.sys
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
SkunkWorks 68
05-06-2005, 12:33
...Ciao e benvenuto....Devi installare l' SP2..intanto..Allora...da fixare subito c'è questa...E' un downloader trojan:
"O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe"..guarda qui:http://www.liutilities.com/products/wintaskspro/processlibrary/systime/
"R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hot-searches.com/search.php?v=6&aff=0"
"R3 - Default URLSearchHook is missing"(sospetto)
..Questo mi piace poco:
"O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Programmi\LiveUpdate\LiveUpdate.exe" /autostart"
inutili questi 2:
"O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)"
"O9 - Extra button: Alice - {74622FA9-3D1E-40C5-9C99-D08A15C1B3F8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)"
..Conosci questi DNS??
"O17 - HKLM\System\CCS\Services\Tcpip\..\{7A419C5E-20FE-41E6-A509-476BB31392C3}: NameServer = 217.141.255.204 151.99.125.1"
..Ciao..Vediamo se passa qualcuno d'altro... :D
Grazie mille dell'aiuto....
...Ciao e benvenuto....Devi installare l' SP2..intanto..Allora...da fixare subito c'è questa...E' un downloader trojan:
"O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe"..guarda qui:http://www.liutilities.com/products/wintaskspro/processlibrary/systime/
"R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hot-searches.com/search.php?v=6&aff=0"
"R3 - Default URLSearchHook is missing"(sospetto)
..Questo mi piace poco:
"O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Programmi\LiveUpdate\LiveUpdate.exe" /autostart"
inutili questi 2:
"O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)"
"O9 - Extra button: Alice - {74622FA9-3D1E-40C5-9C99-D08A15C1B3F8} - http://gw.aliceadsl.it/alice (file missing) (HKCU)"
..Conosci questi DNS??
"O17 - HKLM\System\CCS\Services\Tcpip\..\{7A419C5E-20FE-41E6-A509-476BB31392C3}: NameServer = 217.141.255.204 151.99.125.1"
..Ciao..Vediamo se passa qualcuno d'altro... :D
Concordo su tutto tranne:
O4 - HKCU\..\Run: [BTCLiveUpdate] "C:\Programmi\LiveUpdate\LiveUpdate.exe" /autostart
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A419C5E-20FE-41E6-A509-476BB31392C3}: NameServer = [COLOR=Red]217.141.255.204 151.99.125.1
che IMHO sono regolari.
Forti dubbi su:
C:\PROGRA~1\INCRED~1\bin\IMApp.exe (Incredimail?)
che viene considerato spyware. http://www.iamnotageek.com/a/IMApp.exe.php
Su questo decidi tu, se lo togli, forse non funziona più il client di posta (però forse è giusto così come in tantissimi programmi free)
anche questo è da fixare:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hot-searches.com/index.php?v=6&aff=0
Spero di non aver fatto una tremenda confusione :(
SkunkWorks 68
05-06-2005, 21:41
..Spero di non aver fatto una tremenda confusione :(...
..Se dici questo la cosa mi preoccupa :p ...Beh..tanto,anche se non sono sicuro di qualcosa,so che arrivi tu a mettere a posto il tutto... :D ..ciao..
grazie mille....siete stati molto gentili
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.