L4M3R.EXE che faccio??

LoO · 18-06-2007, 19:10

Ho continuamente una cartella che mi si crea all'interno del system32, ogni volta ha un nome diverso e all'interno ci sono diversi file infetti tra cui l4m3r.exe che parte in auto e alla lunga mi blocca la connessione e fa continuamente andare la clessidra del puntatore, deselezionando tutto ogni volta.
La cosa strana è che il programma installa un "falso" mIRC che mi parte in avvio di windows.....
Ho provato anche a formattare, ma dopo 2 gg eccome qui....

Il nod mi pulisce, ma ogni riavvio si rigenera....
Cosa devo usare???

wizard1993 · 18-06-2007, 19:17

posta un log di hijackthis

LoO · 18-06-2007, 19:24

Ecco:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.28.26, on 18/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Explorer.EXE
d:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\colwindos.exe
C:\WINDOWS\System32\qwert.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\PROGRAMMI E UTILITY\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [nod32kui] "d:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\Run: [Windows Servces Agent] qwert.exe
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\System32\jgjrt\l4m3r.exe
O4 - HKLM\..\RunServices: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\RunServices: [Windows Servces Agent] qwert.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKCU\..\Run: [Windows Servces Agent] qwert.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [Windows Servces Agent] qwert.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-583907252-562591055-725345543-1003 Startup: hvroyjku.exe (User '?')
O4 - S-1-5-21-583907252-562591055-725345543-1003 Startup: jgtxoj.exe (User '?')
O4 - Startup: hvroyjku.exe
O4 - Startup: jgtxoj.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Programmi\Eset\nod32krn.exe

--
End of file - 3789 bytes

wizard1993 · 18-06-2007, 19:50

disabilita il system restore
http://www.sicurezzainrete.com/disab...em_restore.htm

fixa
O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\Run: [Windows Servces Agent] qwert.exe
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\System32\jgjrt\l4m3r.exe
O4 - HKLM\..\RunServices: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\RunServices: [Windows Servces Agent] qwert.exe
O4 - HKCU\..\Run: [Windows Servces Agent] qwert.exe
O4 - HKCU\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [Windows Servces Agent] qwert.exe (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe (User '?')
O4 - S-1-5-21-583907252-562591055-725345543-1003 Startup: hvroyjku.exe (User '?')
O4 - S-1-5-21-583907252-562591055-725345543-1003 Startup: jgtxoj.exe (User '?')
O4 - Startup: hvroyjku.exe
O4 - Startup: jgtxoj.exe

poi scaricati avenger
http://swandog46.geekstogo.com/avenger.zip

aprilo seleziona imput script manually
premi sulla lente di ingrandimento e inserisci questo

Quote:

Files to delete:
C:\WINDOWS\System32\qwert.exe
C:\WINDOWS\System32\colwindos.exe

e fai ok e premi sue volte il semaforo verde premendo sempre si; il pc si riavvierà; al riavvio posta il log

Tall99 · 18-06-2007, 20:39

ehyehy!mi ha dato un virus sul file di avenger!ho avast
6 sikuro ke nn abbia problemi??

LoO · 18-06-2007, 20:47

Quote:

Originariamente inviato da wizard1993

disabilita il system restore
http://www.sicurezzainrete.com/disab...em_restore.htm

fixa
O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\Run: [Windows Servces Agent] qwert.exe
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\System32\jgjrt\l4m3r.exe
O4 - HKLM\..\RunServices: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\RunServices: [Windows Servces Agent] qwert.exe
O4 - HKCU\..\Run: [Windows Servces Agent] qwert.exe
O4 - HKCU\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [Windows Servces Agent] qwert.exe (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe (User '?')
O4 - S-1-5-21-583907252-562591055-725345543-1003 Startup: hvroyjku.exe (User '?')
O4 - S-1-5-21-583907252-562591055-725345543-1003 Startup: jgtxoj.exe (User '?')
O4 - Startup: hvroyjku.exe
O4 - Startup: jgtxoj.exe

poi scaricati avenger
http://swandog46.geekstogo.com/avenger.zip

aprilo seleziona imput script manually
premi sulla lente di ingrandimento e inserisci questo

e fai ok e premi sue volte il semaforo verde premendo sempre si; il pc si riavvierà; al riavvio posta il log

Grazie.
Ho fixato tutto.
Per avenger mi da errore "fatal error" "no valid script" "error 0" ....

...... sono a posto cmq anche senza avenger?

Bugs Bunny · 18-06-2007, 22:13

Quote:

Originariamente inviato da Tall99

ehyehy!mi ha dato un virus sul file di avenger!ho avast
6 sikuro ke nn abbia problemi??

in effetti il mio av ha beccato anche quello che uso da mesi e che so essere pulito. mettilo nelle esclusioni.

wizard1993 · 19-06-2007, 10:08

Quote:

Originariamente inviato da LoO

Grazie.
Ho fixato tutto.
Per avenger mi da errore "fatal error" "no valid script" "error 0" ....

...... sono a posto cmq anche senza avenger?

hai problemi?

Tall99 · 19-06-2007, 10:41

siete sikuri ke e tutto ok???mi da un trojan!(win32)
mi tokka disattivare un attivo avast,se voglio prenderlo!

LoO · 19-06-2007, 12:02

Quote:

Originariamente inviato da wizard1993

hai problemi?

Il log è questo

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13.07.52, on 19/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Explorer.EXE
d:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programmi\Adobe\Photoshop CS\Photoshop.exe
C:\DOCUME~1\Lollo\IMPOST~1\Temp\~e5d141.tmp
D:\FILE SITE\FlashFXP\FlashFXP\FlashFXP\flashfxp.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
D:\PROGRAMMI E UTILITY\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [nod32kui] "d:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Programmi\Eset\nod32krn.exe

--
End of file - 3100 bytes

Anche senza aver usato avenger, non mi pare di avere problemi per ora....

wizard1993 · 19-06-2007, 12:06

fai una scan online con bitdefender e panda

LoO · 19-06-2007, 15:03

Beh il primo mi ha trovato un bel poò di roba anche che già avevo fixato....ora è stato cancellato tutto, ma torneranno??

wizard1993 · 19-06-2007, 17:41

avevi disabilitato il system restore?

LoO · 19-06-2007, 18:03

Quote:

Originariamente inviato da wizard1993

avevi disabilitato il system restore?

Non ho questo problema perchè lo tengo off di default sempre....

wizard1993 · 19-06-2007, 18:06

allora non ti dovrebbero più ritornare

LoO · 24-06-2007, 14:39

Dopo neanche una settimana di nuovo daccapo....
MA non è possibile!! ???
Cosa devo fixare?

Log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15.44.07, on 24/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Explorer.EXE
d:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\colwindos.exe
D:\FILE SITE\FlashFXP\FlashFXP\FlashFXP\flashfxp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\lssssjd.exe
C:\WINDOWS\System32\jfjjgjgf\l4m3r.exe
C:\WINDOWS\System32\dkrdy.exe
D:\PROGRAMMI E UTILITY\HiJackThis_v2.exe
C:\WINDOWS\System32\dkrdy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [nod32kui] "d:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\Run: [Msn Messenger] lssssjd.exe
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\System32\jfjjgjgf\l4m3r.exe
O4 - HKLM\..\RunServices: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\RunServices: [Msn Messenger] lssssjd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - D:\Programmi\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Programmi\Eset\nod32krn.exe

--
End of file - 4393 bytes

Ma come faccio a difendermi???

Jammed_Death · 24-06-2007, 14:49

butta avast (lo stai usando ancora?) e aggiorna windows...secondo hijack this hai sp1 O_O

oasis90 · 24-06-2007, 14:57

Quote:

Originariamente inviato da LoO

Dopo neanche una settimana di nuovo daccapo....
MA non è possibile!! ???
Cosa devo fixare?

Log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15.44.07, on 24/06/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Explorer.EXE
d:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\colwindos.exe
D:\FILE SITE\FlashFXP\FlashFXP\FlashFXP\flashfxp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\lssssjd.exe
C:\WINDOWS\System32\jfjjgjgf\l4m3r.exe
C:\WINDOWS\System32\dkrdy.exe
D:\PROGRAMMI E UTILITY\HiJackThis_v2.exe
C:\WINDOWS\System32\dkrdy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [nod32kui] "d:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\Run: [Msn Messenger] lssssjd.exe
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\System32\jfjjgjgf\l4m3r.exe
O4 - HKLM\..\RunServices: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\RunServices: [Msn Messenger] lssssjd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NBService - Nero AG - D:\Programmi\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Programmi\Eset\nod32krn.exe

--
End of file - 4393 bytes

Ma come faccio a difendermi???

FIXA:

C:\WINDOWS\System32\colwindos.exe

C:\WINDOWS\System32\lssssjd.exe

C:\WINDOWS\System32\jfjjgjgf\l4m3r.exe

C:\WINDOWS\System32\dkrdy.exe

C:\WINDOWS\System32\dkrdy.exe

O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe

O4 - HKLM\..\Run: [Msn Messenger] lssssjd.exe

O4 - HKLM\..\Run: [msennger] C:\WINDOWS\System32\jfjjgjgf\l4m3r.exe

O4 - HKLM\..\RunServices: [Wind0ws Ser7ice Agent] colwindos.exe

O4 - HKLM\..\RunServices: [Msn Messenger] lssssjd.exe

E come ti è già stato detto, aggiorna Windows, passando al SP2..altrimenti tutti questi interventi risultano quasi inutili..

LoO · 24-06-2007, 19:17

Grazie.
Ho installato il 2 pero' ora mi domando: ho scaricato una 80à di aggiornamenti.
Chi sa dirmi quali sono indispensabili, esiste una lista, qualche info, e sopratutto un programma che li installi in auto cosi' da non doverli lanciare uno a uno.... mica li dovrò installare tutti...

Jammed_Death · 24-06-2007, 19:20

Quote:

Originariamente inviato da LoO

Grazie.
Ho installato il 2 pero' ora mi domando: ho scaricato una 80à di aggiornamenti.
Chi sa dirmi quali sono indispensabili, esiste una lista, qualche info, e sopratutto un programma che li installi in auto cosi' da non doverli lanciare uno a uno.... mica li dovrò installare tutti...

fa tutto windows update...si scaricano e si installano da soli uno dopo l'altro

18-06-2007, 19:10	#1
LoO Senior Member Iscritto dal: Oct 2003 Messaggi: 1398	L4M3R.EXE che faccio?? Ho continuamente una cartella che mi si crea all'interno del system32, ogni volta ha un nome diverso e all'interno ci sono diversi file infetti tra cui l4m3r.exe che parte in auto e alla lunga mi blocca la connessione e fa continuamente andare la clessidra del puntatore, deselezionando tutto ogni volta. La cosa strana è che il programma installa un "falso" mIRC che mi parte in avvio di windows..... Ho provato anche a formattare, ma dopo 2 gg eccome qui.... Il nod mi pulisce, ma ogni riavvio si rigenera.... Cosa devo usare???

18-06-2007, 19:17	#2
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	posta un log di hijackthis __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

19-06-2007, 12:06	#11
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	fai una scan online con bitdefender e panda __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

19-06-2007, 17:41	#13
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	avevi disabilitato il system restore? __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

19-06-2007, 18:06	#15
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	allora non ti dovrebbero più ritornare __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

18-06-2007, 19:24	#3
LoO Senior Member Iscritto dal: Oct 2003 Messaggi: 1398	Ecco: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 20.28.26, on 18/06/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe C:\WINDOWS\Explorer.EXE d:\Programmi\Eset\nod32krn.exe C:\WINDOWS\System32\MsPMSPSv.exe D:\Programmi\Eset\nod32kui.exe C:\WINDOWS\System32\colwindos.exe C:\WINDOWS\System32\qwert.exe C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Internet Explorer\iexplore.exe D:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Internet Explorer\iexplore.exe D:\PROGRAMMI E UTILITY\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [nod32kui] "d:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe O4 - HKLM\..\Run: [Windows Servces Agent] qwert.exe O4 - HKLM\..\Run: [msennger] C:\WINDOWS\System32\jgjrt\l4m3r.exe O4 - HKLM\..\RunServices: [Wind0ws Ser7ice Agent] colwindos.exe O4 - HKLM\..\RunServices: [Windows Servces Agent] qwert.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe O4 - HKCU\..\Run: [Windows Servces Agent] qwert.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe (User '?') O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [Windows Servces Agent] qwert.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - S-1-5-21-583907252-562591055-725345543-1003 Startup: hvroyjku.exe (User '?') O4 - S-1-5-21-583907252-562591055-725345543-1003 Startup: jgtxoj.exe (User '?') O4 - Startup: hvroyjku.exe O4 - Startup: jgtxoj.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Programmi\Eset\nod32krn.exe -- End of file - 3789 bytes

18-06-2007, 20:39	#5
Tall99 Member Iscritto dal: Jun 2007 Messaggi: 90	ehyehy!mi ha dato un virus sul file di avenger!ho avast 6 sikuro ke nn abbia problemi??

19-06-2007, 10:41	#9
Tall99 Member Iscritto dal: Jun 2007 Messaggi: 90	siete sikuri ke e tutto ok???mi da un trojan!(win32) mi tokka disattivare un attivo avast,se voglio prenderlo!

19-06-2007, 15:03	#12
LoO Senior Member Iscritto dal: Oct 2003 Messaggi: 1398	Beh il primo mi ha trovato un bel poò di roba anche che già avevo fixato....ora è stato cancellato tutto, ma torneranno??

24-06-2007, 14:39	#16
LoO Senior Member Iscritto dal: Oct 2003 Messaggi: 1398	Dopo neanche una settimana di nuovo daccapo.... MA non è possibile!! ??? Cosa devo fixare? Log: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 15.44.07, on 24/06/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe C:\WINDOWS\Explorer.EXE d:\Programmi\Eset\nod32krn.exe C:\WINDOWS\System32\MsPMSPSv.exe D:\Programmi\Eset\nod32kui.exe C:\WINDOWS\System32\ctfmon.exe C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\colwindos.exe D:\FILE SITE\FlashFXP\FlashFXP\FlashFXP\flashfxp.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\lssssjd.exe C:\WINDOWS\System32\jfjjgjgf\l4m3r.exe C:\WINDOWS\System32\dkrdy.exe D:\PROGRAMMI E UTILITY\HiJackThis_v2.exe C:\WINDOWS\System32\dkrdy.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [nod32kui] "d:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe O4 - HKLM\..\Run: [Msn Messenger] lssssjd.exe O4 - HKLM\..\Run: [msennger] C:\WINDOWS\System32\jfjjgjgf\l4m3r.exe O4 - HKLM\..\RunServices: [Wind0ws Ser7ice Agent] colwindos.exe O4 - HKLM\..\RunServices: [Msn Messenger] lssssjd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-21-583907252-562591055-725345543-1003\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe" (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NBService - Nero AG - D:\Programmi\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Programmi\Eset\nod32krn.exe -- End of file - 4393 bytes Ma come faccio a difendermi???

24-06-2007, 14:49	#17
Jammed_Death Senior Member Iscritto dal: Sep 2006 Messaggi: 8932	butta avast (lo stai usando ancora?) e aggiorna windows...secondo hijack this hai sp1 O_O __________________ ...continuate a morire finchè non viene giorno... ...forse solo uno che si erge con la spada infranta dalla più profonda disperazione...

24-06-2007, 19:17	#19
LoO Senior Member Iscritto dal: Oct 2003 Messaggi: 1398	Grazie. Ho installato il 2 pero' ora mi domando: ho scaricato una 80à di aggiornamenti. Chi sa dirmi quali sono indispensabili, esiste una lista, qualche info, e sopratutto un programma che li installi in auto cosi' da non doverli lanciare uno a uno.... mica li dovrò installare tutti...

Strumenti
Mostra una versione stampabile Invia questa pagina per email