|
|||||||
|
|
|
 |
|
|
Strumenti |
14-05-2007, 22:20
|
#1 |
|
Senior Member
Iscritto dal: Apr 2006
Città: TV-PD
Messaggi: 741
|
MSN - messaggi mandati automaticamente
Ciao a tutti
un mio amico si è preso un virus o qualks simile che gli fa mandare a tutti i suoi contatti le frasi : "Olha meu flogao atualizei http://www.flogao-com-br.pochta.ru/virgens.htm espero que goste " gli ho fatto fare una scansione con hijackthis in modo tale da potervi chiedere qual è la causa.. Codice:
Logfile of HijackThis v1.99.1 Scan saved at 23.12.17, on 14/05/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\WgaTray.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\QuickTime\bak\qttask.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINDOWS\system32\windows.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\MessengerDiscovery\MessengerDiscovery Live.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\Documents and Settings\Philips\Documenti\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64" O4 - HKLM\..\Run: [windows] C:\WINDOWS\system32\windows.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: C6 Messenger.lnk = C:\Programmi\C6 Messenger\c6Messenger.exe O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?6714f2663bf7496a8a9a76a93a57e9c0 O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?6714f2663bf7496a8a9a76a93a57e9c0 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EDEFFE92-7C0F-4D49-BF51-FE5A249A5693}: NameServer = 85.37.17.14 85.38.28.78 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) grazie a tutti quelli che ci daranno una mano.. |
|
|
|
14-05-2007, 23:04
|
#2 |
|
Member
Iscritto dal: Jul 2006
Messaggi: 117
|
nel log di critico, mi pare di vedere solo questa
O4 - HKLM\..\Run: [windows] C:\WINDOWS\system32\windows.exe eliminala assieme al relativo file C:\WINDOWS\system32\windows.exe  EDIT anzi, vedo una cartella bak...hai il dialer istantaccess sul pc. Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting) |
|
|
|
|
15-05-2007, 13:45
|
#3 |
|
Senior Member
Iscritto dal: Apr 2006
Città: TV-PD
Messaggi: 741
|
il link è questo... ---> http://w13.easy-share.com/1090178.html
|
|
|
|
|
15-05-2007, 13:59
|
#4 |
|
Member
Iscritto dal: Jul 2006
Messaggi: 117
|
scarica
The Avenger --- http://swandog46.geekstogo.com/avenger.zip Ora estrai e avvia Avenger.exe disattiva antivirus, firewall, eventuali moduli hips Seleziona l'opzione "Input Script Manually" Clicca sulla lente di ingrandimento Si apre una finestra "View/edit script" All'interno del box bianco,copia e incolla le scritte in neretto: Files to move: C:\WINDOWS\system32\bak\sistray.EXE|C:\WINDOWS\system32\sistray.EXE C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe C:\WINDOWS\system32\bak\keyhook.exe|C:\WINDOWS\system32\keyhook.exe C:\Programmi\QuickTime\bak\qttask.exe|C:\Programmi\QuickTime\qttask.exe C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe|C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe|C:\Programmi\Alwil Software\Avast4\ashDisp.exe Dopo di che, clicca sul pulsante Done Clicca sull'icona del semaforo verde Rispondi due volte Yes Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente Il programma rilascia un log con le operazioni eseguite. Allegami il log di Avenger (che si trova in C:\avenger.txt) con l´esito dello script. |
|
|
|
|
15-05-2007, 14:34
|
#5 |
|
Senior Member
Iscritto dal: Apr 2006
Città: TV-PD
Messaggi: 741
|
|
|
|
|
|
15-05-2007, 14:54
|
#6 |
|
Member
Iscritto dal: Jul 2006
Messaggi: 117
|
lo script ha avuto buon esito
|
|
|
|
|
15-05-2007, 17:17
|
#7 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Spira, Zanarkand
Messaggi: 394
|
E poi secondo me quel windows.exe ti ha cancellato dei componenti di avast... visto che alla fine del log ci sono 2 file missing...
|
|
|
|
|
15-05-2007, 17:31
|
#8 |
|
Junior Member
Iscritto dal: May 2007
Messaggi: 5
|
ciao
ho lo stesso problema di mdr268 cioe mi manda dei mex in automati con le frasi in spagnolo ora ho fatto la scansione con hijackthis e questo e il risultato
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\windows.exe C:\Programmi\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\MSN Messenger\MsnMsgr.Exe C:\Programmi\iPod\bin\iPodService.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Grisoft\AVG7\avgcc.exe C:\Documents and Settings\Peppe\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tribalwars.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [windows] C:\WINDOWS\system32\windows.exe O4 - HKLM\..\Run: [ExAlien] C:\Arquivos de programas\ExAlien.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe grazie in anticipo tutti Ultima modifica di giuseppe93 : 15-05-2007 alle 17:34. |
|
|
|
|
15-05-2007, 17:34
|
#9 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Spira, Zanarkand
Messaggi: 394
|
Stesso problema = Stessi files infetti = Fixa:
O4 - HKLM\..\Run: [windows] C:\WINDOWS\system32\windows.exe O4 - HKLM\..\Run: [ExAlien] C:\Arquivos de programas\ExAlien.exe Poi con The Avenger inserisci questo script: Files to delete: C:\WINDOWS\system32\windows.exe C:\Arquivos de programas\ExAlien.exe E non dovresti avere più problemi..... |
|
|
|
|
15-05-2007, 18:57
|
#10 |
|
Junior Member
Iscritto dal: May 2007
Messaggi: 5
|
scusate
io apro avenge ma mi dice ke c e 1 problema a cancellare i file dice:
Error:selected files does not appear to be a valid scrips ps ( ma prima di mettere i file su the avenger ke devo fare scusate ma nn l ho capito bene nn sono molto esperto in queste cose )(a e poi nn mi scarica systemscan ho anke tolto i pop ups e il pushing ma niente |
|
|
|
|
15-05-2007, 19:30
|
#11 |
|
Member
Iscritto dal: Jul 2006
Messaggi: 117
|
Tidus, la riga di spazio non ci va...
 Files to delete: C:\WINDOWS\system32\windows.exe C:\Arquivos de programas\ExAlien.exe inoltre nel caso precedente, windows.exe non ha cancellato alcun file. i file di avast sono ancora lì, perchè il "file missing" è un bug della versione 1.99.1 di hijackthis 
|
|
|
|
|
15-05-2007, 19:55
|
#12 |
|
Junior Member
Iscritto dal: May 2007
Messaggi: 5
|
lo faccio ma nn funziona mi spuntano sempre 3 errori e nn cancella niente sel o faccio manualmente e lo stesso?
 
|
|
|
|
|
15-05-2007, 21:04
|
#13 |
|
Member
Iscritto dal: Jan 2006
Città: Vicenza
Messaggi: 141
|
Consiglio l'installazione di questo potente anti-malware: Prevx1
http://info.prevx.com/downloadprevx1.asp Provalo, ti sorprenderà!!!!!!! Ciao |
|
|
|
|
15-05-2007, 22:26
|
#14 | |
|
Junior Member
Iscritto dal: May 2007
Messaggi: 5
|
Quote:
C:\WINDOWS\system32\windows.exe ma nn trovo l altro posso lasciare stare cosi ( visto ke ormai nn manda piu i mex oppure devo canc anke l altro file ?? |
|
|
|
|
|
15-05-2007, 22:27
|
#15 | |
|
Junior Member
Iscritto dal: May 2007
Messaggi: 5
|
Quote:
poi mi kiede 1 kodice di attivazione ke faccio? |
|
|
|
|
|
16-05-2007, 15:11
|
#16 |
|
Member
Iscritto dal: Jan 2006
Città: Vicenza
Messaggi: 141
|
Prevx1 è un anti-malware, è un sistema di controllo comportamentele basato sulla comunità CIPS e fa da completamento all'antivirus!!! Il sistema esemina costantemente tutti i programmi in esecuzione e rileva eventuale malware!
Molti virus non sono rilevabili attraverso antivirus ma con dei sistemi che controllano i comportamenti di ogni applicazione è possibile rilevarli!!!! Per la licenza puoi cliccare su trial 30 giorni(versione di prova)!!! Il mio consiglio è quindi di mantenere l'antivirus installato e in supplemento installare Prevx1! |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:18.
