|
|||||||
|
|
|
 |
|
|
Strumenti |
09-07-2007, 16:08
|
#1 |
|
Member
Iscritto dal: Oct 2006
Messaggi: 59
|
SpybotSD.exe viene eliminato automaticamente
come da titolo: i file di spybot, (SpybotSD.exe, Update.exe e Teatimer.exe vengono eliminati appena creati, anche se rinomino semplicemente un qualsiasi file con uno di quei 3 nomi scompare all'improvviso dopo pochi secondi...
e come se non bastasse non riesco ad installare altri antivirus come kasperky o nod32 (ad-aware 2007 e avg devo ancora provare...) ah... ed in + se provo ad avviare in modalità provvisoria mi si riavvia in automatico all'avvio... adesso magari provo a togliere il riavvio automatico per vedere la schermata blu... vi prego di aiutarmi, nn vorrei dover formattare... 
|
|
|
|
09-07-2007, 16:24
|
#2 |
|
Senior Member
Iscritto dal: Oct 2006
Città: Napoli
Messaggi: 2235
|
Prova a fare una scansione online
 Ti consiglio bitdefender che oltre a rilevare virus gli elimina anche: http://www.bitdefender.com/scan8/ie.html Se usi windows vista non puoi scansionare online con bitdefender xkè nn è compatibile. Se hai Vista fai la scansione online con Nod32 |
|
|
|
|
09-07-2007, 16:27
|
#3 |
|
Member
Iscritto dal: Oct 2006
Messaggi: 59
|
grazie del consiglio, ora provo
 EDIT: sono andato sul sito... solo che quando clicco su "I agree" non succede niente  ... non compare nemmeno la maninana... il puntatore resta invariato...cmq sempre seguendo il tuo consiglio ho provato anche quello di panda software online, che mi ha trovato ben 4 virus, 3 dei quali sono fra i processi... va bè... cmq ora sto facendo la scansione cn ad-aware 2007, che x ora sembra avermi trovato 16 infezioni... sembra + efficente di quello vecchio, non speravo in un grande cambiamento sinceramente... Ultima modifica di acs147 : 09-07-2007 alle 16:36. |
|
|
|
|
09-07-2007, 16:34
|
#4 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Posta un log di HijackThis
Ciao
__________________
Try again and you will be luckier.
|
|
|
|
|
09-07-2007, 16:42
|
#5 | |
|
Senior Member
Iscritto dal: Oct 2006
Città: Napoli
Messaggi: 2235
|
Quote:
Se non sai cosa è e come si usa te lo spiego io brevemente. Hijackthis è un file eseguibile (senza installazione) che serve per analizzare il sistema e rimuovere "file nocivi" che l'antivirus non rileva. Per analizzare il sistema e per avere il log (documento di testo) dell'analisi devi aprire Hijackthis e dopodichè cliccare su "Do a system scan and save a logfile"  Dopodichè attendi che esce il documento di testo e quindi seleziona tutto e incolla qui o nel 3d ufficiale di hijackthis: http://www.hwupgrade.it/forum/showthread.php?t=937676 Per scaricare hijackthis vai sul sito: http://www.ilsoftware.it/dl.asp?ID=754 dopodichè estrai la cartella e apri hijackthis
Ultima modifica di raffree : 09-07-2007 alle 16:45. |
|
|
|
|
|
09-07-2007, 16:46
|
#6 |
|
Member
Iscritto dal: Oct 2006
Messaggi: 59
|
eccolo:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16.44.18, on 09/07/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\wintems.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cidaemon.exe C:\DOCUME~1\Gong\IMPOST~1\Temp\Rar$EX00.468\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - C:\Programmi\BitDownload\TorrentManager.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll O3 - Toolbar: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Azureus] C:\Programmi\Azureus\Azureus.exe O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7D3BC204-EC0D-4D5E-A5B1-FE12FD5D4351}: NameServer = 192.168.1.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~4\GOEC62~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: GoogleDesktopManager - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: iPod Service - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe -- End of file - 7552 bytes EDIT: ah, un'altra cosa... chi sa trovare l'infiltrato in questa immagine  
Ultima modifica di acs147 : 09-07-2007 alle 16:58. |
|
|
|
|
09-07-2007, 16:55
|
#7 |
|
Senior Member
Iscritto dal: Oct 2006
Città: Napoli
Messaggi: 2235
|
Sembra che ci sia un elemento sospetto però non sono sicuro che si debba eliminare o no. Posta nel 3d che ti ho dato prima di hijackthis, li sono + esperti
|
|
|
|
|
09-07-2007, 17:00
|
#8 |
|
Senior Member
Iscritto dal: Jan 2007
Messaggi: 308
|
wintems.exe dovrebbe essere beagle
poi R3 - URLSearchHook: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll O2 - BHO: Multi_Media_Italy toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMult.dll Vanno eliminati sicuramente perche' molto sospetti comunque dovresti avere altra file infetti sul pc. Prova a fare prima una scansione con gmer per vedere se hai rootkit
__________________
maipiugromozon.blogspot.com |
|
|
|
|
09-07-2007, 17:01
|
#9 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28998
|
Quote:
agisci come descritto in questa pagina
|
|
|
|
|
|
09-07-2007, 17:02
|
#10 | |
|
Senior Member
Iscritto dal: Jan 2007
Messaggi: 308
|
Quote:
perfetto
__________________
maipiugromozon.blogspot.com |
|
|
|
|
|
09-07-2007, 17:03
|
#11 | |
|
Senior Member
Iscritto dal: Oct 2006
Città: Napoli
Messaggi: 2235
|
Quote:
|
|
|
|
|
|
09-07-2007, 17:05
|
#12 | |
|
Senior Member
Iscritto dal: Oct 2006
Città: Napoli
Messaggi: 2235
|
Quote:
|
|
|
|
|
|
09-07-2007, 17:08
|
#13 |
|
Member
Iscritto dal: Oct 2006
Messaggi: 59
|
mitici! proprio i sintomi del mio povero computer! grazie mille!!!
ora mi darò da fare... |
|
|
|
|
09-07-2007, 17:10
|
#14 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28998
|
Quote:
|
|
|
|
|
|
09-07-2007, 17:11
|
#15 | |
|
Senior Member
Iscritto dal: Jan 2007
Messaggi: 308
|
Quote:
Prego, ma qui mica ci trovi pizza e fichi
__________________
maipiugromozon.blogspot.com |
|
|
|
|
|
09-07-2007, 17:27
|
#16 |
|
Member
Iscritto dal: Oct 2006
Messaggi: 59
|
ok... ho appena finito e riesco ad installare gli antivirus
ora mi manca solo da eliminare l'altro, Mitglieder.OI, (trovato con panda total scan online) ma x quello c'è tempo... e probabilmente gli antivirus lo troveranno... c'è solo una cosa che non mi convince... con lo scan di panda appena fatto mi trova di nuovo Bagle con queste voci: w32/bagle.hx.w hkey_current_user\software\datetime4 hkey_current_user\softwar...rentversion\run\drvsyskit hkey_current_user\softwar...entversion\run\german.exe e poi, il log di avenger mi da alcuni errori... Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\llanpvyx ******************* Script file located at: \??\C:\WINDOWS\cqllilfe.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Documents and Settings\Gong\Dati applicazioni\hidires\m_hook.sys not found! Deletion of file C:\Documents and Settings\Gong\Dati applicazioni\hidires\m_hook.sys failed! Could not process line: C:\Documents and Settings\Gong\Dati applicazioni\hidires\m_hook.sys Status: 0xc0000034 File C:\Documents and Settings\Gong\Dati applicazioni\hidires\hidr.exe deleted successfully. File C:\WINDOWS\system32\wintems.exe deleted successfully. File C:\WINDOWS\system32\hldrrr.exe deleted successfully. Folder C:\Documents and Settings\Gong\Dati applicazioni\hidires deleted successfully. Folder C:\WINDOWS\exefld deleted successfully. Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook not found! Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook failed! Could not process line: HKLM\SYSTEM\CurrentControlSet\Services\m_hook Status: 0xc0000034 Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK not found! Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK failed! Could not process line: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK Status: 0xc0000034 Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully. Completed script processing. ******************* Finished! Terminate. in pratica ora non è + attivo, ma è rimasto... ma niente che non si possa risolvere con gli antivirus che posso tornare ad installare grazie di tutto di nuovo
Ultima modifica di acs147 : 09-07-2007 alle 17:30. |
|
|
|
|
09-07-2007, 17:37
|
#17 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28998
|
ho avuto a che fare anch'io con la versione che ti sei preso te,mi pare sia una delle prime che si son propagate,senza i due file .sys
comunque devi modificare queste chiavi: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run|german.exe HKEY_CURRENT_USER\Software\DateTime4 HKEY_CURRENT_USER\Software\FirstRRRun HKEY_CURRENT_USER\Software\...*\Currentrentversion\run\drvsyskit ed eliminare il seguente file C:\Windows\System32\german.exe sempre con avenger *=copia il percorso indicato dall'antivirus Ultima modifica di juninho85 : 09-07-2007 alle 17:39. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 18:24.
