win 95 marburg

[simoneacq]

Ciao a tutti! Sono nuovo nel forum e spero possiate aiutarmi!!

Ho preso una serie di virus da un programma scaricato... ..dopo una serie di scansioni con hijack...mcafee...spyboot...oggi ho usato anche Virit explorer che mi ha rimossi parecchi trojan ma non è riuscito a rimuovere ben 6 win95 marburg!

Se qualcuno mi puo spiegare come fare a rimuoverli...o se è pericoloso..insomma un po di tutto !! Premetto che con il pc sono un pò una chiavica... se potete darmi spiegazioni non troppo tecniche!!! Ve ne sarei grato!!!

Grazie a chi vorrà aiutarmi!

A presto

Simone

[lancetta]

ciao..disattiva il ripristino config di sistema se non sai come fare vedi QUI link
scarica hijackthis da QUI LINK è stand alone (senza installazione) lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post

sarà una nuova variante? bò (è un virus risalente al 99 se non erro)

[simoneacq]

Quote:

Originariamente inviato da lancetta

ciao..disattiva il ripristino config di sistema se non sai come fare vedi QUI link
scarica hijackthis da QUI LINK è stand alone (senza installazione) lo avvii dalla schermata clik su "do a system scan and save a logfile" ti si aprirà una schermata txt con dei dati, copi ed incolli nel prossimo post

sarà una nuova variante? bò (è un virus risalente al 99 se non erro)

ho disattivato il ripristino config. di sistema e posto la schermata di hijack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.37.45, on 03/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\SiteAdvisor\6066\SiteAdv.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\RogueRemover PRO\RogueRemoverPRO.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FILECO~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programmi\McAfee\MPF\MPFSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\SiteAdvisor\6066\SAService.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.egcommunity.it/
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\6066\SiteAdv.dll
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmi\SiteAdvisor\6066\SiteAdv.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [RogueMonitor] C:\Programmi\RogueRemover PRO\RogueRemoverPRO.exe /monitor
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FILECO~1\McAfee\EmProxy\emproxy.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programmi\File comuni\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programmi\McAfee\MPF\MPFSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programmi\SiteAdvisor\6066\SAService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 5782 bytes


grazie!!

[lancetta]

il log è pulito fai un pò di pulizia con ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected" poi puoi postare il percorso di dove ti trova sto fantomatico win95 marburg,...dopo la pulizia dei temp ed index dat con ATF cleaner rifai la scansione con Virit vedi i risultati.

Edit devi aggiornare anche la Java vm hai una versione più obsoleta

[simoneacq]

ho fatto tutto ma virit mi conferma i seguenti file infetti:

C:\Document and Settings\simoncino\Dati Applicazioni\tmp7E.tmp.exe Infetto da Win95 Marburg

C:\Document and Settings\simoncino\Dati Applicazioni\tmp8B.tmp.exe Infetto da Win95 Marburg

C:\Document and Settings\simoncino\Dati Applicazioni\tmp8D.tmp.exe Infetto da Win95 Marburg

C:\Document and Settings\simoncino\Dati Applicazioni\tmp24.tmp.exe Infetto da Win95 Marburg

C:\Document and Settings\simoncino\Dati Applicazioni\tmp36.tmp.exe Infetto da Win95 Marburg


il registro continuo a tenerlo disconnesso?

Grazie!

[lancetta]

come pensavo..... te li trova nei temporanei aggiornato anche la java? allora scarica ccleaner da QUI è un programma per pulizia più potente:Pulita con CCleaner disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore"Il ripristino per il momento tienilo disattivato Poi scarichi anche questo Superantispyware aggiornalo e fagli fare una "Perform complete scan" da "scan your computer"... e vedi dal log che cosa ha pulito (oppure lo posti qui)ma il pc ti dà problemi?
edit: fai fare anche un giro a Questo VUNDOFIX
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....

[simoneacq]

super spy mi ha trovato e ,in teoria, eliminato i file infetti con win95...vundofix non mi ha segnalato nulla..ma la scansione con virit mi da ancora presenti i 5 files infetti...

[wizard1993]

ora questo coso mi ha rotto:



con avenger (scarichi il file da
http://swandog46.geekstogo.com/avenger.zip lo scompatti in una cartella e lo esegui)

seleziona input script manually seleziona la lente di ingrandimento; incollaci questo script

Codice:

Files to delete:
C:\Document and Settings\simoncino\Dati Applicazioni\tmp7E.tmp.exe
C:\Document and Settings\simoncino\Dati Applicazioni\tmp8B.tmp.exe
C:\Document and Settings\simoncino\Dati Applicazioni\tmp8D.tmp.exe
C:\Document and Settings\simoncino\Dati Applicazioni\tmp24.tmp.exe
C:\Document and Settings\simoncino\Dati Applicazioni\tmp36.tmp.exe

fai ok premi due volte sul semaforo rispondi sempre si; riavvia il sistema e posta il log di ritorno al riavvio

[simoneacq]

ecco il log

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rqnpguvh

*******************

Script file located at: \??\C:\hyrpvjsx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Document and Settings\simoncino\Dati Applicazioni\tmp7E.tmp.exe for deletion
Deletion of file C:\Document and Settings\simoncino\Dati Applicazioni\tmp7E.tmp.exe failed!

Could not process line:
C:\Document and Settings\simoncino\Dati Applicazioni\tmp7E.tmp.exe
Status: 0xc000003a



Could not open file C:\Document and Settings\simoncino\Dati Applicazioni\tmp8B.tmp.exe for deletion
Deletion of file C:\Document and Settings\simoncino\Dati Applicazioni\tmp8B.tmp.exe failed!

Could not process line:
C:\Document and Settings\simoncino\Dati Applicazioni\tmp8B.tmp.exe
Status: 0xc000003a



Could not open file C:\Document and Settings\simoncino\Dati Applicazioni\tmp8D.tmp.exe for deletion
Deletion of file C:\Document and Settings\simoncino\Dati Applicazioni\tmp8D.tmp.exe failed!

Could not process line:
C:\Document and Settings\simoncino\Dati Applicazioni\tmp8D.tmp.exe
Status: 0xc000003a



Could not open file C:\Document and Settings\simoncino\Dati Applicazioni\tmp24.tmp.exe for deletion
Deletion of file C:\Document and Settings\simoncino\Dati Applicazioni\tmp24.tmp.exe failed!

Could not process line:
C:\Document and Settings\simoncino\Dati Applicazioni\tmp24.tmp.exe
Status: 0xc000003a



Could not open file C:\Document and Settings\simoncino\Dati Applicazioni\tmp36.tmp.exe for deletion
Deletion of file C:\Document and Settings\simoncino\Dati Applicazioni\tmp36.tmp.exe failed!

Could not process line:
C:\Document and Settings\simoncino\Dati Applicazioni\tmp36.tmp.exe
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

[juninho85]

ocio allo script:
Files to delete:

Quote:

C:\Documents and Settings\simoncino\Dati Applicazioni\tmp7E.tmp.exe
C:\Documents and Settings\simoncino\Dati Applicazioni\tmp8B.tmp.exe
C:\Documents and Settings\simoncino\Dati Applicazioni\tmp8D.tmp.exe
C:\Documents and Settings\simoncino\Dati Applicazioni\tmp24.tmp.exe
C:\Documents and Settings\simoncino\Dati Applicazioni\tmp36.tmp.exe

[wizard1993]

Quote:

Originariamente inviato da juninho85

ocio allo script:
Files to delete:

vero; hai ragione te

[lancetta]

wiz secondo te c'è qualche dll che ricrea sti cacchi di exe nei temp?che ne pensi?

[simoneacq]

ho rifatto avenger con documents ed ecco il log

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xskjrppb

*******************

Script file located at: \??\C:\dgkscgxf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\simoncino\Dati Applicazioni\tmp7E.tmp.exe deleted successfully.
File C:\Documents and Settings\simoncino\Dati Applicazioni\tmp8B.tmp.exe deleted successfully.
File C:\Documents and Settings\simoncino\Dati Applicazioni\tmp8D.tmp.exe deleted successfully.
File C:\Documents and Settings\simoncino\Dati Applicazioni\tmp24.tmp.exe deleted successfully.
File C:\Documents and Settings\simoncino\Dati Applicazioni\tmp36.tmp.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


sembrerebbe a posto ,,,adesso rifaccio scansione con virit

[simoneacq]

ok anche scansione con virit non mi da piu virus!! Perfetto!! Un ultimo dubbio...posso ripristinare il registro? Grazie!!

[lancetta]

Ciao... puoi se vuoi, anche ripristinare il registro.... contento che tu abbia risolto ,se tutto a posto,cancella la cartella di back up di avenger in C.

Saluti