|
|||||||
|
|
|
 |
|
|
Strumenti |
21-12-2007, 19:34
|
#1 |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
[WinXP] Virus spettacolare! Aiutatemi grazie...
Allora... Ho avuto problemi con sppolw.exe e company ma li ho risolti abbastanza facilmente.
Ora ho problemi con questo... (chiedo innanzitutto scusa se sbaglio qualcosa nell'elencare i fatti o nel postare, non lo faccio volutamente, aiutatemi vi prego  )Apro il mio pc e mi compaiono queste due bellissime finestre:  Sul dekstop mi sono comparse queste, il link porta ad un sito internet non microsoft, se le cancello ricompaiono:  E ogni tanto, senza che io faccia nulla, mi compaiono a caso queste finestre:    Ed il più delle volte quando le chiudo mi si apre una finestra di download di un file setupen.exe da un sito internet od una pagina di explorer (che logicamente rifiuto e chiudo  )eccovi anche il log di Hijackthis: Codice:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.31.46, on 21/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\WINDOWS\system32\npkcmsvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Razer\Reclusa\razerhid.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\Programmi\Razer\Reclusa\razertra.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\utente\Desktop\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: War Rock Toolbar Helper - {0914953A-B6C0-42C3-983E-5213C64AFA9B} - C:\Programmi\War Rock Toolbar\v3.2.0.0\War_Rock_Toolbar.dll
O2 - BHO: {511b56ee-2212-c1a9-67a4-7f6d095a6001} - {1006a590-d6f7-4a76-9a1c-2122ee65b115} - C:\WINDOWS\system32\orfoicom.dll
O2 - BHO: (no name) - {667E187A-E96E-46AF-9FDA-97F8A5ACFCBE} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\btcessre.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O3 - Toolbar: War Rock Toolbar - {5D956A61-05E7-427B-A2B1-BF32FB18B1BE} - C:\Programmi\War Rock Toolbar\v3.2.0.0\War_Rock_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Reclusa] C:\Programmi\Razer\Reclusa\razerhid.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ec1e40d6] rundll32.exe "C:\WINDOWS\system32\kcbwnafr.dll",b
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aruba.it
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7C6E92FA-4429-4FB6-909B-798E2EFFAEF0} (NCWeb.Launcher) - http://www.lineage2.co.kr/common/ocx/ncweb.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://gameadvisor.futuremark.com/global/msc37.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://nprotect.ncsoft.co.kr/nProtect/keycrypt/npkcx_vista.cab
O16 - DPF: {DC4207CE-C03E-4449-ACB1-032CA4137053} (Npz Control) - https://nprotect.ncsoft.co.kr/nProtect/netizen2004/ncsoft/npz.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8529C65D-1437-4CCE-B94F-7E2567FEE2B9}: NameServer = 213.140.2.43,213.140.2.49
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c0017A3C.dat
O20 - Winlogon Notify: btcessre - C:\WINDOWS\SYSTEM32\btcessre.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcmsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 10716 bytes
|
|
|
|
21-12-2007, 19:45
|
#2 |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
Come avevo appena detto il pc mi si è bloccato.
Dicevo, mi stanno comparendo in C:\ e nella cartella documenti una marea di files posXXX.tmp (dove XXX è una serie di numeri), e l'icona del mio disco fisso è diventata una X rossa CCleaner non mi ha cancellato grandissima parte di questi file .tmp Ah per la cronaca il mio Windows XP è italiano ed originale, e il tema delle finestre l'ho messo io non è del virus  Sperando che non mi si blocchi il pc faccio una scansione con PrevX CSI e vi posto il risultato... Poi ditemi voi cos'altro fare Dimenticavo! Avevo Nod32, ma è scaduta la licenza proprio l'altro ieri -___- quindi anche se lo vedete non funziona. Ultima modifica di Verdammt : 21-12-2007 alle 19:56. |
|
|
|
|
21-12-2007, 19:56
|
#3 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3259
|
comincia col seguire per favore le regole di sezione
http://www.hwupgrade.it/forum/showthread.php?t=1599737 edit: vedo che stai seguendo la procedura...posta i vari log che vediamo il da farsi....
__________________
Opera disabilitazione script ed iframe  Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...
Ultima modifica di lancetta : 21-12-2007 alle 20:00. |
|
|
|
|
21-12-2007, 19:59
|
#4 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
benvenuto nel forum,
io direi di seguire attentamente, passo dopo passo, la guida alla disinfezione carica i vari log richiesti dalla guida sul server www.zshare.net e copia qui i link ciao edit OT--------------- @lancetta: il log di hijackthis, seppur nn richiesto dalla guida, è posto in conformità delle regole di sezione, no? Ultima modifica di murack83pa : 21-12-2007 alle 20:04. |
|
|
|
|
21-12-2007, 20:01
|
#5 |
|
Senior Member
Iscritto dal: Feb 2002
Città: Bologna
Messaggi: 533
|
Mi sà proprio che sei infetto dal VirtuMonde Vundo.
__________________
Packard Bell X1052 - Processore Intel Core 2 Quad Q6600 (2400 Mhz) - Ram 3072 Mb - Hard Disk 500 GB - Scheda video NVidia GEF 8600GS  Portatile Fujitsu Siemens M1439G 
|
|
|
|
|
21-12-2007, 20:10
|
#6 | |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
Quote:
Non è Vundo, o almeno, il FixVundo di Norton non ha rilevato nulla >_> |
|
|
|
|
|
21-12-2007, 20:18
|
#7 |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
Sto riprovando la scansione con PrevX e sto installando a-squared -_-
|
|
|
|
|
21-12-2007, 20:19
|
#8 | |
|
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3259
|
Quote:
__________________
Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...
|
|
|
|
|
|
21-12-2007, 20:25
|
#9 |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
Niente da fare ci ho riprovato ma dopo un po' la scansione di PrevX CSI fa crashare il pc... fortunatamente di PC ne ho due vicini
avvio A-Squared Free v3.x... partita la scansione, speriamo non crashi il pc -.- Ultima modifica di Verdammt : 21-12-2007 alle 20:29. |
|
|
|
|
21-12-2007, 20:32
|
#10 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
nn so quanto possa influire sul procedimento di disinfezione: hai provato ad eseguire le scansioni in modalità provvissoria?
che dici lancetta? |
|
|
|
|
21-12-2007, 20:35
|
#11 |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
In modalità provvisoria non ci ho ancora provato, ma comunque non credo cambi molto perchè anche in modalità provvisoria il virus fa gli stessi casini... Sentite, col prevx normale, l'installer tipico che ti rileva le infezioni e per ripararle devi comprare la licenza, non mi crasha... faccio con quello?
|
|
|
|
|
21-12-2007, 20:50
|
#12 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
la modalità provvisoria a volte è consigliata xchè cosi molti spyware nn partono all'avvio....
|
|
|
|
|
21-12-2007, 20:56
|
#13 |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
Sto continuando la scansione con A-Squared (ma dura una vita
) quando finisce vi tengo aggiornati... Quando finisce questo provo a farla con Prevx CSI in mod. provvisoria Q_QAiutatemi non lasciatemi solo
|
|
|
|
|
21-12-2007, 21:00
|
#14 | |
|
Messaggi: n/a
|
Quote:
http://www.hwupgrade.it/forum/showth...ht=vundo+guida magari aspetta il parere degli altri per sapere se si tratta effettivamente di vundo |
|
|
|
|
21-12-2007, 21:05
|
#15 |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
Ho già seguito la procedura per quel virus parzialmente usando il fix vundo di norton, ma dopo un'ora di scan non mi ha rilevato quel trojan...
Faccio aanche notare che non mi fa aprire avenger dicendo che il file eseguibile è corrotto, mentre se lo eseguo come amminsitratore del sistema mi apre una finestra di crash prima che riesca ad aprirlo. Ultima modifica di Verdammt : 21-12-2007 alle 21:08. |
|
|
|
|
21-12-2007, 21:09
|
#16 |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
Mi si è bloccato il pc durante la scansione di A-Squared
 Mi ha segnalato alcune cose Tra cui Win32.Trojan.Virtumonde (non sono sicuro della dicitura esatta in quanto non posso andare a vedere scrollando la barra di scorrimento -_____-) Riavvio il pc e ci riprovo in modalità provvisoria... |
|
|
|
|
21-12-2007, 21:18
|
#17 |
|
Messaggi: n/a
|
se ti trova il virtumonde ti converrebbe provare con la guida di bugs (che è specifica per quel virus)
|
|
|
|
21-12-2007, 21:22
|
#18 |
|
Member
Iscritto dal: Dec 2007
Messaggi: 35
|
Si ma il FixVundo di Symantec non me lo trova... >_> Procedo ugualmente?
|
|
|
|
|
21-12-2007, 21:30
|
#20 |
|
Messaggi: n/a
|
analizzando il log di haijckthis nell analizzatore automatico salta fuori questa dll
btcessre.dll associata al virtumonde puoi fare tu stesso una prova http://www.ilsoftware.it/hijackthis.asp il fatto che a-squared poi ti segnali un virus con quel nome potrebbe rappresentare una conferma... io ti consiglierei di provarci (nel caso puoi scansionare prima anche con a-squared da modalità provvisoria) prova a completare la guida fino al punto 7...poi quando si tratterà di usare avenger chiedi istruzioni qui sul forum (è un software abbastanza delicato) |
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:49.
