Win32/Tenga.A

[lucadue]

disattiva il ripristino di configurazione di windows poi prova a scansionare e i file che trova eliminali...
possibilmente se non usi un firewall installane uno

[Aiolia]

Quote:

Originariamente inviato da lucadue

disattiva il ripristino di configurazione di windows poi prova a scansionare e i file che trova eliminali...
possibilmente se non usi un firewall installane uno

Disattivato e scansionato, nn ha trovato nulla, ho provato a cancellare il setup.exe e autorun.inf dopo mezz'ora o meno sono tornati allegramente

[lucadue]

posta il log di hijackthis in questa discussione cosi vediamo
http://www.hwupgrade.it/forum/showthread.php?t=937676

[gubanozzz]

Ho preso anch'io il maledetto Tenga con tutte le conseguenze del caso: files infetti, imprecazioni a valanga ecc.

Ma come è possibile che sto virus sia ancora in circolazione da più di un anno ???

Vi ricordo che questo thread è stato aperto un anno fa (giorno più giorno meno)

[mabocrack]

io l'ho ripreso per la terza volta

[nV 25]

Quote:

Originariamente inviato da mabocrack

io l'ho ripreso per la terza volta

o marò...
il max della sfiga....

bè, dai...il lato positivo: almeno sai come trattarlo....






PS: ma come diavolo li beccate?
Ti rompe dirmi che cfg software hai e se esegui periodicamente gli update di win?

[lucadue]

Quote:

Originariamente inviato da nV 25

o marò...
il max della sfiga....

bè, dai...il lato positivo: almeno sai come trattarlo....






PS: ma come diavolo li beccate?
Ti rompe dirmi che cfg software hai e se esegui periodicamente gli update di win?

io dopo il sp2 nn ho mai fatto un update ma nn prendo niente da gennaio

[_ManiAc_]

stesso problema anche a me, ho letto il topic, cercato di risolvere in tutti i modi consigliati, installando WWDC ecc, ma nulla.

E sono gia 2 mesi, ho anche io il router rotto e mi ritrovo con quello adsl senza firewall, ecco il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15.21.27, on 21/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ManiAc\Desktop\startuplist\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [kis] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windows...b?1159724887375
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9721C909-15C7-411F-BC27-CB862A91E40E}: NameServer = 85.37.17.46 85.38.28.84
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

aiutatemi per favore...

[Willy80]

cavolo, penso anche io di averlo preso....
sono due giorni che lo elimino e puntualmente la mattina quando controllo i download sul muletto eccole che avast mi dice del Tenga!!!

spero non mi abbia infettato anche il pc principale..

uso Avast e Zone Alarm e non mi è mai entrato nulla, ora invece sto coso bastardo non riesco nemmeno a toglierlo...

Si può fare un riassunto delle varie cose da effettuare per pulire il sistema, sempre se si riesce!!

[Willy80]

ho una domanda!
siccome uso zone alarm come firewall, se blocco le porte incoming netbios della zona internet, risolvo?

perché forse, e dico forse ( ) sul pc principale non ho preso il tenga, e il firewall blocca tutti gli accessi al pc sia dalla "trusted zone" che dalla "internet zone"!
Quindi presumo sia efficace contro il maledetto, e siccome da quello che ho capito il virus agisce sempre via internet (dopo la rimozione dei file infetti) dalla porte aperte 135 e 445, se io le chiudo solo nella "internet zone" dovrei essere a posto, giusto?

[zxrzxr]

ciao grazie a voi e al magnifico forum dove ho imparato un sacco di cose utili in tutti questi anni ,e ancora adesso mi avete aiutato a liberarmi di un virus che mi a beccato ecco il suo nome :TR/Dldr.delf.ajh ,allego anche foto dei file che mi aveva infettato . ora sembra tutto ok dopo aver scaricato PREVXFIXGROM.
grazie ancora

[Padela]

Stasera mi leggerò per bene tutto il 3D e cercherò di capire come risolvere il problema.
Per ora mi limito ad iscrivermi ufficialmente nella lista degli infetti da sto c**** di Tanga

[all3rz]

eccomi qua... anche io nella lista del w32/stanit (che se non ho capito male è una variante del tenga...)

uppo la richiesta di un riassunto... grazie!

[Willy80]

entra nel pc in modalità provvisoria, fai una scansione ed elimina tutti i file infetti, utilizza il programmino microsoft WWDC (Windows Worms Doors Cleaner) e chiudi le porte 445, 135-139. Riavvia il sistema e non dovresti più avere problemi, almeno io ho fatto così e oramai sono mesi che non lo vedo!

il WWDC lo trovi sul sito microsoft o se no con google fai un cerca e trovi la pagina per downloadarlo!
Buona disinfestazione

[aleangel14]

Ciao a tutti!!!! Anche io sono nel club tenga!! bene ho letto molto a riguardo e fino alla fine sono arrivato a voi e a questo forum..per fortuna..ho imparato tante cose..prima di tutto su HijackThis che non conoscevo(il cui log vi riporto di seguito)

Logfile of HijackThis v1.99.1
Scan saved at 16.03.13, on 02/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
H:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.philips.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

che dite è pulito? io ho usato la guida presente nel forum..e sembra di si..ma credo voi siate più esperti di me e potete darmi delle conferme
il computer viene da un formattone..e credo si veda.. dopo che il suddetto virus ha praticamente raso al suolo il mio computer(avevo antivir + sygate )..in pratica non partiva più..ho formattato la partizione con il sistema operativo(io ho 2 HD con 3 partizioni!!) e poi ho installato Active Virsus Shield..gli ho fatto fare uno scan e mi ha trovato 500 .exe infetti sugli altri due Hrd disk che ho rimosso..(ho sbloccato anche i System Volume Information che ora sono accessibili all'antivirus)..ho disabilitato il "ripristino configurazione su tutte le unità" e ho fatto ripartire active..ma per ora nessun file infetto..poi ho installato anche anti-spyware AVG e CCLENER che dite è sufficiente? devo aggiungere qualcos'altro?
Per quanto riguarda invece WWDC ho letto in questa discussione che per prevenire questo virus bisogna chiudere la porta 135..ma il computer infetto è sia connesso ad internet sia in rete con un altro portatile..ma da quello che ho letto chiudendo la suddetta porta si hanno problemi di connessione di rete..sbaglio? mi date un connsiglio per piacere..grazie infinte..

[aleangel14]

Nessuno può aiutarmi per favore????

[y4mon]

Quote:

Originariamente inviato da aleangel14

Nessuno può aiutarmi per favore????

Non sono un esperto ma il tuo log sembra pulito, ed anche la tua configurazione di sicurezza con AVS e AVG dovrebbe essere sufficiente se unita ad un windows sempre aggiornato.

Per quanto riguarda la porta (ripeto: non sono un esperto) chiudendola potresti avere problemi in rete, ma il tenga + che la porta sfruttava una vulnerabilità del sistema, che, se sei a posto con gli aggiornamenti di win, non dovrebbe + sussistere.

...quasi dimenticavo:

benvenuto nel forum...
ciao

[Lilith18]

salve a tutti sono entrato anch'io nel gruppo
dalle ore.... non mi ricordo più, credo le 0.30. adesso sono le 3.15 e non riesco a fermarlo

ho anitivir, kerioPF, spybot, winxp sp2
cosa devo uccidere?????

3 partizioni:
c: con il so
d: con i files multimediali
e: con gli eseguibili e le istallazioni, (che ormai non ci sono più, tutti infetti e cancellati x precauzione)

il problema si sta spostando sul disco D: prima mi ha colpito la cartella bitcomet e adesso la cartella di backup di mio fratello con tutti i suoi eseguibili

non so più che fare ed ho un sonno pazzesco

hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 3.22.13, on 12/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\umonit.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\atiptaxx.exe
C:\Programmi\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Programmi\WiFiConnector\NintendoWFCReg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\DOCUME~1\Lilith\IMPOST~1\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\WINDOWS\atiptaxx.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Programmi\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Esegui il programma di registrazione della chiave USB Wi-Fi Nintendo.lnk = C:\Programmi\WiFiConnector\NintendoWFCReg.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F3F97D6-CE24-492A-AC5A-DEF461B5C3AD}: NameServer = 85.37.17.42 85.38.28.87
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\BlueSoleil\BTNtService.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


scusate ma sono abbastanza...affranto

[y4mon]

Quote:

Originariamente inviato da Lilith18

salve a tutti sono entrato anch'io nel gruppo
dalle ore....

Intanto benvenuto nel forum!

ad un'occhiata INESPERTA come la mia, il tuo log sembra pulito (aspetta eventualmente conferma di qualcuno + esperto).

Nell'attesa dovresti disabilitare il ripristino di sistema di windows e seguire i suggerimenti dell'utente mardurhack:

""Avviate Windows in modalità provvisoria premendo ripetutamente F8 all'avvio del BIOS
4) "Scannate" il disco con l'antivirus (Io uso Avira Antivir PE, stupendo, gratuito e funzionale!), troverà tutti gli exe infetti. Eliminateli tutti! Tanto non sono più recuperabili, guardate anche la cartella in cui sono stati trovati e ricercateli a scan finito uno ad uno per vedere se ci sono rimaste copie che l'antivirus non ha beccato (succede, magari perché si ricreano dopo la scanzione!). è un lavoro duro lo so, ma vi da soddisfazioni! :lol:
5)Riavviate windows, scansionate ancora una volta il sistema (Configurate l'antivirus perché scansioni TUTTI i files e non solo quelli nella blacklist e TUTTI gli archivi! Vi ricordo che solo dalla versione 7.0 avira ripara gli archivi, prima poteva solo analizarli!)""...

ciao

[Lilith18]

grazie
la prima cosa che disabilito ogni volta che formatto è il ripristino di configurazione, poi la metà dei servizi di winxp

adesso ho messo su kaspersky oltre ad antivir e hanno un po' pulito
ho svuotato le cartelle temp, internet temp e la cache di firefox
ma perchè gli scanner online vogliono solo explorer? non lo uso mai, quindi nemmeno lo aggiorno (oltre a bloccarne l'acceso a internet tramite firewall)

ho chiuso le porte di netbios con WWDC (la 445 rpc locator mi serve x il modem/router di alice)

grazie a knoppix live ho salvato le impostazioni di posta e i file che mi servivano, quindi sarei pronto al format

sto scannando il pc di mio fratello (visto che la sua cartella di backup sul mio era piena di trojan) ma nulla. lui usa AVG e sygate.

ma per curiosità come caspita l'ho preso? stavo viaggiando su wikipedia e su un sito di un videogame (STALKER shadow of chernobyl) e antivir mi ha cominciato a trovare exe corrotti

ho scaricato molta merda in sto periodo, ma si tratta di zip di driver (voodoo2 e bashee dal sito 3dfx, catalyst 7.1 da ati.amd.com)