Aiuto... Sono infetto!

<^MORFEO^> · 13-02-2008, 10:10

Salve!

Premetto che uso AVG 7.5, Ad-Aware e CCleaner... E nonostante tutto

:
I dubbi mi sono venuti quando nel task manager vedevo questo:

I numeri posti all'inizio e alla fine cambiano ogni volta che lo chiudo da task manager. Poi dopo un 20 min si riapre da solo!
Praticamente questo programma continuamente mi deseleziona l'applicazione che in quel momento sto usando portandomi la selezione sul desktop!

Poi ho letto un po di thread di questa sezione e ho effettuato la scansione con trend Micro HijackThis 2.0.2 e come log mi ha dato questo:

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.31.02, on 13/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\Ad-Aware 2007\aawservice.exe
C:\windows\system32\spoolsv.exe
C:\Programmi\File comuni\Maxtor\Schedule2\schedul2.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\AVG7~1\avgamsvr.exe
C:\AVG7~1\avgupsvc.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\windows\system32\svchost.exe
C:\windows\RTHDCPL.EXE
C:\windows\ALCMTR.EXE
C:\windows\system32\WgaTray.exe
C:\AVG7~1\avgcc.exe
C:\windows\system32\svchost.exe
C:\windows\system32\ctfmon.exe
C:\Microsoft ActiveSync\wcescomm.exe
C:\MICROS~2\rapimgr.exe
C:\eMule v0.48a\emule.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\livecall.exe
C:\windows\system32\wuauclt.exe
C:\windows\explorer.exe
C:\DOCUME~1\Andrea\IMPOST~1\Temp\87exgmrgml18.exe
C:\Documents and Settings\Andrea\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - (no file)
O2 - BHO: (no name) - {2772F92D-5E3E-48EE-B647-89717EB9ABFF} - (no file)
O2 - BHO: (no name) - {65A9831A-156C-4CEE-ACEA-A51C0E58E221} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {818D9E57-E029-4537-BB54-EB660CE3F750} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\AVG7~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [devenv] C:\windows\system\smvss.exe /w
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\AVG7~1\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1078081533-839522115-1801674531-1003\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148128990234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148128976265
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F00C22E1-D3BC-42CA-8D70-A4B4B0ED9FDE}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: ,,
O20 - Winlogon Notify: opnkiif - opnkiif.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Maxtor\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\AVG7~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\AVG7~1\avgupsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programmi\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\windows\system32\PnkBstrB.exe

--
End of file - 9593 bytes

Spero di aver postato giusto perchè ho visto molti utenti sgridati per averlo postato male!

Insomma, tra le tante cose che sicuramente voi riuscirete a trovare meglio di me, io ho rilevato questo:

O4 - HKLM\..\Run: [devenv] C:\windows\system\smvss.exe /w
Che sul sito da voi consigliato: http://sysinfo.org/startuplist.php?filter=smvss.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\S-1-5-21-1078081533-839522115-1801674531-1003\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
Che sul sito da voi consigliato: http://sysinfo.org/startuplist.php?filter=ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
Che sul sito da voi consigliato: http://sysinfo.org/startuplist.php?filter=CTFMON.EXE

Bene, ora, che si fa?

matteo1 · 13-02-2008, 10:18

Intanto disattiva il ripristino configurazione di sistema;poi scarica questo:
http://www.majorgeeks.com/ATF_Cleaner_d4949.html
doppio click e selezioni Select All e clicchi Empty Selected
poi scarica questo:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
riavvia in dalità provvisoria
avvia l'antivirus e attendi che rilevi i virus

IG0R · 13-02-2008, 10:24

devi disattivare il ripristino di configurazione di sistema intanto,poi dai una passata di ccleaner,nel log fixa:
-C:\DOCUME~1\Andrea\IMPOST~1\Temp\87exgmrgml18.exe
-O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - (no file)
-O2 - BHO: (no name) - {2772F92D-5E3E-48EE-B647-89717EB9ABFF} - (no file)
-O2 - BHO: (no name) - {65A9831A-156C-4CEE-ACEA-A51C0E58E221} - (no file)
-O2 - BHO: (no name) - {818D9E57-E029-4537-BB54-EB660CE3F750} - (no file)
-O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
-O20 - AppInit_DLLs: ,,
-O20 - Winlogon Notify: opnkiif - opnkiif.dll (file missing)
poi scarica avenger e inserisci questo script:
Files to delete:
C:\WINDOWS\system\smss.exe

<^MORFEO^> · 13-02-2008, 10:26

Grazie!

Quote:

Originariamente inviato da matteo1

Intanto disattiva il ripristino configurazione di sistema;poi scarica questo:
http://www.majorgeeks.com/ATF_Cleaner_d4949.html
doppio click e selezioni Select All e clicchi Empty Selected
poi scarica questo:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
riavvia in dalità provvisoria
avvia l'antivirus e attendi che rilevi i virus

Fatto, adesso sto scaricando il secondo programma...
Lo devo avviare e poi riavviare in modalità provvisoria?
Scusa l'ignoranza ma come faccio a riavviare in modalità provvisoria?

<^MORFEO^> · 13-02-2008, 10:29

Quote:

Originariamente inviato da IG0R

devi disattivare il ripristino di configurazione di sistema intanto,poi dai una passata di ccleaner,nel log fixa:
-C:\DOCUME~1\Andrea\IMPOST~1\Temp\87exgmrgml18.exe
-O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - (no file)
-O2 - BHO: (no name) - {2772F92D-5E3E-48EE-B647-89717EB9ABFF} - (no file)
-O2 - BHO: (no name) - {65A9831A-156C-4CEE-ACEA-A51C0E58E221} - (no file)
-O2 - BHO: (no name) - {818D9E57-E029-4537-BB54-EB660CE3F750} - (no file)
-O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
-O20 - AppInit_DLLs: ,,
-O20 - Winlogon Notify: opnkiif - opnkiif.dll (file missing)
poi scarica avenger e inserisci questo script:
Files to delete:
C:\WINDOWS\system\smss.exe

Secondo te sono tutti infetti?
Fixo con lo stesso programma con cui ho creato il log giusto?

matteo1 · 13-02-2008, 10:33

http://www.wininizio.it/forum/index.php?showtopic=12722

<^MORFEO^> · 13-02-2008, 11:02

Quote:

Originariamente inviato da matteo1

Intanto disattiva il ripristino configurazione di sistema;poi scarica questo:
http://www.majorgeeks.com/ATF_Cleaner_d4949.html
doppio click e selezioni Select All e clicchi Empty Selected
poi scarica questo:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
riavvia in dalità provvisoria
avvia l'antivirus e attendi che rilevi i virus

Fatto e l'anti virus non ha rilevato niente

Quote:

Originariamente inviato da IG0R

devi disattivare il ripristino di configurazione di sistema intanto,poi dai una passata di ccleaner,nel log fixa:
-C:\DOCUME~1\Andrea\IMPOST~1\Temp\87exgmrgml18.exe
-O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - (no file)
-O2 - BHO: (no name) - {2772F92D-5E3E-48EE-B647-89717EB9ABFF} - (no file)
-O2 - BHO: (no name) - {65A9831A-156C-4CEE-ACEA-A51C0E58E221} - (no file)
-O2 - BHO: (no name) - {818D9E57-E029-4537-BB54-EB660CE3F750} - (no file)
-O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
-O20 - AppInit_DLLs: ,,
-O20 - Winlogon Notify: opnkiif - opnkiif.dll (file missing)
poi scarica avenger e inserisci questo script:
Files to delete:
C:\WINDOWS\system\smss.exe

Li ho cancellati, ora faccio quello che mi hai detto con avenger!

Per quanto riguarda i file che ho trovato io che sono dannosi, che faccio? Li fixo?

IG0R · 13-02-2008, 11:05

http://swandog46.geekstogo.com/avenger.zip
no quelli lasciali,fixa solo quelli che ti ho detto

avenger lo devi scompattare,far partire poi fai input script manualy e clicca sulla lente d'ingrandimento,alla finestra successiva metti lo script che ti ho detto e clicca sul pulsante done,clicca sull'icona a semaforo verde e devi dire si 2 volte,dovrebbe riavviarsi,al limite fallo tu.poi incolla qui il log che trovi in c:\avenger.txt

<^MORFEO^> · 13-02-2008, 12:35

Ecco il log dopo il riavvio:

Codice:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yptiaulm

*******************

Script file located at: \??\C:\Documents and Settings\wuhvxgmn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system\smss.exe not found!
Deletion of file C:\WINDOWS\system\smss.exe failed!

Could not process line:
C:\WINDOWS\system\smss.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

E' ritornato il programma che mi dava problemi anche prima:

Quindi questo problema rimane...

Poi tanto per cambiare adesso ad ogni riavvio mi appare questo:

<^MORFEO^> · 13-02-2008, 12:55

Dall'analisi del log su questo sito: http://www.hijackthis.de/
Risultano 2 file sospetti:

Cosa faccio, li fixo?

murack83pa · 13-02-2008, 13:12

allora facciamo le cose con calma e ordine

1-modifica il post in cui hai incollato l'immagine, xchè sforma il layout rendendo difficile la lettura della discussione, grazie

2-segui con calma e attenzione la guida alla disinfezione e posta qui tutti i log prodotti dalle scansioni

fai le scansioni con tutti i programmi indicati da quella guida e nelle modalità indicate

stai attento a come posti i log, scegliendo tra:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp, copiando qui i link x il download
è preferibile l'ultima opzione

deneb87 · 13-02-2008, 13:24

una piccola precisazione, ti è stato dato uno script per avenger sbagliato.

il file da killare era smVss non smss

IG0R · 13-02-2008, 13:27

Quote:

Originariamente inviato da deneb87

una piccola precisazione, ti è stato dato uno script per avenger sbagliato.

il file da killare era smVss non smss

hai ragione ho scordato la "v"

Nuz · 13-02-2008, 13:39

Scarica Avenger. Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Quote:

Files to delete:
C:\DOCUME~1\Andrea\IMPOST~1\Temp\87exgmrgml18.exe
C:\windows\system\smvss.exe

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt

<^MORFEO^> · 13-02-2008, 13:39

Quote:

Originariamente inviato da IG0R

hai ragione ho scordato la "v"

E adesso???

IG0R · 13-02-2008, 13:41

Quote:

Originariamente inviato da <^MORFEO^>

E adesso???

non è successo niente

deneb87 · 13-02-2008, 13:49

Quote:

Originariamente inviato da <^MORFEO^>

E adesso???

adesso fai quello che ti è stato suggerito da nuz, e sopratutto quello suggerio da murack perchè stai sformando il forum :P

murack83pa · 13-02-2008, 13:55

dopo aver fatto quanto indicato da nuz, ribadisco la necessità, a mio avviso, di eseguire le scansioni complete della guida, poichè da quello che so smvss.exe è un trojan downloader....

<^MORFEO^> · 13-02-2008, 15:54

Quote:

Originariamente inviato da Nuz

Scarica Avenger. Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:

Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt

Fatto!
Però al riavvio dice che non è stato possibile creare il file txt...
In compenso ricompare questo:

Quote:

Originariamente inviato da deneb87

adesso fai quello che ti è stato suggerito da nuz, e sopratutto quello suggerio da murack perchè stai sformando il forum :P

Eh so,mi dispiace sformare il forum...
E' che avendo 1680x1050 neanche ci faccio caso...

Toglierò direttamente le img troppo grandi!

Quote:

Originariamente inviato da murack83pa

dopo aver fatto quanto indicato da nuz, ribadisco la necessità, a mio avviso, di eseguire le scansioni complete della guida, poichè da quello che so smvss.exe è un trojan downloader....

Ho eseguito delle scansioni con vari programmi che cercavano nel registro ma poi alla fine non sapevo come interpretarle quindi punto a capo

murack83pa · 13-02-2008, 16:45

un attimo...

Quote:

Ho eseguito delle scansioni con vari programmi che cercavano nel registro

cosa vuol dire?

Quote:

poi alla fine non sapevo come interpretarle

infatti nn le devi interpretare: limitati ad installare programmi della guida uno x volta, e fare le scansioni ( una x volta) e postare i singoli log.....poi noi li esaminiamo e vediamo di capirci di piu

quindi ripartiamo da zero: segui quella guida e posta qui i log...ok?

piuttosto nn ho cpt il messagio d windows-disco nn presente

riguardo avenger, lascialo stare x il momento

13-02-2008, 10:18	#2
matteo1 Senior Member Iscritto dal: Jun 2005 Città: in lombardia Messaggi: 8397	Intanto disattiva il ripristino configurazione di sistema;poi scarica questo: http://www.majorgeeks.com/ATF_Cleaner_d4949.html doppio click e selezioni Select All e clicchi Empty Selected poi scarica questo: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe riavvia in dalità provvisoria avvia l'antivirus e attendi che rilevi i virus __________________ Asrock z170m, i7 6700k, 8GB Kingston ddr4 2666, sandisk ssd120GB, Segate 4TB, XFX Radeon RX 480 RS 8GB

13-02-2008, 10:33	#6
matteo1 Senior Member Iscritto dal: Jun 2005 Città: in lombardia Messaggi: 8397	http://www.wininizio.it/forum/index.php?showtopic=12722 __________________ Asrock z170m, i7 6700k, 8GB Kingston ddr4 2666, sandisk ssd120GB, Segate 4TB, XFX Radeon RX 480 RS 8GB

13-02-2008, 11:05	#8
IG0R Member Iscritto dal: Feb 2008 Messaggi: 170	http://swandog46.geekstogo.com/avenger.zip no quelli lasciali,fixa solo quelli che ti ho detto avenger lo devi scompattare,far partire poi fai input script manualy e clicca sulla lente d'ingrandimento,alla finestra successiva metti lo script che ti ho detto e clicca sul pulsante done,clicca sull'icona a semaforo verde e devi dire si 2 volte,dovrebbe riavviarsi,al limite fallo tu.poi incolla qui il log che trovi in c:\avenger.txt Ultima modifica di IG0R : 13-02-2008 alle 11:11.

13-02-2008, 12:55	#10
<^MORFEO^> Senior Member Iscritto dal: Apr 2006 Città: Trieste Messaggi: 3401	Dall'analisi del log su questo sito: http://www.hijackthis.de/ Risultano 2 file sospetti: Cosa faccio, li fixo? __________________ ASUS PB278Q - Corsair Carbide 500R Black - Thermaltake ToughPower 750W - Intel i7-4790 (Cooled by Corsair Liquid H80i) - ASRock Z97 Extreme 4 - MSI GTX 950 Gaming 2G - 16GB Corsair Vengeance Pro 1600MHz - Samsung SSD 840 Pro 256GB Ultima modifica di <^MORFEO^> : 13-02-2008 alle 15:56.

13-02-2008, 10:24	#3
IG0R Member Iscritto dal: Feb 2008 Messaggi: 170	devi disattivare il ripristino di configurazione di sistema intanto,poi dai una passata di ccleaner,nel log fixa: -C:\DOCUME~1\Andrea\IMPOST~1\Temp\87exgmrgml18.exe -O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - (no file) -O2 - BHO: (no name) - {2772F92D-5E3E-48EE-B647-89717EB9ABFF} - (no file) -O2 - BHO: (no name) - {65A9831A-156C-4CEE-ACEA-A51C0E58E221} - (no file) -O2 - BHO: (no name) - {818D9E57-E029-4537-BB54-EB660CE3F750} - (no file) -O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE -O20 - AppInit_DLLs: ,, -O20 - Winlogon Notify: opnkiif - opnkiif.dll (file missing) poi scarica avenger e inserisci questo script: Files to delete: C:\WINDOWS\system\smss.exe

13-02-2008, 13:12	#11
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	allora facciamo le cose con calma e ordine 1-modifica il post in cui hai incollato l'immagine, xchè sforma il layout rendendo difficile la lettura della discussione, grazie 2-segui con calma e attenzione la guida alla disinfezione e posta qui tutti i log prodotti dalle scansioni fai le scansioni con tutti i programmi indicati da quella guida e nelle modalità indicate stai attento a come posti i log, scegliendo tra: 1)la funzione allegati, rinominando i log in formato txt 2)caricare il log su FileUp, copiando qui i link x il download è preferibile l'ultima opzione

13-02-2008, 13:24	#12
deneb87 Senior Member Iscritto dal: Dec 2006 Città: Cagliari Messaggi: 682	una piccola precisazione, ti è stato dato uno script per avenger sbagliato. il file da killare era smVss non smss

13-02-2008, 13:55	#18
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	dopo aver fatto quanto indicato da nuz, ribadisco la necessità, a mio avviso, di eseguire le scansioni complete della guida, poichè da quello che so smvss.exe è un trojan downloader....

Strumenti
Mostra una versione stampabile Invia questa pagina per email