GUIDA alla rimozione virus da MSN Messenger (Thread semi-ufficiale).

[lancetta]

Quote:

Originariamente inviato da Riverside

Per ora si, socio, se non si risolve, domani mi compro la Telecom (se la ha avuta Tronchetti Provera la posso avere, pure io) e regalo la connessione Adsl a tutti gli utenti registrati su Hardaware Upgrade
P.S.: quanti sono gli utenti registrati???

Parecchi!!! basta che leggi le statistiche sulla pagina master...io mi accontenterei di un giro con Afef


@roccia_crazy ti consiglio di postare lo stesso i log in quanto restano quasi sempre residui

[roccia_crazy]

ma io c'è l'ho gia' la connessione con telecom:-((

bhe mi regali aladino???

[lancetta]

Quote:

Originariamente inviato da roccia_crazy

ma io c'è l'ho gia' la connessione con telecom:-((

Condoglianze....

Quote:

Originariamente inviato da roccia_crazy

bhe mi regali aladino???

Ok a lui aladino...a me la tunisina

[mattefumi]

Quote:

Originariamente inviato da lancetta

Ciao..cerca nella directory C:\WINDOWS\hahahha.zip e cancella la voce evidenziata in neretto

fai analizzare QUI C:\WINDOWS\Fish.scr e postaci il responso

Da hijackthis fixa questa voce (apri hijackthis e nella schermata clicchi su "do a system scan only" nella schermata che si apre hai tutto il log del programma con le voci e delle caselline a fianco ogni voce,clicchi sulla casellina in corrispondenza della voce da fixare mettendo così la spunta e dopodichè clicchi su "fix cheked"....hai appena fixato la voce)

Ciao e Grazie! Allora ecco il report di virus total.. sembra tutto ok... credo quel file sia uno screensaver di pesci che ha scaricato la mia ragazza tempo fa (il computer è il suo e il casino lo ha fatto lei... no comment!! )
Mentre ho fatto fixare da hijackthis: ho rifatto pure una seconda scansione e la voce non c'è più.
Se è tutto ok posso riattivare il ripristino di sistema? è meglio che creo un punto?
GRAZIE 1000
ciao

[lancetta]

Quote:

Originariamente inviato da mattefumi

Ciao e Grazie! Allora ecco il report di virus total.. sembra tutto ok... credo quel file sia uno screensaver di pesci che ha scaricato la mia ragazza tempo fa (il computer è il suo e il casino lo ha fatto lei... no comment!! )
Mentre ho fatto fixare da hijackthis: ho rifatto pure una seconda scansione e la voce non c'è più.
Se è tutto ok posso riattivare il ripristino di sistema? è meglio che creo un punto?
GRAZIE 1000
ciao

Ok Tutto a posto....riattiva pure il ripristino e crea un punto.

Saluti

[kosatinta]

ok...
come qualcuno si ricorderà avevo mandato il log di MSNFix

ecco quello di HijackThis

ancora non ho chiesto grazie per l'aiuto...

[ragno_nero_docet]

ecco il report di hijackthis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.56.59, on 13/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programmi\Olivetti\Aio\Shared\Bin\AplEvm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Java\jre1.5.0_04\bin\jucheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Olivetti\Aio\Shared\Bin\aplsts12.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\adriano\Desktop\HThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [eBayToolbar] C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [OLIVETTIEVM] C:\Programmi\Olivetti\Aio\Shared\Bin\AplEvm12.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration-InstantCopy.lnk = C:\Programmi\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA0EE103-EFBE-4DE3-B453-2987C60F29EF}: NameServer = 85.37.17.16 85.38.28.68
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Pml Driver OEM12 - HP - C:\WINDOWS\system32\OEMipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7269 bytes


Grazie anticipatamente dell'aiuto...

[Chill-Out]

@ragno_nero_docet
ma il thread l'hai seguito alla lettera? avresti dovuto postare prima il log di msnfix

[Chill-Out]

Quote:

Originariamente inviato da kosatinta

ok...
come qualcuno si ricorderà avevo mandato il log di MSNFix

ecco quello di HijackThis

ancora non ho chiesto grazie per l'aiuto...

Certo che hai un bel macello, innazitutto dal momento che usi IE almeno aggiornalo all versione 7, non vedo ne antivirus ne firewall.
Voci da fixare:
C:\Windows\xpupdate.exe
O4 - HKLM\..\Run: [GoogleBot.exe] C:\WINDOWS\system32\GoogleBot.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documenti\Settings\bot.dll
O20 - Winlogon Notify: winowl32 - C:\WINDOWS\SYSTEM32\winowl32.dll
C:\WINDOWS\system32\vedxg6ame4.exe
C:\Programmi\WinAble\winable.exe
C:\WINDOWS\system32\GoogleBot.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O4 - HKCU\..\Run: [WinAble] C:\Programmi\WinAble\winable.exe
O16 - DPF: {46058878-5352-4550-8CD0-839BE09FAD8E} (PowerFootball1.PowerFootballLoader1) - hxxp://footballleague.gazzetta.it/ap...ballLoader.CAB

[ragno_nero_docet]

Si si l'ho seguito, ho letto il report e ho eliminato i files dell'nfezione....
Ma il secondo report proprio non lo capisco... per me è arabo...

E' solo che nei files sospetti di msnfix mi ha segnalato proprio i 3 files zip che hanno causato il casino... si chiamavano
-11thseptembertribute
-lastnights
-trib11thsept
Ho fatto qualche casino???

[Chill-Out]

Quote:

Originariamente inviato da ragno_nero_docet

Si si l'ho seguito, ho letto il report e ho eliminato i files dell'nfezione....
Ma il secondo report proprio non lo capisco... per me è arabo...

E' solo che nei files sospetti di msnfix mi ha segnalato proprio i 3 files zip che hanno causato il casino... si chiamavano
-11thseptembertribute
-lastnights
-trib11thsept
Ho fatto qualche casino???

hai eliminato i file in grassetto? per sicurezza rilancia il tool e posta il log.

[kosatinta]

Quote:

Originariamente inviato da Chill-Out

Certo che hai un bel macello, innazitutto dal momento che usi IE almeno aggiornalo all versione 7, non vedo ne antivirus ne firewall.
[/url]

cosa vuol dire esattamente "fixare"???

[Chill-Out]

Quote:

Originariamente inviato da kosatinta

cosa vuol dire esattamente "fixare"???

Rilancia HijackThis clicca su "Do a sytem scan" metti il segno di spunta nella casella bianca di fianco alle voci indicate come da precedente post, poi clicca su "Fix checked"

[ragno_nero_docet]

Ho riesaminato ma non trova ne virus ne files sospetti...
Dunque tutto a posto credo...
e l'altro report tutto a posto???

[Chill-Out]

Quote:

Originariamente inviato da ragno_nero_docet

Ho riesaminato ma non trova ne virus ne files sospetti...
Dunque tutto a posto credo...
e l'altro report tutto a posto???

il log di HijackThis è pulito.

[kosatinta]

fatto!!!

ecco il log risultante...

pare che :

O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documenti\Settings\bot.dll

non vengano fissati mentre apposto tutti gli altri ...

[kosatinta]

oooppssss....
ecco il log...

[mattefumi]

Quote:

Originariamente inviato da lancetta

Ok Tutto a posto....riattiva pure il ripristino e crea un punto.

Saluti

Mitico grazie mille!!!

[lancetta]

Quote:

Originariamente inviato da kosatinta

oooppssss....
ecco il log...

il tuo problema è un pò piu grave hai un trojan downloader,ed inoltre Avast sembra che non funzioni perbene o a singhiozzo... sicura....che il log sia completo?...fai una scansione on line con http://www.bitdefender.com/scan8/ie.html per cominciare poi scaricati Questo VUNDOFIX
sul desktop lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK.
accendi il pc e posta il log che troverai in C:\vundofix.txt....
Scarica http://www.zonavirus.com/datos/desca...5/elibagla.asp scorri a fondo pagina e clicca su "descargar elibagla"
Assicurati che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavvia il pc e posta il log che trovi in: C:\InfoSat.txt
Il tutto ed i risultati li posti nella sezione aiuto sono infetto http://www.hwupgrade.it/forum/forumdisplay.php?f=125 aprendo un post tuo

[blengyo]

eccoli..!