[Help] Chi mi aiuta a debellare kaboom.dll e tutto il resto?

overclokk · 25-02-2006, 17:58

Allora devo dire che ho preso sto virus segalitico da un allegato di un mio amico....
ispeziono l'allegato antivirus avast mi dice tutto ok e io lancio il giochino...

ok infettato e con Hijackthis e regedit pulisco kaboom.dll msx.dll e un eseguibile che adesso non ricordo più..... fin qui tutto ok... poi mi accorgo un giorno di avere nel registro di nuovo kaboom.dll..... da allora scansiono con Hijackthis 1-2 volte al giorno ed ogni tanto lo ritrovo....

come faccio a toglierlo definitivamente??? non è che avast è stato sbrandellato dal virus?

altra cosa nel mio system32 mi sono ritrovato di dll strane create di recente queste 2:

Iddqd.dll e msmnu.dll

al loro interno c'è sta cosa in
IDDQD.DLL

R E G I S T R Y T Y P E L I B HKCR
{
Iddqd.Resurrector.1 = s 'resurrect'
{
CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
}
Iddqd.Resurrector = s 'resurrect'
{
CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
CurVer = s 'Iddqd.Resurrector.1'
}
NoRemove CLSID
{
ForceRemove {3B177BCE-B599-4ABD-BECE-B57EE18187FA} = s 'resurrect'
{
ProgID = s 'Iddqd.Resurrector.1'
VersionIndependentProgID = s 'Iddqd.Resurrector'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'Apartment'
}
'TypeLib' = s '{56601F80-9E54-45BD-819F-727B0B55D045}'
}
}
}
HKCR
{
NoRemove *
{
NoRemove ShellEx
{
NoRemove ContextMenuHandlers
{
ForceRemove Resurrector = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
}
}
}
}Ì4 V S _ V E R S I O N _ I N F O ½ïþ ? , S t r i n g F i l e I n f o 0 0 0 0 0 4 b 0 C o m m e n t s C o m p a n y N a m e ( F i l e D e s c r i p t i o n 6 F i l e V e r s i o n 1 , 0 , 1 , 1 I n t e r n a l N a m e $ L e g a l C o p y r i g h t ( L e g a l T r a d e m a r k s ( O L E S e l f R e g i s t e r ( O r i g i n a l F i l e n a m e P r i v a t e B u i l d P r o d u c t N a m e : P r o d u c t V e r s i o n 1 , 0 , 1 , 1 S p e c i a l B u i l d D V a r F i l e I n f o $ T r a n s l a t i o n

e per MSMNU.DLL

R E G I S T R Y T Y P E L I B HKCR
{
Iddqd.Resurrector.1 = s 'resurrect'
{
CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
}
Iddqd.Resurrector = s 'resurrect'
{
CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
CurVer = s 'Iddqd.Resurrector.1'
}
NoRemove CLSID
{
ForceRemove {3B177BCE-B599-4ABD-BECE-B57EE18187FA} = s 'resurrect'
{
ProgID = s 'Iddqd.Resurrector.1'
VersionIndependentProgID = s 'Iddqd.Resurrector'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'Apartment'
}
'TypeLib' = s '{56601F80-9E54-45BD-819F-727B0B55D045}'
}
}
}
HKCR
{
NoRemove *
{
NoRemove ShellEx
{
NoRemove ContextMenuHandlers
{
ForceRemove Resurrector = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}'
}
}
}
}Ä4 V S _ V E R S I O N _ I N F O ½ïþ ? $ S t r i n g F i l e I n f o 0 4 0 9 0 4 B 0 C o m p a n y N a m e B
F i l e D e s c r i p t i o n i d d q d M o d u l e 6 F i l e V e r s i o n 1 , 0 , 0 , 1 , I n t e r n a l N a m e i d d q d B L e g a l C o p y r i g h t C o p y r i g h t 2 0 0 6 <
O r i g i n a l F i l e n a m e i d d q d . D L L :
P r o d u c t N a m e i d d q d M o d u l e : P r o d u c t V e r s i o n 1 , 0 , 0 , 1 ( O L E S e l f R e g i s t e r D V a r F i l e I n f o $ T r a n s l a t i o n

Chi ci capisce è bravo.....

aiutatemi..le devo togliere ste 2 dll che sembrano correlate tra di loro...forse anche con Kaboom.dll non so...

overclokk · 25-02-2006, 17:59

ah dentro kaboom.dll c'è questo manicomio

G I S T R Y T Y P E L I B `Ñ HKCR
{
Kb.Dredge.1 = s 'Dredge'
{
CLSID = s '{EB870508-E2B7-4169-8120-760F69703776}'
}
Kb.Dredge = s 'Dredge'
{
CLSID = s '{EB870508-E2B7-4169-8120-760F69703776}'
CurVer = s 'Kb.Dredge.1'
}
NoRemove CLSID
{
ForceRemove {EB870508-E2B7-4169-8120-760F69703776} = s 'Dredge'
{
ProgID = s 'Kb.Dredge.1'
VersionIndependentProgID = s 'Kb.Dredge'
ForceRemove 'Programmable'
InprocServer32 = s '%MODULE%'
{
val ThreadingModel = s 'Apartment'
}
'TypeLib' = s '{3D45B44B-0C54-4C23-AC6D-D22020DB78CA}'
}
}
}
HKLM
{
SOFTWARE
{
Microsoft
{
Windows
{
CurrentVersion
{
Explorer
{
'Browser Helper Objects'
{
ForceRemove {EB870508-E2B7-4169-8120-760F69703776}
}
}
}
}
}
}
}

andorra24 · 25-02-2006, 18:01

Per disinfettarti da kaboom.dll e soci segui le istruzioni di questo link:
http://www.greatis.com/security/ICQC...%20remover.htm

overclokk · 25-02-2006, 18:05

già fatto... hai letto cosa ho scritto almeno?

overclokk · 25-02-2006, 18:05

ogni 1-2 giorni mi ritorna...come mai?

andorra24 · 25-02-2006, 18:09

Quote:

Originariamente inviato da overclokk

già fatto... hai letto cosa ho scritto almeno?

Intanto datti una calmata. Nei tuoi post non c'e' il minimo accenno al procedimento indicato nel link che ti ho postato e quindi non potevo mica leggerti nella mente!

Telikalikput · 25-02-2006, 18:12

Quote:

Originariamente inviato da overclokk

ogni 1-2 giorni mi ritorna...come mai?

Perchè te li meriti!

overclokk · 25-02-2006, 18:18

[quote=overclokk]Allora devo dire che ho preso sto virus segalitico da un allegato di un mio amico....
ispeziono l'allegato antivirus avast mi dice tutto ok e io lancio il giochino...

ok infettato e con Hijackthis e regedit pulisco kaboom.dll msx.dll e un eseguibile che adesso non ricordo più..... fin qui tutto ok... poi mi accorgo un giorno di avere nel registro di nuovo kaboom.dll..... da allora scansiono con Hijackthis 1-2 volte al giorno ed ogni tanto lo ritrovo....

come faccio a toglierlo definitivamente??? non è che avast è stato sbrandellato dal virus?

[quote]
Dai ragazzi non vi arrabbiate.... avevo messo anche la faccina che devo fare di più.....

non vi pare un pò strano che mi ritorni sempre... la cosa più strana è che mentre diciamo nella fase in cui c'erano diciamo tutti e tre i componenti per dirla così (kaboom.dll msx.dll e l'eseguibile) erano partite le email...
invece adesso quando scansiono con hijackthis compare la voce di kaboom.dll
ma le email non partono....fortunatamente

overclokk · 25-02-2006, 18:18

Quote:

Originariamente inviato da Telikalikput

Perchè te li meriti!

grazie grazie troppo buono... adesso che me lo hai detto allora mi metto il cuore in pace

andorra24 · 25-02-2006, 18:22

Hai provato ad eseguire il fix con hijackthis in modalita' provvisoria dopo aver disattivato il ripristino di sistema?

overclokk · 25-02-2006, 18:33

si ho fatto di tutto. io il ripristino non l'ho nemmeno abilitato...
sembra pulitissimo....niente dll niente processi strani... niente di niente
riavvio tutto ok... vado su internet scarico la posta ok
riavvio ok.... uso emule ecc ecc... ok
poi al riavvio o all'avvio (negli ultimi 6 giorni) lancio sempre Hijackthis e mai niente
magari lascio il pc acceso e vado a mangiare apro hijack evvai con la stringa kaboom.dll..... FORMAT? o cambio antivirus?

ah quelle 2 dll come vi sembrano? le ho inviate al grande capo....
ah firewall di windows sp2 abilitato

andorra24 · 25-02-2006, 18:42

Puoi postare il log di hijackthis cosi lo guardo?

overclokk · 25-02-2006, 19:17

questo è quello senza il kaboom.dll

Logfile of HijackThis v1.99.1
Scan saved at 17.51.15, on 22/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ITE\Smart Guardian\ITESmart.exe
C:\Programmi\Ontrack\EasyRecovery Professional\EasyRecovery.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Html2pop3\html2pop3.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Luca\Desktop\Nuova cartella\XNEWS.EXE
C:\Programmi\NetPerSec\NetPerSec.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\ZZZ\Utility\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA706E4-65EB-413F-B3A6-64EC3C696362}: NameServer = 212.216.112.112,212.48.4.15
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Ah Grazie per adesso

andorra24 · 25-02-2006, 19:23

Questo log che hai postato e' pulito.

overclokk · 26-02-2006, 01:55

infatti non riesco a capire...
o il trojan mi ha aperto una porta che io non so e che lui sfrutta ogni tanto
oppure c'è qualcosa che lo rigenera.... però non riesco a capire cosa...
potrei fare un elenco delle dll di system32 ma le uniche sospette sono
quelle 2 citate all'inizio ovvero Iddqd.dll e msmnu.dll che sono fatte di recente e su google non danno nessun risultato...

andorra24 · 26-02-2006, 06:18

Quote:

Originariamente inviato da overclokk

ma le uniche sospette sono
quelle 2 citate all'inizio ovvero Iddqd.dll e msmnu.dll che sono fatte di recente e su google non danno nessun risultato...

Su google in effetti non c'e' traccia di queste 2 dll e non e' un buon segno. Scansionale su questo sito www.virustotal.com e se dovessero risultare infette eliminale manualmente oppure usando killbox: http://www.bleepingcomputer.com/files/killbox.php

overclokk · 26-02-2006, 14:24

This is a report processed by VirusTotal on 02/26/2006 at 15:22:14 (CET) after scanning the file "msmnu.dll" file.
Antivirus Version Update Result
AntiVir 6.33.1.50 02.25.2006 TR/Drop.Adcl.BS.4.B
Avast 4.6.695.0 02.23.2006 no virus found
AVG 718 02.24.2006 no virus found
Avira 6.33.1.50 02.25.2006 TR/Drop.Adcl.BS.4.B
BitDefender 7.2 02.26.2006 no virus found
CAT-QuickHeal 8.00 02.25.2006 no virus found
ClamAV devel-20060126 02.26.2006 Trojan.Clicker.Small-100-dll
DrWeb 4.33 02.26.2006 no virus found
eTrust-InoculateIT 23.71.86 02.25.2006 no virus found
eTrust-Vet 12.4.2095 02.24.2006 no virus found
Ewido 3.5 02.26.2006 Downloader.BHO.f
Fortinet 2.71.0.0 02.26.2006 no virus found
F-Prot 3.16c 02.25.2006 no virus found
Ikarus 0.2.59.0 02.24.2006 no virus found
Kaspersky 4.0.2.24 02.26.2006 Trojan-Downloader.Win32.BHO.f
McAfee 4705 02.24.2006 no virus found
NOD32v2 1.1418 02.24.2006 a variant of Win32/TrojanDownloader.Agent.AEP
Norman 5.70.10 02.24.2006 no virus found
Panda 9.0.0.4 02.26.2006 no virus found
Sophos 4.02.0 02.26.2006 no virus found
Symantec 8.0 02.26.2006 no virus found
TheHacker 5.9.4.102 02.24.2006 no virus found
UNA 1.83 02.24.2006 no virus found
VBA32 3.10.5 02.26.2006 no virus found

l'altra la da per pulita ma in realtà se leggi all'inizio del mio post si nota come le 2 siano correlate...(Iddqd.dll e msmnu.dll intendo)
per cui adesso le tolgo entrambe..... unica cosa che danni mi hanno fatto al registro....

ForceRemove {3B177BCE-B599-4ABD-BECE-B57EE18187FA} = s 'resurrect'

il format è sempre più vicino...

overclokk · 26-02-2006, 14:39

evvai.......

ariecco il kaboom.dll

Logfile of HijackThis v1.99.1
Scan saved at 15.39.24, on 26/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\ITE\Smart Guardian\ITESmart.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Html2pop3\html2pop3.exe
C:\Programmi\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\ZZZ\Utility\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\system32\kaboom.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA706E4-65EB-413F-B3A6-64EC3C696362}: NameServer = 212.216.112.112,212.48.4.15
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

madonna...

andorra24 · 26-02-2006, 14:54

Io so di decine di utenti infettati dal kaboom.dll che hanno risolto perfettamente con il procedimento indicato da questo link:
http://www.greatis.com/security/ICQC...%20remover.htm
E' molto strano che tu non sia riuscito a risolvere con quel tool di rimozione. Sicuro di aver eseguito tutto alla lettera?

O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\system32\kaboom.dll vuoi provare a rimuoverlo con killbox?

Fai anche una scansione con bitdefender free:
http://www.bitdefender.com/site/Down...adFile/340/EN/

overclokk · 26-02-2006, 15:05

innanzitutto grazie per il tuo aiuto...
te lo avevo già detto ma te lo ripeto...
adesso ho debellato tutto dal registro e da system32... aspettiamo 2-3 giorni
e poi vediamo...

25-02-2006, 17:58	#1
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	[Help] Chi mi aiuta a debellare kaboom.dll e tutto il resto? Allora devo dire che ho preso sto virus segalitico da un allegato di un mio amico.... ispeziono l'allegato antivirus avast mi dice tutto ok e io lancio il giochino... ok infettato e con Hijackthis e regedit pulisco kaboom.dll msx.dll e un eseguibile che adesso non ricordo più..... fin qui tutto ok... poi mi accorgo un giorno di avere nel registro di nuovo kaboom.dll..... da allora scansiono con Hijackthis 1-2 volte al giorno ed ogni tanto lo ritrovo.... come faccio a toglierlo definitivamente??? non è che avast è stato sbrandellato dal virus? altra cosa nel mio system32 mi sono ritrovato di dll strane create di recente queste 2: Iddqd.dll e msmnu.dll al loro interno c'è sta cosa in IDDQD.DLL R E G I S T R Y T Y P E L I B HKCR { Iddqd.Resurrector.1 = s 'resurrect' { CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}' } Iddqd.Resurrector = s 'resurrect' { CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}' CurVer = s 'Iddqd.Resurrector.1' } NoRemove CLSID { ForceRemove {3B177BCE-B599-4ABD-BECE-B57EE18187FA} = s 'resurrect' { ProgID = s 'Iddqd.Resurrector.1' VersionIndependentProgID = s 'Iddqd.Resurrector' InprocServer32 = s '%MODULE%' { val ThreadingModel = s 'Apartment' } 'TypeLib' = s '{56601F80-9E54-45BD-819F-727B0B55D045}' } } } HKCR { NoRemove * { NoRemove ShellEx { NoRemove ContextMenuHandlers { ForceRemove Resurrector = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}' } } } }Ì4 V S _ V E R S I O N _ I N F O ½ïþ ? , S t r i n g F i l e I n f o 0 0 0 0 0 4 b 0 C o m m e n t s C o m p a n y N a m e ( F i l e D e s c r i p t i o n 6 F i l e V e r s i o n 1 , 0 , 1 , 1 I n t e r n a l N a m e $ L e g a l C o p y r i g h t ( L e g a l T r a d e m a r k s ( O L E S e l f R e g i s t e r ( O r i g i n a l F i l e n a m e P r i v a t e B u i l d P r o d u c t N a m e : P r o d u c t V e r s i o n 1 , 0 , 1 , 1 S p e c i a l B u i l d D V a r F i l e I n f o $ T r a n s l a t i o n e per MSMNU.DLL R E G I S T R Y T Y P E L I B HKCR { Iddqd.Resurrector.1 = s 'resurrect' { CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}' } Iddqd.Resurrector = s 'resurrect' { CLSID = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}' CurVer = s 'Iddqd.Resurrector.1' } NoRemove CLSID { ForceRemove {3B177BCE-B599-4ABD-BECE-B57EE18187FA} = s 'resurrect' { ProgID = s 'Iddqd.Resurrector.1' VersionIndependentProgID = s 'Iddqd.Resurrector' InprocServer32 = s '%MODULE%' { val ThreadingModel = s 'Apartment' } 'TypeLib' = s '{56601F80-9E54-45BD-819F-727B0B55D045}' } } } HKCR { NoRemove * { NoRemove ShellEx { NoRemove ContextMenuHandlers { ForceRemove Resurrector = s '{3B177BCE-B599-4ABD-BECE-B57EE18187FA}' } } } }Ä4 V S _ V E R S I O N _ I N F O ½ïþ ? $ S t r i n g F i l e I n f o 0 4 0 9 0 4 B 0 C o m p a n y N a m e B F i l e D e s c r i p t i o n i d d q d M o d u l e 6 F i l e V e r s i o n 1 , 0 , 0 , 1 , I n t e r n a l N a m e i d d q d B L e g a l C o p y r i g h t C o p y r i g h t 2 0 0 6 < O r i g i n a l F i l e n a m e i d d q d . D L L : P r o d u c t N a m e i d d q d M o d u l e : P r o d u c t V e r s i o n 1 , 0 , 0 , 1 ( O L E S e l f R e g i s t e r D V a r F i l e I n f o $ T r a n s l a t i o n Chi ci capisce è bravo..... aiutatemi..le devo togliere ste 2 dll che sembrano correlate tra di loro...forse anche con Kaboom.dll non so... __________________ Ci Vuole la F... e che Dio la benedica

25-02-2006, 17:59	#2
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	ah dentro kaboom.dll c'è questo manicomio G I S T R Y T Y P E L I B `Ñ HKCR { Kb.Dredge.1 = s 'Dredge' { CLSID = s '{EB870508-E2B7-4169-8120-760F69703776}' } Kb.Dredge = s 'Dredge' { CLSID = s '{EB870508-E2B7-4169-8120-760F69703776}' CurVer = s 'Kb.Dredge.1' } NoRemove CLSID { ForceRemove {EB870508-E2B7-4169-8120-760F69703776} = s 'Dredge' { ProgID = s 'Kb.Dredge.1' VersionIndependentProgID = s 'Kb.Dredge' ForceRemove 'Programmable' InprocServer32 = s '%MODULE%' { val ThreadingModel = s 'Apartment' } 'TypeLib' = s '{3D45B44B-0C54-4C23-AC6D-D22020DB78CA}' } } } HKLM { SOFTWARE { Microsoft { Windows { CurrentVersion { Explorer { 'Browser Helper Objects' { ForceRemove {EB870508-E2B7-4169-8120-760F69703776} } } } } } } } __________________ Ci Vuole la F... e che Dio la benedica

25-02-2006, 18:05	#4
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	già fatto... hai letto cosa ho scritto almeno? __________________ Ci Vuole la F... e che Dio la benedica

25-02-2006, 18:05	#5
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	ogni 1-2 giorni mi ritorna...come mai? __________________ Ci Vuole la F... e che Dio la benedica

25-02-2006, 18:18	#8
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	[quote=overclokk]Allora devo dire che ho preso sto virus segalitico da un allegato di un mio amico.... ispeziono l'allegato antivirus avast mi dice tutto ok e io lancio il giochino... ok infettato e con Hijackthis e regedit pulisco kaboom.dll msx.dll e un eseguibile che adesso non ricordo più..... fin qui tutto ok... poi mi accorgo un giorno di avere nel registro di nuovo kaboom.dll..... da allora scansiono con Hijackthis 1-2 volte al giorno ed ogni tanto lo ritrovo.... come faccio a toglierlo definitivamente??? non è che avast è stato sbrandellato dal virus? [quote] Dai ragazzi non vi arrabbiate.... avevo messo anche la faccina che devo fare di più..... non vi pare un pò strano che mi ritorni sempre... la cosa più strana è che mentre diciamo nella fase in cui c'erano diciamo tutti e tre i componenti per dirla così (kaboom.dll msx.dll e l'eseguibile) erano partite le email... invece adesso quando scansiono con hijackthis compare la voce di kaboom.dll ma le email non partono....fortunatamente __________________ Ci Vuole la F... e che Dio la benedica

25-02-2006, 18:01	#3
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Per disinfettarti da kaboom.dll e soci segui le istruzioni di questo link: http://www.greatis.com/security/ICQC...%20remover.htm

25-02-2006, 18:22	#10
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Hai provato ad eseguire il fix con hijackthis in modalita' provvisoria dopo aver disattivato il ripristino di sistema?

25-02-2006, 18:33	#11
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	si ho fatto di tutto. io il ripristino non l'ho nemmeno abilitato... sembra pulitissimo....niente dll niente processi strani... niente di niente riavvio tutto ok... vado su internet scarico la posta ok riavvio ok.... uso emule ecc ecc... ok poi al riavvio o all'avvio (negli ultimi 6 giorni) lancio sempre Hijackthis e mai niente magari lascio il pc acceso e vado a mangiare apro hijack evvai con la stringa kaboom.dll..... FORMAT? o cambio antivirus? ah quelle 2 dll come vi sembrano? le ho inviate al grande capo.... ah firewall di windows sp2 abilitato __________________ Ci Vuole la F... e che Dio la benedica

25-02-2006, 18:42	#12
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Puoi postare il log di hijackthis cosi lo guardo?

25-02-2006, 19:17	#13
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	questo è quello senza il kaboom.dll Logfile of HijackThis v1.99.1 Scan saved at 17.51.15, on 22/02/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programmi\Logitech\iTouch\iTouch.exe C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Logitech\SetPoint\KEM.exe C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\CTSvcCDA.EXE C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programmi\Raxco\PerfectDisk\PDSched.exe C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\Programmi\ITE\Smart Guardian\ITESmart.exe C:\Programmi\Ontrack\EasyRecovery Professional\EasyRecovery.exe C:\Programmi\eMule\emule.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\Outlook Express\msimn.exe C:\Html2pop3\html2pop3.exe C:\WINDOWS\system32\taskmgr.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Luca\Desktop\Nuova cartella\XNEWS.EXE C:\Programmi\NetPerSec\NetPerSec.exe C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\ZZZ\Utility\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA706E4-65EB-413F-B3A6-64EC3C696362}: NameServer = 212.216.112.112,212.48.4.15 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe Ah Grazie per adesso __________________ Ci Vuole la F... e che Dio la benedica Ultima modifica di overclokk : 25-02-2006 alle 19:21.

25-02-2006, 19:23	#14
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Questo log che hai postato e' pulito.

26-02-2006, 01:55	#15
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	infatti non riesco a capire... o il trojan mi ha aperto una porta che io non so e che lui sfrutta ogni tanto oppure c'è qualcosa che lo rigenera.... però non riesco a capire cosa... potrei fare un elenco delle dll di system32 ma le uniche sospette sono quelle 2 citate all'inizio ovvero Iddqd.dll e msmnu.dll che sono fatte di recente e su google non danno nessun risultato... __________________ Ci Vuole la F... e che Dio la benedica

26-02-2006, 14:24	#17
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	This is a report processed by VirusTotal on 02/26/2006 at 15:22:14 (CET) after scanning the file "msmnu.dll" file. Antivirus Version Update Result AntiVir 6.33.1.50 02.25.2006 TR/Drop.Adcl.BS.4.B Avast 4.6.695.0 02.23.2006 no virus found AVG 718 02.24.2006 no virus found Avira 6.33.1.50 02.25.2006 TR/Drop.Adcl.BS.4.B BitDefender 7.2 02.26.2006 no virus found CAT-QuickHeal 8.00 02.25.2006 no virus found ClamAV devel-20060126 02.26.2006 Trojan.Clicker.Small-100-dll DrWeb 4.33 02.26.2006 no virus found eTrust-InoculateIT 23.71.86 02.25.2006 no virus found eTrust-Vet 12.4.2095 02.24.2006 no virus found Ewido 3.5 02.26.2006 Downloader.BHO.f Fortinet 2.71.0.0 02.26.2006 no virus found F-Prot 3.16c 02.25.2006 no virus found Ikarus 0.2.59.0 02.24.2006 no virus found Kaspersky 4.0.2.24 02.26.2006 Trojan-Downloader.Win32.BHO.f McAfee 4705 02.24.2006 no virus found NOD32v2 1.1418 02.24.2006 a variant of Win32/TrojanDownloader.Agent.AEP Norman 5.70.10 02.24.2006 no virus found Panda 9.0.0.4 02.26.2006 no virus found Sophos 4.02.0 02.26.2006 no virus found Symantec 8.0 02.26.2006 no virus found TheHacker 5.9.4.102 02.24.2006 no virus found UNA 1.83 02.24.2006 no virus found VBA32 3.10.5 02.26.2006 no virus found l'altra la da per pulita ma in realtà se leggi all'inizio del mio post si nota come le 2 siano correlate...(Iddqd.dll e msmnu.dll intendo) per cui adesso le tolgo entrambe..... unica cosa che danni mi hanno fatto al registro.... ForceRemove {3B177BCE-B599-4ABD-BECE-B57EE18187FA} = s 'resurrect' il format è sempre più vicino... __________________ Ci Vuole la F... e che Dio la benedica

26-02-2006, 14:39	#18
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	evvai....... ariecco il kaboom.dll Logfile of HijackThis v1.99.1 Scan saved at 15.39.24, on 26/02/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programmi\Logitech\iTouch\iTouch.exe C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\Programmi\Logitech\SetPoint\KEM.exe C:\WINDOWS\system32\CTSvcCDA.EXE C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programmi\Raxco\PerfectDisk\PDSched.exe C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\ITE\Smart Guardian\ITESmart.exe C:\Programmi\Outlook Express\msimn.exe C:\Html2pop3\html2pop3.exe C:\Programmi\Microsoft Office\OFFICE11\EXCEL.EXE C:\Programmi\Internet Explorer\iexplore.exe C:\WINDOWS\regedit.exe C:\ZZZ\Utility\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\system32\kaboom.dll O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SmartGuardian] C:\Programmi\ITE\Smart Guardian\ITESmart.exe O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english...an_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA706E4-65EB-413F-B3A6-64EC3C696362}: NameServer = 212.216.112.112,212.48.4.15 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe madonna... __________________ Ci Vuole la F... e che Dio la benedica

26-02-2006, 14:54	#19
andorra24 Senior Member Iscritto dal: May 2005 Città: Palermo Messaggi: 6390	Io so di decine di utenti infettati dal kaboom.dll che hanno risolto perfettamente con il procedimento indicato da questo link: http://www.greatis.com/security/ICQC...%20remover.htm E' molto strano che tu non sia riuscito a risolvere con quel tool di rimozione. Sicuro di aver eseguito tutto alla lettera? O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\system32\kaboom.dll vuoi provare a rimuoverlo con killbox? Fai anche una scansione con bitdefender free: http://www.bitdefender.com/site/Down...adFile/340/EN/

26-02-2006, 15:05	#20
overclokk Senior Member Iscritto dal: Mar 2001 Città: Barberino di Mugello [FI] Messaggi: 1749	innanzitutto grazie per il tuo aiuto... te lo avevo già detto ma te lo ripeto... adesso ho debellato tutto dal registro e da system32... aspettiamo 2-3 giorni e poi vediamo... __________________ Ci Vuole la F... e che Dio la benedica

Strumenti
Mostra una versione stampabile Invia questa pagina per email