|
|||||||
|
|
|
 |
|
|
Strumenti |
30-04-2006, 05:32
|
#1 |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
CHE CASINO, mydoom e altri
Ciao a tutti, qui non si capisce più niente. QUalche giorno fa ho riscontrato un problema.. mi appariva una finestra mentre navigavo che gentilmente mi diceva che ero infetto da non mi ricordo cosa e mi mandava ad un link per scaricare winfixer, un prog da 40 euro in realtà un malware.. il problema è che questo messaggio veniva fuori solo quando entravo in un determinato sito (non ricordo quale) e ho letto in un sito internet di un forum che visto che non avevo accettato di installare niente.. almeno che io mi ricordi e se non sono diventato idiota, il malware risiedeva nel sito nel quale mi compariva il messaggio..
Quindi ho tirato un sospiro di sollievo subito interrotto da un nuovo messaggio proveniente da internet explorer che mi informava gentilmente che erastata rilevata una minaccia "mydoom" nel mio pc e che consigliava di scaricare uno dei seguenti software per rimuoverlo.. al che mi indirizzava al seguentee link: Non vorrei mai che vi prendeste qualcosa andandoci, ne dubito sinceramente però sono ignorante, quindi siete pregati di non ritenermi responsabile se dovesse succedere... htt*://amaena.com/securityworm5/it/?aid=mg6-qld_it_it&lid=antivirus.com&h=&b (link pericoloso, occhio) Ovviamente me ne sono visto bene dallo scaricare alcunchè, però sono corso in casa symatec e ho scaricato un fixer per il mydoom che non è stato rilevato nel mio sistema... allora sono andato nell'assistenza microsoft dalla quale ho scaricato un programmino per rimuovere il mydoom e indovinate??? non l'ha trovato.. Allora cosa diavolo succede?? non ho niente a parte un malware maledetto che mi spamma le scatole con i suoi continui avvisi?? Vi prego di darmi una mano per questo problema, e vi prego di non nominare nemmeno la "formattazione"... l'ho appena fatta..  Grazie in anticipo. Andrea Dovesse servirvi ecco cosa mi dice il log del hijackthis: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programmi\VIA\RAID\raid_tool.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\Logitech\G-series Software\LGDCore.exe C:\Programmi\Logitech\G-series Software\LCDMon.exe C:\WINDOWS\Dit.exe C:\Programmi\Logitech\G-series Software\Applets\LCDClock.exe C:\Programmi\Logitech\G-series Software\Applets\LCDMedia.exe C:\Programmi\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\svchost.exe C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\UAService7.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Skype\Phone\Skype.exe C:\WINDOWS\explorer.exe C:\Programmi\WinRAR\WinRAR.exe C:\DOCUME~1\Andrea\IMPOST~1\Temp\Rar$EX00.438\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O2 - BHO: DPCUpdater Object - {DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60} - C:\WINDOWS\system32\pmnnm.dll O2 - BHO: (no name) - {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} - C:\WINDOWS\system32\vtsqo.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programmi\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programmi\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Dit] Dit.exe O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1E768FE7-2D0D-466B-983B-ECE1165FBF24}: NameServer = 80.20.6.36,212.216.112.112 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: pmnnm - C:\WINDOWS\system32\pmnnm.dll O20 - Winlogon Notify: vtsqo - C:\WINDOWS\SYSTEM32\vtsqo.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe Ultima modifica di wgator : 30-04-2006 alle 16:37. Motivo: Per favore, i link pericolosi non devono essere cliccabili |
|
|
|
30-04-2006, 10:12
|
#2 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Fixa queste:
O2 - BHO: DPCUpdater Object - {DE8BDE42-16D9-4CCC-9F4F-1C3167B82F60} - C:\WINDOWS\system32\pmnnm.dll O2 - BHO: (no name) - {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} - C:\WINDOWS\system32\vtsqo.dll O20 - Winlogon Notify: pmnnm - C:\WINDOWS\system32\pmnnm.dll O20 - Winlogon Notify: vtsqo - C:\WINDOWS\SYSTEM32\vtsqo.dll |
|
|
|
|
30-04-2006, 12:35
|
#3 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
tool per mydoom
http://www.symantec.com/region/it/te...oval.tool.html
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
30-04-2006, 12:49
|
#4 |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
Ho provato a fixare le voci e mi ricompaiono allo scan successivo, in pratica non si cancellano
 Per di più ho fatto uno scan con il fixer per il mydoom e niente... |
|
|
|
|
30-04-2006, 13:08
|
#5 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
diattiva il ripristino configurazione di sistema e riavvia in modalità provvisoria e ripeti le operazioni
altrimenti elimina quei files con killbox
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
30-04-2006, 13:34
|
#6 |
|
Registered User
Iscritto dal: Oct 2005
Città: Bitland
Messaggi: 519
|
Ma suvvia..quel messaggio lo da a tutti..non ti fidare di questi siti truffaldini..vogliono solo convincerti di essere infetto per venderti il loro prodotto..
in ogni caso se vuoi stare tranquillo fai una scansione con ewido ed un buon antivirus |
|
|
|
|
30-04-2006, 15:47
|
#7 |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
siamo sicuri?? Cancello quei files??? non ci capisco più niente, ho tolto le restrizioni dalle opzioni internet per i siti di winfixer e mi è saltato fuori di nuovo anche in altri siti... quindi mi sono beccato anche quello..
Cosa faccio? io provo ad eliminare spero solo che mi riparta win. |
|
|
|
|
30-04-2006, 15:55
|
#8 |
|
Registered User
Iscritto dal: Oct 2005
Città: Bitland
Messaggi: 519
|
Passa a firefox invece di usare explorer
|
|
|
|
|
30-04-2006, 15:59
|
#9 | |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
Quote:
Certamente lo farò... ma il problema resta... ho provato ad eliminare i files: O20 - Winlogon Notify: pmnnm - C:\WINDOWS\system32\pmnnm.dll O20 - Winlogon Notify: vtsqo - C:\WINDOWS\SYSTEM32\vtsqo.dll con killbox ma non riesce a farlo nemmeno in modalità provvisoria... Sto diventando idiota è alienante sto problema.. Suggerimenti?? |
|
|
|
|
|
30-04-2006, 16:43
|
#10 |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
ho provato anche con "deletedr" e nè da dos nè da win con un reboot si riesce ad eliminare quei due maledettissimi files .dll
Non so proprio più come fare per cancellarli... stranamente sono più di 10 min ceh anche se navigo non saltano fuori più... possibile che non siano esterni a windows quei pmnn... e vtsqo??? come processi ce li ho ancora.. e ho anche un altro processo che si chiama winlogon dal task manager... è interno al sistema??? Mi auguro solo che esista una giustizia superiore che faccia vivere al peggio i creatori di questo maledetto (e uso maledetto per non essere bannato  ) spyware malware o come cavolo sia classificato.Se avete notizie o consigli vi supplico di postarmeli. grazie. |
|
|
|
|
30-04-2006, 16:44
|
#11 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
l'unica cosa che potrei suggerirti è provare a scaricare il tool di rimozione per Trojan.Vundo ( sempre che il malware sia questo...):
http://securityresponse.symantec.com...oval.tool.html ( segui anche le istruzioni della pagina che ho linkato, ricordandoti ovviamente di disabilitare il ripristino di sistema (procedura )...) Poi una bella passata di bitdefender qui: http://www.bitdefender.com/scan8/ie.html |
|
|
|
|
30-04-2006, 16:46
|
#12 | |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
Quote:
|
|
|
|
|
|
30-04-2006, 16:55
|
#13 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
|
|
|
|
|
|
30-04-2006, 16:57
|
#14 |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
dunque.. con il toolsymatec mi ha sospeso e terminato un processo ma non ha eliminato nessun file.. ora provo con bitdefender e poi ti dico... certo che se non ha eliminato nulla mi viene da pensare che il problema esiste ancora...
ora provo di nuovo a fare lo scan con il fixer dopo un reboot.. Grazie intanto... |
|
|
|
|
30-04-2006, 18:27
|
#15 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
hai già provato con killbox a tirarli via?
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
01-05-2006, 00:28
|
#16 |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
hey, scusa ma sono dovuto uscire... il problema non si è più presentato, non so come sia successo ma forse l'ho involontariamente bloccato.. il problema attuale però è a mio avviso molto peggiore.. mi ha dato per due volte di seguito 2 errori critici che mi hanno bloccato a schermata blu e resettato il pc.. ti posto i file del minidump, se riesci a darci un'occhiata mi fai un favore.. il problema è simile a quello che riscontravo quando avevo il vecchio bios, che poi però ho aggiornato.
|
|
|
|
|
01-05-2006, 00:29
|
#17 |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
comunque avevo provato con killbox e niente...
|
|
|
|
|
01-05-2006, 00:34
|
#18 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
ma sono files binari questi
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
01-05-2006, 00:40
|
#19 |
|
Member
Iscritto dal: May 2005
Messaggi: 298
|
che significa?? sono ignorante.... devo preoccuparmi???
  
|
|
|
|
|
01-05-2006, 11:10
|
#20 |
|
Senior Member
Iscritto dal: Sep 2005
Città: Opinions are like assholes: anybody has one...
Messaggi: 34290
|
no ma con quei dump ci si può fare poco
__________________
Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:28.
