virus maledetto!!!!!!!!!

[omnikohh]

raga ho beccato un virus che mi cancella tutti i file exe dei prog antivirus e spyware.....che faccio??????????helppppppppp

[ania]

Ciao
temo che il tuo problema possa chiamarsi "worm Bagle alias Beagle alias Tooso alias Mitglieder".

Se ho ragione e le cose stanno realmente così, allora ecco il link alla guida migliore reperibile in rete e che conosco per risolvere la situazione :
http://www.megalab.it/articoli.php?id=948&

Seguendo passo passo con attenzione tutte le indicazioni della guida linkata, dovresti riuscire a risolvere la situazione.

Buon lavoro
ciao

[omnikohh]

fatto, ma quando installo spyware doctor si mangia ancora l'exe....

[ania]

Quote:

Originariamente inviato da omnikohh

fatto, ma quando installo spyware doctor si mangia ancora l'exe....

Ciao,
hai seguito tutte le indicazioni della guida della redattrice di Megalab, mettendo in pratica esattamente tutti i suggerimenti inerenti la procedura di rimozione, fino all'ultima pagina nella quale sono i "cenni finali e le conclusioni " ?
ciao

[fede86.exe]

Quote:

Originariamente inviato da ania

Ciao,
hai seguito tutte le indicazioni della guida della redattrice di Megalab, mettendo in pratica esattamente tutti i suggerimenti inerenti la procedura di rimozione, fino all'ultima pagina nella quale sono i "cenni finali e le conclusioni " ?
ciao

OFF TOPIC:
ania, comunque stai rappresentando molto bene la classe femminile su questo forum...(io certamente di meno)...GRAZIE!!!

[ania]

Quote:

Originariamente inviato da fede86.exe

OFF TOPIC:
ania, comunque stai rappresentando molto bene la classe femminile su questo forum...(io certamente di meno)...GRAZIE!!!

@Fede86.exe
se davvero vuoi vedere degnamente rappresentata la classe femminile sui forum che si occupano di sicurezza informatica devi andare sui forum di :
1_suspectfile e leggere i post di Holifay
2_p2pforum e leggere i post di Ladyhawke
3_pcfacile e leggere i post di Andorra24
4_megalab e leggere i post di Amantide
5_pcprimipassi e leggere i post di Prisca85
e poi, ho sicuramente dimenticato qualche bravissima collaboratrice di forum che non frequento magari troppo assiduamente, o magari qualche collaboratrice che ha un nick name più androgino ed indefinito, e tale che non ho capito che si tratti di una ragazza.
Io al confronto di quelle citate, sono solo all'inizio, ma immagino che tutti abbiano dovuto iniziare un giorno o l'altro, e naturalmente, ho intenzione di migliorare.
Comunque, le proporzioni nettamente dissimili nelle presenze nei forum di informatica fra popolazione femminile e popolazione maschile sono sotto gli occhi di tutti.

E comunque resta valido quanto ho scritto poche ore fà qui:
http://www.hwupgrade.it/forum/showth...2#post16214782

Quote:

Originariamente inviato da ania

Su questo forum ho ricevuto infinitamente di più di quanto non abbia donato, sono sempre ed ancora in debito, o se vuoi, puoi vederla come una mia "libera e fantasiosa interpretazione della parabola dei talenti".

P.S.
Però siamo davvero troppo OT.
ciao

[omnikohh]

si ma nada

[ania]

Quote:

Originariamente inviato da omnikohh

si ma nada

@mnihohh
Allora, a questo punto, se pensi di non essere riuscito a debellare l'infezione, posta un logfile di Hijack This nella sezione dei Threads Ufficiali, nel thread ufficiale dedicato ai logfiles di HJT
http://www.hwupgrade.it/forum/showthread.php?t=937676
e magari metti il link a questo thread quando posti il logfile di HJT, così chi lo leggerà ed interpreterà, saprà che hai messo in atto tutta una serie di procedure, e conoscerà lo storico della situazione e potrà meglio suggerirti come procedere ulteriormente.
ciao

[raffree]

Quindi questo è il virus che ha beccato il mio amico.
Ieri sono andato a fare un assistenza a casa del mio amico e ho visto che si è disattivato l'antivirus,non si poteva più installare nessun antivirus,spybot non si avviava più,si aprivano numerosissime pagine internet explorer,se avviavo in modalità provissoria il sistema andava in crash e tanti altri problemi.
Non ci crederete ma dato che lui non poteva installare più nessuna protezione gli ho fatto fare la scansione online con bitdefender. Non ci crederete mai ma la scansione online con bitdefender era a metà scansione (perhè poi me ne dovevo andare) e indovinate quanti virus ha trovato a solo metà scansione..
Più di 3660 virus. Incredibile. Io credo che al 90% il problema non si è risolto ma anche se si risolverebbe credete anche voi che bisogna formattare il pc?

[c.m.g]

Quote:

Originariamente inviato da raffree

Quindi questo è il virus che ha beccato il mio amico.
Ieri sono andato a fare un assistenza a casa del mio amico e ho visto che si è disattivato l'antivirus,non si poteva più installare nessun antivirus,spybot non si avviava più,si aprivano numerosissime pagine internet explorer,se avviavo in modalità provissoria il sistema andava in crash e tanti altri problemi.
Non ci crederete ma dato che lui non poteva installare più nessuna protezione gli ho fatto fare la scansione online con bitdefender. Non ci crederete mai ma la scansione online con bitdefender era a metà scansione (perhè poi me ne dovevo andare) e indovinate quanti virus ha trovato a solo metà scansione..
Più di 3660 virus. Incredibile. Io credo che al 90% il problema non si è risolto ma anche se si risolverebbe credete anche voi che bisogna formattare il pc?

e ce lo chiedi? certo che devi formattare, senza ombra di dubbio. oramai il sistema è compromesso.
toglimi una curiosità: aveva norton?

[raffree]

Prima di questo problema aveva norton però io gli misi il kaspersky nel quale trovò 54 minaccie in più e poi si è disattivato

[c.m.g]

la prossima volta utilizza la procedura standard descritta in questo tread:

http://www.hwupgrade.it/forum/showthread.php?t=1337681

l'antivirus da solo non può nulla, è solo una prima linea di difesa.
è inutile dirti che deve avere sempre il sistema aggiornato, deve usare browser alternativi impostati a dovere ecc...

ciao

[omnikohh]

Logfile of HijackThis v1.99.1
Scan saved at 19.42.56, on 04/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\No-IP\DUC20.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\BitTorrent\bittorrent.exe
C:\Documents and Settings\key\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Antivirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmi\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Antivirus\NavShExt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iamapp] C:\Programmi\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Office SturtUp] C:\WINDOWS\osa9.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: No-IP DUC.lnk = C:\Programmi\No-IP\DUC20.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europ...vex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1163634211652
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {B0781EB7-16EA-49F1-9C1D-9716D88206CF} (CSQ Object) - http://192.168.1.6/view.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{00C080DE-AEE6-48B2-97FF-42676D207F94}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{00C080DE-AEE6-48B2-97FF-42676D207F94}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{00C080DE-AEE6-48B2-97FF-42676D207F94}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{00C080DE-AEE6-48B2-97FF-42676D207F94}: NameServer = 192.168.1.1
O17 - HKLM\System\CS4\Services\Tcpip\..\{00C080DE-AEE6-48B2-97FF-42676D207F94}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Accumark Service (AccuServ) - Unknown owner - C:\userroot\prog\util\NTService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Documents and Settings\key\Desktop\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Unknown owner - C:\Programmi\Norton Internet Security\SymProxySvc.exe (file missing)

[KingOfTheDark]

Boh... a me il log (a parte alcuni file mancanti)sembra a posto....
ma hai già eliminato qualcosa?

[omnikohh]

mi mangia ancora gli exe

[KingOfTheDark]

dicevo dal log...

[bReAkDoWn]

Quote:

Originariamente inviato da omnikohh

mi mangia ancora gli exe

Vediamo se gli facciamo passare l'appetito..

Dovresti scaricare the avenger da qua: http://swandog46.geekstogo.com/avenger.zip
Esegui seleziona input script manually, lente di ingrandimento, copia nella finestra che si aprirà lo script presente alla fine di questo messaggio, click done, semaforo verde e rispondi di sì. Il pc sarà riavviato. Una volta riavviato comparirà un log dentro al notepad, copialo e riportalo sul forum. Se non comparisse prova a cercarlo dentro la cartella c:\avenger (o e:\avenger f:\avenger, a seconda di dove è installato windows).

Files to delete:
c:\Documents and Settings\key\Dati applicazioni\hidires\m_hook.sys
c:\Documents and Settings\key\Dati applicazioni\hidires\hidr.exe
c:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\hldrrr.exe
c:\windows\system32\ban_list.txt

folders to delete:
c:\Documents and Settings\key\Dati applicazioni\hidires
c:\WINDOWS\exefld

drivers to unload:
m_hook

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr