help file resistenti

[MeRiT10]

riprendendo la discussione sui file strani... da start/esegui - msconfig m risultano caricati all'avvio due file msime82.exe e msfun80.exe ovviamente ho provveduto a cancellare la chiave di registro dei file.. i file.. e disattivarli all'avvio.. nonostante cio' erano sempre presenti cioè ne attivava un'altra copia..! Visto questo ho proveduto a formattare l' HD e ripristinare una immaggine dell' HD pulita.. che uso regolarmente da moltissimo tempo e NN hai mai mostrato questi file.. mentre invece questa volta c'erano i file sopra citati.. ! da premettere che : l'immagine HD è salvata su un dvd.. che questi file appaiono si come applicazioni.. ma hanno l'apetto grafico di un file d excel.. (che tra l'altro nn uso e nn ho installato quindi) cosa posso fare per eliminare questi file? ringrazio anticipatamente!

[Bugs Bunny]

posta un log di hijackthis nella apposita discussione.

[MeRiT10]

come richiesto allego log..
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\PowerArchiver\POWERARC.EXE
C:\DOCUME~1\Nando\IMPOST~1\Temp\_PA119\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{29E8630C-70EB-4426-9056-71EBC37A42E0}: NameServer = 193.12.150.2 212.247.152.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{29E8630C-70EB-4426-9056-71EBC37A42E0}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

--
End of file - 3017 bytes

[Bugs Bunny]

cancella:

O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe

O4 - HKCU\..\Run: [MsServer] msfun80.exe



inoltre non è la prima volta che vedo questo fenomeno:

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

(non cancellare queste 4 chiavi)

[Tidus Strife]

Quote:

Originariamente inviato da Bugs Bunny

inoltre non è la prima volta che vedo questo fenomeno:

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

(non cancellare queste 4 chiavi)

Anche nel mio log c'è, ma sono andato a controllare nel regedit e ste chiavi non ci sono...

[Bugs Bunny]

@merit10

fai analizzare uno di quei file msu virustotal e vedi quali antivirus lo indicano come infetto

[MeRiT10]

[quote=Bugs Bunny;16754657]cancella:

O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe

O4 - HKCU\..\Run: [MsServer] msfun80.exe



ho gia provveduto a cancellarle.. ho cancellato anche i file.. ma si rimettono sempre.. inoltre componendo la stinga contr-alt-canc nelle applicazioni c'e' anche un fantomatico excel ma io nn ho installato questo programma!!! potresti essere piu chiaro su dove devo controllare i file per vedere se me li da infetti? perdonami l'ignoranza.

[wizard1993]

[quote=MeRiT10;16761430]

Quote:

Originariamente inviato da Bugs Bunny

cancella:

O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe

O4 - HKCU\..\Run: [MsServer] msfun80.exe



ho gia provveduto a cancellarle.. ho cancellato anche i file.. ma si rimettono sempre.. inoltre componendo la stinga contr-alt-canc nelle applicazioni c'e' anche un fantomatico excel ma io nn ho installato questo programma!!! potresti essere piu chiaro su dove devo controllare i file per vedere se me li da infetti? perdonami l'ignoranza.

chiudi quel dannato excel

[MeRiT10]

allora.. dopo aver a lungo smanettato con HijackThi, contr-alt-canc, msconfig e regedit nn ho risolto il problema.. indi ho formattato di nuovo.. e ho temporaneamente risolto, temporaneamente in quanto m sono accorto che il virus alloggia sul mio secondo HD ( che è solo dati tra l'altro ) infatti appena clicco risorse del computer/ D: si infetta C: ! mai successa una cosa del genere.. ringrazio per la cortese attenzione.. nn m rimane che formattare il secondo HD il problema sarà salvare 80gb di dati..

[c.m.g]

Quote:

Originariamente inviato da MeRiT10

allora.. dopo aver a lungo smanettato con HijackThi, contr-alt-canc, msconfig e regedit nn ho risolto il problema.. indi ho formattato di nuovo.. e ho temporaneamente risolto, temporaneamente in quanto m sono accorto che il virus alloggia sul mio secondo HD ( che è solo dati tra l'altro ) infatti appena clicco risorse del computer/ D: si infetta C: ! mai successa una cosa del genere.. ringrazio per la cortese attenzione.. nn m rimane che formattare il secondo HD il problema sarà salvare 80gb di dati..

se hai un secondo computer non formattare, attaccalo sotto il secondo e fallo scansionare con un antivirus con le °° tipo kaspersky aggiornato e ti risparmi la rottura.

[MeRiT10]

ho trovato il nome del worm mi serve solo il programma adatto alla rimozione... "Win32/Cacfu.A" se qualcuno conosce il sofware o altro adatto.. m faccia sapere.. di nuovo grazie!

[Draven94]

Ho trovato qualcosa che fa al caso tuo...

http://www.trendmicro.com/vinfo/viru...%2ECIU&VSect=P

[MeRiT10]

v ringrazio per la cortese attenzione.. il worm è stato rimosso su entrambi gli Hardisk.. dopo una scansione con l'antivirus che m avete consigliato..! avrei un ultimo quesito da porvi.. dopo la scansione l'hardisk che uso solo come dati.. quando c clicco sopra m esce la schermata "apri con" cioè m dice d selezionare il sotware adatto per aprirlo.. alla fine cliccando tasto destro/esplora lo apre lo stesso.. ma come posso eliminare l'incoveniente...?