backdoor.colfusion MI DITE COME TOGLIERLO??

pira82 · 07-12-2004, 00:39

Come da titolo ho appena beccato questo virus ma non riesco ad eliminarlo in nessun modo mi dite come posso fare che mi sta dando la cpu a 100%???

pira82 · 07-12-2004, 18:51

Nessuno???

wgator · 07-12-2004, 20:08

Ciao,

hai provato con la scansione antivirus da modalità provvisoria?

pira82 · 07-12-2004, 20:25

Quote:

Originariamente inviato da wgator
Ciao,

hai provato con la scansione antivirus da modalità provvisoria?

Si me li individua e li cancello manualmente ma nulla da fare

wgator · 07-12-2004, 21:49

Ciao,

prova a postare un log di hijackthis

pira82 · 07-12-2004, 22:58

Quote:

Originariamente inviato da wgator
Ciao,

prova a postare un log di hijackthis

Scusa non ho capito cosa devo fare???

wgator · 07-12-2004, 23:11

Ciao,

dovresti scaricare quel programmino che ti ho indicato, metterlo in una cartella qualsiasi (che non sia desktop o temp) e lanciarlo. Premi il tasto "save log" e ti genera un'istantanea formato testo che mostra tutti i servizi in esecuzione. Il TXT generato lo dovresti copiare e incollare qui sul forum, così lo possiamo analizzare per vedere qual'è il problema

pira82 · 07-12-2004, 23:16

Quote:

Originariamente inviato da wgator
Ciao,

dovresti scaricare quel programmino che ti ho indicato, metterlo in una cartella qualsiasi (che non sia desktop o temp) e lanciarlo. Premi il tasto "save log" e ti genera un'istantanea formato testo che mostra tutti i servizi in esecuzione. Il TXT generato lo dovresti copiare e incollare qui sul forum, così lo possiamo analizzare per vedere qual'è il problema

Senti non è che posso fare il ripristino del sistema visto il il virus lo preso ieri pomeriggio gli faccio il ripristino di domenica,mi spiegheresti come si fa

wgator · 07-12-2004, 23:32

Ciao,

bè... se vuoi tentare la strada del ripristino... ma non è che io mi fidi molto, inoltre quel virus non è che sparisce, se è in giro in qualche cartella il ripristino non lo leva

Comunque per ripristinare è sufficiente

start->programmi->accessori->utilità di sistema->ripristino configurazione di sistema

Scegli la data del ripristino ed è fatto.

Ripeto comunque che secondo me il virus così non è detto che lo levi...

Se decidi per il ripristino, per avere qualche chance di successo, prima svuota con cura tutte le cartelle temporanee, cancella la cache di internet ed elimina il virus facendo un'altra scansione da mod. provvisoria.

Dovresti prima attivare la visualizzazione dei file e delle cartelle nascoste poi fare "start>cerca" e inserisci TEMP. Così trovi tutte le cartelle temporanee. Aprile ad una ad una e cancella tutto ciò che contengono.

In bocca al lupo (virus)

pira82 · 07-12-2004, 23:32

Quote:

Originariamente inviato da wgator
Ciao,

dovresti scaricare quel programmino che ti ho indicato, metterlo in una cartella qualsiasi (che non sia desktop o temp) e lanciarlo. Premi il tasto "save log" e ti genera un'istantanea formato testo che mostra tutti i servizi in esecuzione. Il TXT generato lo dovresti copiare e incollare qui sul forum, così lo possiamo analizzare per vedere qual'è il problema

Lo fatto ecco quello che mi da:
-----------------------------------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 0.32.02, on 08/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\Explorer.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\cmd.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\cmd.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\ope12.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
F:\Programmi\DU Meter\DUMeter.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\cmd.exe
F:\Programmi\Widcomm\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\cmd.exe
F:\Programmi\C'è Posta\CPosta.exe
F:\Programmi\Widcomm\Bluetooth Software\BTStackServer.exe
C:\WINDOWS\system32\cisvc.exe
F:\Programmi\Norton AntiVirus\navapsvc.exe
F:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\123\Desktop\EMULE\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = 143
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fastweb.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da FastWeb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - system.ini: Shell=Explorer.exe winsock.scr
F2 - REG:system.ini: Shell=Explorer.exe winsock.scr
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {0059E431-DAE5-CB7B-3225-479B65E826C7} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F195A1A9-4033-4E5B-B85C-848C3E31A83A} - c:\syslibie.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSNX] C:\WINDOWS\System32\ope12.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DU Meter] F:\Programmi\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: C'è Posta.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: SideFind (HKLM)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fastweb.it
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/downlo...?1079451207312
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_41.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...lInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...58/mcfscan.cab
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
-----------------------------------------------------------------------------------

Cmq ne task manager i file che lo occupano si chiama cmd.exe 5 appena lo cancello la cpu ritona normale.

pira82 · 07-12-2004, 23:38

Quote:

Originariamente inviato da wgator
Ciao,

bè... se vuoi tentare la strada del ripristino... ma non è che io mi fidi molto, inoltre quel virus non è che sparisce, se è in giro in qualche cartella il ripristino non lo leva

Comunque per ripristinare è sufficiente

start->programmi->accessori->utilità di sistema->ripristino configurazione di sistema

Scegli la data del ripristino ed è fatto.

Ripeto comunque che secondo me il virus così non è detto che lo levi...

Se decidi per il ripristino, per avere qualche chance di successo, prima svuota con cura tutte le cartelle temporanee, cancella la cache di internet ed elimina il virus facendo un'altra scansione da mod. provvisoria.

Dovresti prima attivare la visualizzazione dei file e delle cartelle nascoste poi fare "start>cerca" e inserisci TEMP. Così trovi tutte le cartelle temporanee. Aprile ad una ad una e cancella tutto ciò che contengono.

In bocca al lupo (virus)

Beh quindi se non serve a nulla il ripristino non lo faccio

wgator · 07-12-2004, 23:43

Lo sto analizzando, intanto cerca di cancellare questo:

C:\WINDOWS\System32\ope12.exe

da modalità provvisoria... è il tuo virus

Hai usato una vecchia versione di hijackthis, non quella del link che ti ho dato prima

OK, cerca ed elimina sempre da mod. provvisoria anche winsock.scr

F2 - REG:system.ini: Shell=Explorer.exe winsock.scr

Anche questo va eliminato: c:\syslibie.dll
uesto pure: dxsetu.exe

pira82 · 07-12-2004, 23:49

Quote:

Originariamente inviato da wgator
Lo sto analizzando, intanto cerca di cancellare questo:

C:\WINDOWS\System32\ope12.exe

da modalità provvisoria... è il tuo virus

Hai usato una vecchia versione di hijackthis, non quella del link che ti ho dato prima

Questo è il risultato col programma hce mi hai dato te:

Logfile of HijackThis v1.98.2
Scan saved at 0.49.21, on 08/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
F:\Programmi\DU Meter\DUMeter.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Programmi\Widcomm\Bluetooth Software\BTTray.exe
F:\Programmi\C'è Posta\CPosta.exe
F:\Programmi\Widcomm\Bluetooth Software\BTStackServer.exe
C:\WINDOWS\system32\cisvc.exe
F:\Programmi\Norton AntiVirus\navapsvc.exe
F:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
F:\Programmi\AdunanzA Fastweb\eMule_AdnzA.exe
C:\Documents and Settings\123\Desktop\EMULE\Paperinik\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fastweb.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = 143
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da FastWeb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe winsock.scr
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {0059E431-DAE5-CB7B-3225-479B65E826C7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F195A1A9-4033-4E5B-B85C-848C3E31A83A} - c:\syslibie.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSNX] C:\WINDOWS\System32\ope12.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DU Meter] F:\Programmi\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: C'è Posta.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - (no file)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fastweb.it
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_41.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...lInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...58/mcfscan.cab
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab
O18 - Filter: text/html - {FBB96B67-873B-40FC-B439-E085B6F91DF9} - C:\Documents and Settings\123\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\V0.26.dat

--------------------------------------------------------

INTANTO CANCELLO IL VIRUS CHE MI HAI DETTO

wgator · 07-12-2004, 23:58

Hai anche alcuni spyware, scarica la versione trial di Spysweeper funziona per 1 mese. installalo e fai una scansione anche con quello, un po' di roba vedrai che te la leva.

wgator · 08-12-2004, 00:10

Ricapitolando:

questi sono da cercare ed eliminare

c:\syslibie.dll
C:\WINDOWS\System32\ope12.exe
C:\WINDOWS\dxsetu.exe
winsock.scr

Queste voci vanno selezionate con hijackthis poi va premuto il tasto "fix"

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {0059E431-DAE5-CB7B-3225-479B65E826C7} - (no file)
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe
O4 - HKLM\..\Run: [WinDSNX] C:\WINDOWS\System32\ope12.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - (no file)
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softw...006_regular.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...llInstaller.exe

pira82 · 08-12-2004, 00:11

Quote:

Originariamente inviato da wgator
Hai anche alcuni spyware, scarica la versione trial di Spysweeper funziona per 1 mese. installalo e fai una scansione anche con quello, un po' di roba vedrai che te la leva.

Allora sono entrato in modalita provvisoria ed ho cercato i file ma non li ho trovati

ho trovato solo questo ope12.tmp lo elimino??

Cacchi non sapere di tutti questi virus ma allora il cazzuto di norton che cacchio fa

wgator · 08-12-2004, 00:13

hai attivato la visualizzazione di file e cartelle nascoste?

pira82 · 08-12-2004, 00:15

Quote:

Originariamente inviato da wgator
hai attivato la visualizzazione di file e cartelle nascoste?

Si

pira82 · 08-12-2004, 20:35

Up

fetidus · 09-12-2004, 09:18

Ciao.
Do anche a te lo stesso consiglio dato a tutti. Norton 2004 non vede gli spyware quindi non te li elimna. Metti kaspersky o mcafee e vedrai che belle sorprese. Kasper inoltre se non riesce a eliminare le cose, prova a farlo al successivo riavvio. se invece vuoi eliminare quei files senza entrare in modalità provvisoria, fallo da esplora risorse di nero burning rom. Questo non si appoggia su quello di windows e quindi elimina pure files bloccati da altri prog, però ti devi muovere con la tastiera ed eliminare i files con canc e non con il topo.

Ciao e se cambi antivirus fammi sapere. Poi è meglio se fai una passata anche con spybot o giant o altro......

Ciaooooooooooo

07-12-2004, 00:39	#1
pira82 Senior Member Iscritto dal: Mar 2004 Città: MILANO Messaggi: 972	backdoor.colfusion MI DITE COME TOGLIERLO?? Come da titolo ho appena beccato questo virus ma non riesco ad eliminarlo in nessun modo mi dite come posso fare che mi sta dando la cpu a 100%??? __________________ Antec Nine Hundred -- Msi Z87 G45 Gaming -- INTEL Core i5 4670K -- Arctic Cooling Freezer 13 -- Corsair 2 x DIMM 4 Gb 240-pin DDR3 SDRAM 1600 mhz -- HD WESTERN DIGITAL CAVIAR 1TB -- Sapphire Radeon R9 290 Tri-x Oc -- CoolerMaster V700 -- FUJISTU SIMENS AMILO LL 3220T FULL HD Notebook : Samsung R710 AS04 WINDOWS SEVEN X64 -- Tablet : Asus Transformers

07-12-2004, 18:51	#2
pira82 Senior Member Iscritto dal: Mar 2004 Città: MILANO Messaggi: 972	Nessuno??? __________________ Antec Nine Hundred -- Msi Z87 G45 Gaming -- INTEL Core i5 4670K -- Arctic Cooling Freezer 13 -- Corsair 2 x DIMM 4 Gb 240-pin DDR3 SDRAM 1600 mhz -- HD WESTERN DIGITAL CAVIAR 1TB -- Sapphire Radeon R9 290 Tri-x Oc -- CoolerMaster V700 -- FUJISTU SIMENS AMILO LL 3220T FULL HD Notebook : Samsung R710 AS04 WINDOWS SEVEN X64 -- Tablet : Asus Transformers

07-12-2004, 20:08	#3
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, hai provato con la scansione antivirus da modalità provvisoria? __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

07-12-2004, 21:49	#5
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, prova a postare un log di hijackthis __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

07-12-2004, 23:11	#7
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, dovresti scaricare quel programmino che ti ho indicato, metterlo in una cartella qualsiasi (che non sia desktop o temp) e lanciarlo. Premi il tasto "save log" e ti genera un'istantanea formato testo che mostra tutti i servizi in esecuzione. Il TXT generato lo dovresti copiare e incollare qui sul forum, così lo possiamo analizzare per vedere qual'è il problema __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

07-12-2004, 23:32	#9
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, bè... se vuoi tentare la strada del ripristino... ma non è che io mi fidi molto, inoltre quel virus non è che sparisce, se è in giro in qualche cartella il ripristino non lo leva Comunque per ripristinare è sufficiente start->programmi->accessori->utilità di sistema->ripristino configurazione di sistema Scegli la data del ripristino ed è fatto. Ripeto comunque che secondo me il virus così non è detto che lo levi... Se decidi per il ripristino, per avere qualche chance di successo, prima svuota con cura tutte le cartelle temporanee, cancella la cache di internet ed elimina il virus facendo un'altra scansione da mod. provvisoria. Dovresti prima attivare la visualizzazione dei file e delle cartelle nascoste poi fare "start>cerca" e inserisci TEMP. Così trovi tutte le cartelle temporanee. Aprile ad una ad una e cancella tutto ciò che contengono. In bocca al lupo (virus) __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

07-12-2004, 23:43	#12
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Lo sto analizzando, intanto cerca di cancellare questo: C:\WINDOWS\System32\ope12.exe da modalità provvisoria... è il tuo virus Hai usato una vecchia versione di hijackthis, non quella del link che ti ho dato prima OK, cerca ed elimina sempre da mod. provvisoria anche winsock.scr F2 - REG:system.ini: Shell=Explorer.exe winsock.scr Anche questo va eliminato: c:\syslibie.dll uesto pure: dxsetu.exe __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB Ultima modifica di wgator : 07-12-2004 alle 23:51.

07-12-2004, 23:58	#14
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Hai anche alcuni spyware, scarica la versione trial di Spysweeper funziona per 1 mese. installalo e fai una scansione anche con quello, un po' di roba vedrai che te la leva. __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

08-12-2004, 00:10	#15
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ricapitolando: questi sono da cercare ed eliminare c:\syslibie.dll C:\WINDOWS\System32\ope12.exe C:\WINDOWS\dxsetu.exe winsock.scr Queste voci vanno selezionate con hijackthis poi va premuto il tasto "fix" R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) O2 - BHO: (no name) - {0059E431-DAE5-CB7B-3225-479B65E826C7} - (no file) O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file) O4 - HKLM\..\Run: [dxset.exe] C:\WINDOWS\dxsetu.exe O4 - HKLM\..\Run: [WinDSNX] C:\WINDOWS\System32\ope12.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - (no file) O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softw...006_regular.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...llInstaller.exe __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

08-12-2004, 00:13	#17
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	hai attivato la visualizzazione di file e cartelle nascoste? __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

08-12-2004, 20:35	#19
pira82 Senior Member Iscritto dal: Mar 2004 Città: MILANO Messaggi: 972	Up __________________ Antec Nine Hundred -- Msi Z87 G45 Gaming -- INTEL Core i5 4670K -- Arctic Cooling Freezer 13 -- Corsair 2 x DIMM 4 Gb 240-pin DDR3 SDRAM 1600 mhz -- HD WESTERN DIGITAL CAVIAR 1TB -- Sapphire Radeon R9 290 Tri-x Oc -- CoolerMaster V700 -- FUJISTU SIMENS AMILO LL 3220T FULL HD Notebook : Samsung R710 AS04 WINDOWS SEVEN X64 -- Tablet : Asus Transformers

09-12-2004, 09:18	#20
fetidus Member Iscritto dal: Nov 2004 Messaggi: 140	Ciao. Do anche a te lo stesso consiglio dato a tutti. Norton 2004 non vede gli spyware quindi non te li elimna. Metti kaspersky o mcafee e vedrai che belle sorprese. Kasper inoltre se non riesce a eliminare le cose, prova a farlo al successivo riavvio. se invece vuoi eliminare quei files senza entrare in modalità provvisoria, fallo da esplora risorse di nero burning rom. Questo non si appoggia su quello di windows e quindi elimina pure files bloccati da altri prog, però ti devi muovere con la tastiera ed eliminare i files con canc e non con il topo. Ciao e se cambi antivirus fammi sapere. Poi è meglio se fai una passata anche con spybot o giant o altro...... Ciaooooooooooo

Strumenti
Mostra una versione stampabile Invia questa pagina per email