Help Trojan.Mitglieder.L

GHz · 13-06-2005, 19:53

Ho un computer infettato con un virus rognoso che non riesco a debellare....

Questo virus pianta la connessione ad internet....chiude il taskmanager, regedit, msconfig, e blocca gli antivirus (avg, nod

).

In esecuzione c'è un processo chiamato windll32.exe e cercando su google salta fuori questo: Trojan.Mitglieder.L

Ho provato a riavviare in modalità provvisoria, ho tolto la chiave dal regedit (in current version\run) e fatto una scansione con NOD e non ha trovato nulla....ma avviando normalmente c'è ancora

Che posso fare oltre a formattare?

Jaguar64bit · 13-06-2005, 20:09

Prova a farti uno scan installandoti l'antivirus Kaspersky 5 Personal... scaricati la trial da www.kaspersky.com e aggiornalo.. poi scaricati anche ewido 3.0 www.ewido.net installalo e aggiornalo e scansiona anche con questo.

Nod 32 con i trojan non è il migliore.

Jaguar64bit · 13-06-2005, 20:11

Poi posta il log di Hijackthis.

lord2 · 13-06-2005, 20:18

http://securityresponse.symantec.com...glieder.l.html

a questo link fondo pagina la spiegazione alla rimozione attenzione al registro di sistema fai copie sicure prima di procedere.

YMen · 13-06-2005, 20:21

scarica killbox poi riavvia in modalità provvisoria inserisci in killbox l'intero percorso del file windll.exe e cancellalo dopodichè posta il log di hijackthis

GHz · 13-06-2005, 20:50

Grazie per i consigli...dunque, non so se quello sia l'unico virus che c'è perchè è veramente bastardo.....termina anche hijackthis

Rinominando il file in hijackthi.exe va

Ora scanno e posto il log

Jaguar64bit · 13-06-2005, 20:53

Quote:

Originariamente inviato da GHz

Grazie per i consigli...dunque, non so se quello sia l'unico virus che c'è perchè è veramente bastardo.....termina anche hijackthis

Rinominando il file in hijackthi.exe va

Ora scanno e posto il log

Visto che hai beccato il virus più b@stardo della storia ,

avrai un maggior divertimento a schiattarlo...

GHz · 13-06-2005, 20:55

Quote:

Originariamente inviato da Jaguar64bit

Visto che hai beccato il virus più b@stardo della storia ,

avrai un maggior divertimento a schiattarlo...

Come no

Oltretutto ogni tanto escono schermate blu e il pc si riavvia

Cmq il log è questo:

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 21.51.07, on 13/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\OpenOffice.org1.0.1\program\soffice.exe
F:\HijackThi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [notes] notepaad.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\RunServices: [MotherBoard Sounds] sounds.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [notes] notepaad.exe
O4 - HKLM\..\RunServices: [Service] wN2S.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Programmi\OpenOffice.org1.0.1\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline/Free-Internet_By_Tuttogratis.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)

Analizzandolo online sembra che ci siano diverse schifezze ma non riesco bene a capire che roba sia

YMen · 13-06-2005, 21:02

Conosci userinit32.exe? se no terminalo dal task e cancella le seguenti voci:
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe

Poi fixa cmq queste:
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing)

O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE

O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe

O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe

O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe

O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline...uttogratis.exe

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
poi riposta il log

Jaguar64bit · 13-06-2005, 21:08

Da quello che vedo io fixa :

C:\WINDOWS\system32\userinit32.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing)

O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE

O4 - HKLM\..\RunServices: [Service] wN2S.exe

O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe

O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe

O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline...uttogratis.exe

GHz · 13-06-2005, 21:17

Grazie per i consigli

Ora vedo di cancellare un pò di robaccia....non saprei in che altro modo fixare

Non so come ma ora non si chiudono più le finestre....in compenso la lista dei processi del taskmanager è vuota

Jaguar64bit · 13-06-2005, 21:20

Quote:

Originariamente inviato da GHz

Grazie per i consigli

Ora vedo di cancellare un pò di robaccia....non saprei in che altro modo fixare

Non so come ma ora non si chiudono più le finestre....in compenso la lista dei processi del taskmanager è vuota

Mi fai un favore ? installati ewido 3.5 beta e fai fare uno scan anche al registro con la nuova funzione che lo scansiona. http://www.ewido.net/en/download/beta/

GHz · 13-06-2005, 21:44

Quote:

Originariamente inviato da Jaguar64bit

Mi fai un favore ? installati ewido 3.5 beta e fai fare uno scan anche al registro con la nuova funzione che lo scansiona. http://www.ewido.net/en/download/beta/

Sto provando....tra poco posto quello che ha trovato

juninho85 · 13-06-2005, 22:21

C:\WINDOWS\system32\userinit32.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [notes] notepaad.exe
O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe
O4 - HKLM\..\RunServices: [MotherBoard Sounds] sounds.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKLM\..\RunServices: [notes] notepaad.exe
O4 - HKLM\..\RunServices: [Service] wN2S.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe
O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline...uttogratis.exe
23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner -
C:\WINDOWS\System32\SCardClnt.exe (file missing)

controlla che:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254

siano i dns di alice

Jaguar64bit · 13-06-2005, 22:22

Quote:

Originariamente inviato da GHz

Sto provando....tra poco posto quello che ha trovato

Non addormentarti è

GHz · 13-06-2005, 23:00

Quote:

Originariamente inviato da Jaguar64bit

Non addormentarti è

No no....fino alle 5 sono qua...se vuoi apriamo pure il bar

Cmq grazie ancora per i consigli, ho sistemato i DNS direttamente dalla connessione di rete che quel cretino dove era stato portato il computer a sistemare aveva lasciato i settaggi della rete sua

Io prima di attaccarlo alla mia voglio che sia pulitissimo altrimenti

Ho provato ewido....e devo dire che ha trovato parecchia roba....

Nella scansione del registro ha trovato diversi di questi 3 spyware:

]

Poi nella scansione della memoria ha trovato 2 processi maligni e li ha eliminati.

Poi ho fatto una scansione approfondita del sistema ed ha trovato diversi virus, e li ho fatti eliminare tutti, questo il report:

Codice:

---------------------------------------------------------
 ewido security suite - Rapporto Scansione
---------------------------------------------------------

 + Creato il:			23.00.56, 13/06/2005
 + Report-Checksum:		F7E7AF95

 + Scan result:

	C:\Documents and Settings\Proprietario\Cookies\[email protected][2].txt -> Spyware.Cookie.Media-motor
	C:\Documents and Settings\Proprietario\msdirectx.sys -> Trojan.Rootkit.h
	C:\Programmi\Common Files\uwqk\uwqkp.exe -> Spyware.Xupiter
	C:\Programmi\Power Scan\powerscan.exe -> Spyware.PowerScan
	C:\WINDOWS\msnredirect.html -> TrojanDownloader.IstBar.o
	C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\ASLBIFHF\ncase_new[1].exe -> Spyware.180Solutions
	C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\ASLBIFHF\powerscan[1].exe -> Spyware.PowerScan
	C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\ASLBIFHF\sidefind[1].exe -> Spyware.SideFind
	C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\D8RC9MCM\sidefind13[1].dll -> Spyware.SideFind
	C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\EVRW5IUZ\cmctl[1].dll -> Spyware.AdMir
	C:\WINDOWS\system32\CTSVCCD.EXE -> Backdoor.Rbot.mg
	C:\WINDOWS\system32\pro.exe -> Spyware.WinFetcher.b
	C:\WINDOWS\system32\__delete_on_reboot__userinit32.exe -> Backdoor.Rbot
	C:\WINDOWS\system32\__delete_on_reboot__winDLL32.exe -> TrojanDownloader.Agent.mg
	C:\WINDOWS\Temp\powerscan.exe -> Spyware.PowerScan
	C:\WINDOWS\Temp\sidefind.exe -> Spyware.SideFind
	C:\WINDOWS\Temp\tbinst.exe -> Backdoor.Rbot.azy
	C:\WINDOWS\_DlrApps\Free-Internet_By_Tuttogratis.exe -> Heuristic.Win32.Dialer


::Fine Rapporto

Sembra che adesso i problemi siano spariti.....

Forte sto ewido.....sarà che non lo conosceva e non lo bloccava

Ora faccio un pò di pulizie dei file temporanei e provo se va la connessione....

Jaguar64bit · 13-06-2005, 23:40

Sono contento che Ewido 3.5 beta abbia fatto bene il suo lavoro , vedo che ti ha trovato molte porcherie assortite , meno male che hai usato la nuova versione che è molto migliorata...

Jaguar64bit · 13-06-2005, 23:44

Si ho guardato la lista di programmi che questo virus termina...pare che Ewido non ci sia...

ci cerdo che il pc ti da problemi...è pieno zeppo di tutto , fossi in te per sicurezza mi farei altre scansioni con i soliti programmi noti.

GHz · 14-06-2005, 01:06

Quote:

Originariamente inviato da Jaguar64bit

Si ho guardato la lista di programmi che questo virus termina...pare che Ewido non ci sia...

ci cerdo che il pc ti da problemi...è pieno zeppo di tutto , fossi in te per sicurezza mi farei altre scansioni con i soliti programmi noti.

Infatti...in sto PC c'era un concentrato di virus

Ho aggiornato NOD e fatto la scansione....trovati altri 8 virus!

Codice:

C:\Programmi\Common Files\uwqk\uwqkd\vocabulary - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato
C:\RECYCLER\MyLove.exe - NewHeur_PE virus probabilmente sconosciuto [7] - cancellato
C:\WINDOWS\fwk.exe - Win32/KillAV.NAC cavallo di troia - cancellato
C:\WINDOWS\update-sp5.html - Win32/Adware.MediaTickets.downloader Application - cancellato
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\PJ50KGOA\targetsaver[1].exe - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato
C:\WINDOWS\Temp\GLF8GLF8.EXE - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato
C:\WINDOWS\Temp\targetsaver.exe - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato
C:\WINDOWS\Temp\tsinstall_4_0_3_8_b17.exe - Win32/TrojanDownloader.TSUpdate.J cavallo di troia - cancellato

Ora c'è nod che fa da guardia...ma un bel firewall ce lo metterei prima di riportarlo al proprietario....di quello di win mi fido poco

Jaguar64bit · 14-06-2005, 01:13

Incredibile..su quel Pc i virus non finiscono mai..

ti direi di fare altri scan con altri programmi.. , ma poi non ti passa più.

per il firewall..non so mettici il kerio..oppure zone alarm , col sygate la versione 5.6 ad alcuni da problemi..se hai la 5.5 metti questa....oppure vai col solito ZA.

13-06-2005, 19:53	#1
GHz Senior Member Iscritto dal: Sep 2001 Città: Vicopisano (PI) Messaggi: 11652	Help Trojan.Mitglieder.L Ho un computer infettato con un virus rognoso che non riesco a debellare.... Questo virus pianta la connessione ad internet....chiude il taskmanager, regedit, msconfig, e blocca gli antivirus (avg, nod ). In esecuzione c'è un processo chiamato windll32.exe e cercando su google salta fuori questo: Trojan.Mitglieder.L Ho provato a riavviare in modalità provvisoria, ho tolto la chiave dal regedit (in current version\run) e fatto una scansione con NOD e non ha trovato nulla....ma avviando normalmente c'è ancora Che posso fare oltre a formattare? __________________ >>PARTECIPA AI PROGETTI DI CALCOLO DISTRIBUITO CON BOINC.Italy!<< *You may say I'm a dreamer - But I'm not the only one - I hope someday you'll join us - And the team will be the 1# one* BoincEmperor 1° Livello - Rotoloni DOCET!! Cactus rulez!!

13-06-2005, 20:21	#5
YMen Senior Member Iscritto dal: May 2005 Città: Bari (ma vorrei vivere a Parigi...) Messaggi: 821	scarica killbox poi riavvia in modalità provvisoria inserisci in killbox l'intero percorso del file windll.exe e cancellalo dopodichè posta il log di hijackthis __________________ Io faccio amicizia solo con gente amichevole e simpatica se non lo siete clik qui ma visitate Il Mio Sito

13-06-2005, 20:50	#6
GHz Senior Member Iscritto dal: Sep 2001 Città: Vicopisano (PI) Messaggi: 11652	Grazie per i consigli...dunque, non so se quello sia l'unico virus che c'è perchè è veramente bastardo.....termina anche hijackthis Rinominando il file in hijackthi.exe va Ora scanno e posto il log __________________ >>PARTECIPA AI PROGETTI DI CALCOLO DISTRIBUITO CON BOINC.Italy!<< *You may say I'm a dreamer - But I'm not the only one - I hope someday you'll join us - And the team will be the 1# one* BoincEmperor 1° Livello - Rotoloni DOCET!! Cactus rulez!!

13-06-2005, 21:02	#9
YMen Senior Member Iscritto dal: May 2005 Città: Bari (ma vorrei vivere a Parigi...) Messaggi: 821	Conosci userinit32.exe? se no terminalo dal task e cancella le seguenti voci: F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe Poi fixa cmq queste: O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing) O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline...uttogratis.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing) poi riposta il log __________________ Io faccio amicizia solo con gente amichevole e simpatica se non lo siete clik qui ma visitate Il Mio Sito

13-06-2005, 21:17	#11
GHz Senior Member Iscritto dal: Sep 2001 Città: Vicopisano (PI) Messaggi: 11652	Grazie per i consigli Ora vedo di cancellare un pò di robaccia....non saprei in che altro modo fixare Non so come ma ora non si chiudono più le finestre....in compenso la lista dei processi del taskmanager è vuota __________________ >>PARTECIPA AI PROGETTI DI CALCOLO DISTRIBUITO CON BOINC.Italy!<< *You may say I'm a dreamer - But I'm not the only one - I hope someday you'll join us - And the team will be the 1# one* BoincEmperor 1° Livello - Rotoloni DOCET!! Cactus rulez!!

13-06-2005, 20:09	#2
Jaguar64bit Senior Member Iscritto dal: Oct 2002 Città: Mi Messaggi: 8046	Prova a farti uno scan installandoti l'antivirus Kaspersky 5 Personal... scaricati la trial da www.kaspersky.com e aggiornalo.. poi scaricati anche ewido 3.0 www.ewido.net installalo e aggiornalo e scansiona anche con questo. Nod 32 con i trojan non è il migliore.

13-06-2005, 20:11	#3
Jaguar64bit Senior Member Iscritto dal: Oct 2002 Città: Mi Messaggi: 8046	Poi posta il log di Hijackthis.

13-06-2005, 20:18	#4
lord2 Senior Member Iscritto dal: May 2002 Messaggi: 3126	http://securityresponse.symantec.com...glieder.l.html a questo link fondo pagina la spiegazione alla rimozione attenzione al registro di sistema fai copie sicure prima di procedere.

13-06-2005, 21:08	#10
Jaguar64bit Senior Member Iscritto dal: Oct 2002 Città: Mi Messaggi: 8046	Da quello che vedo io fixa : C:\WINDOWS\system32\userinit32.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1; O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing) O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [Service] wN2S.exe O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline...uttogratis.exe

13-06-2005, 22:21	#14
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28978	C:\WINDOWS\system32\userinit32.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local> O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programmi\ISTbar\istbarcm.dll (file missing) O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [notes] notepaad.exe O4 - HKLM\..\Run: [Windows Dynamic Loading Header] winDLL32.exe O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe O4 - HKLM\..\RunServices: [MotherBoard Sounds] sounds.exe O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe O4 - HKLM\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe O4 - HKLM\..\RunServices: [notes] notepaad.exe O4 - HKLM\..\RunServices: [Service] wN2S.exe O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] msnt32.exe O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/webline...uttogratis.exe 23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing) controlla che: O17 - HKLM\System\CCS\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{0A368A5C-6A2B-43BA-8720-A83E04AC6E08}: NameServer = 192.168.1.254 siano i dns di alice

13-06-2005, 23:40	#17
Jaguar64bit Senior Member Iscritto dal: Oct 2002 Città: Mi Messaggi: 8046	Sono contento che Ewido 3.5 beta abbia fatto bene il suo lavoro , vedo che ti ha trovato molte porcherie assortite , meno male che hai usato la nuova versione che è molto migliorata...

13-06-2005, 23:44	#18
Jaguar64bit Senior Member Iscritto dal: Oct 2002 Città: Mi Messaggi: 8046	Si ho guardato la lista di programmi che questo virus termina...pare che Ewido non ci sia... ci cerdo che il pc ti da problemi...è pieno zeppo di tutto , fossi in te per sicurezza mi farei altre scansioni con i soliti programmi noti.

14-06-2005, 01:13	#20
Jaguar64bit Senior Member Iscritto dal: Oct 2002 Città: Mi Messaggi: 8046	Incredibile..su quel Pc i virus non finiscono mai.. ti direi di fare altri scan con altri programmi.. , ma poi non ti passa più. per il firewall..non so mettici il kerio..oppure zone alarm , col sygate la versione 5.6 ad alcuni da problemi..se hai la 5.5 metti questa....oppure vai col solito ZA.

Strumenti
Mostra una versione stampabile Invia questa pagina per email