Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* E1XPLORER - AIUTO !!!!
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
*mara*
Comune mortale
Comune mortale


Registrato: 01/07/06 12:37
Messaggi: 4
MessaggioInviato: 01 Lug 2006 12:45    Oggetto: * E1XPLORER - AIUTO !!!! Rispondi citando
Ciao a Tutti
chi mi può aiutare con questo virus (?)
mi collega a siti porno e mi rallenta il computer.

leggendo qua e la ho ricavato il mio LOG con hijackthis ma ora non sono capace ad interpretarlo e non so cosa fare per risolvere il problema .... chi mi può aiutare ??

Logfile of HijackThis v1.99.1
Scan saved at 11.39.09, on 01/07/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\\WINDOWS\\SYSTEM\\KERNEL32.DLL
C:\\WINDOWS\\SYSTEM\\MSGSRV32.EXE
C:\\WINDOWS\\SYSTEM\\MPREXE.EXE
C:\\WINDOWS\\SYSTEM\\MSTASK.EXE
C:\\WINDOWS\\SYSTEM\\mmtask.tsk
C:\\WINDOWS\\EXPLORER.EXE
C:\\WINDOWS\\SYSTEM\\HIDSERV.EXE
C:\\WINDOWS\\TASKMON.EXE
C:\\WINDOWS\\SYSTEM\\SYSTRAY.EXE
C:\\PROGRAMMI\\FILE COMUNI\\REAL\\UPDATE_OB\\REALSCHED.EXE
C:\\PROGRAMMI\\AHEAD\\INCD\\INCD.EXE
C:\\PROGRAMMI\\CYBERLINK DVD SOLUTION\\POWERDVD\\PDVDSERV.EXE
C:\\PROGRAMMI\\FILE COMUNI\\REAL\\UPDATE_OB\\REALONEMESSAGECENTER.EXE
C:\\WINDOWS\\SYSTEM\\SYSMON.EXE
C:\\PROGRAMMI\\AWS\\WEATHERBUG\\WEATHERBUG.EXE
C:\\PROGRAMMI\\MICROSOFT OFFICE\\OFFICE\\OSA.EXE
C:\\PROGRAMMI\\MICROSOFT OFFICE\\OFFICE\\FINDFAST.EXE
C:\\PROGRAMMI\\SIEMENS\\SANTIS\\WLM.EXE
C:\\WINDOWS\\SYSTEM\\WMIEXE.EXE
C:\\PROGRAMMI\\ALICE TI AIUTA\\BIN\\MPBTN.EXE
C:\\PROGRAMMI\\INTERNET EXPLORER\\IEXPLORE.EXE
C:\\PROGRAMMI\\INTERNET EXPLORER\\IEXPLORE.EXE
C:\\PROGRAMMI\\INTERNET EXPLORER\\IEXPLORE.EXE
C:\\HIJACKTHIS.EXE

R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://www.m-w.com/
R1 - HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\\programmi\\google\\googletoolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\PROGRAMMI\\ADOBE\\ACROBAT 6.0\\READER\\ACTIVEX\\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\\PROGRA~1\\SPYBOT~1\\SDHELPER.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\\programmi\\google\\googletoolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\\PROGRAMMI\\YAHOO!\\COMPANION\\INSTALLS\\CPN\\YT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\\WINDOWS\\SYSTEM\\MSDXM.OCX
O4 - HKLM\\..\\Run: [ScanRegistry] C:\\WINDOWS\\scanregw.exe /autorun
O4 - HKLM\\..\\Run: [TaskMonitor] C:\\WINDOWS\\taskmon.exe
O4 - HKLM\\..\\Run: [SystemTray] SysTray.Exe
O4 - HKLM\\..\\Run: [TkBellExe] \"C:\\Programmi\\File comuni\\Real\\Update_OB\\realsched.exe\" -osboot
O4 - HKLM\\..\\Run: [InCD] C:\\Programmi\\Ahead\\InCD\\InCD.exe
O4 - HKLM\\..\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\\..\\Run: [RemoteControl] \"C:\\Programmi\\CyberLink DVD Solution\\PowerDVD\\PDVDServ.exe\"
O4 - HKLM\\..\\Run: [rock] rock.exe
O4 - HKLM\\..\\Run: [MsgCenterExe] \"C:\\Programmi\\File comuni\\Real\\Update_OB\\RealOneMessageCenter.exe\" -osboot
O4 - HKLM\\..\\Run: [Systems] C:\\WINDOWS\\SYSTEM\\sysmon.exe
O4 - HKLM\\..\\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\\..\\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\\..\\RunServices: [SchedulingAgent] C:\\WINDOWS\\SYSTEM\\mstask.exe
O4 - HKCU\\..\\Run: [WeatherBug] C:\\PROGRAMMI\\AWS\\WEATHERBUG\\WEATHERBUG.EXE
O4 - Startup: Avvio Office.lnk = C:\\Programmi\\Microsoft Office\\Office\\OSA.EXE
O4 - Startup: Ricerca rapida.lnk = C:\\Programmi\\Microsoft Office\\Office\\FINDFAST.EXE
O4 - Startup: Alice ti aiuta.lnk = C:\\Programmi\\Alice ti aiuta\\bin\\matcli.exe
O4 - Startup: Siemens Wireless LAN Monitor Utility.lnk = C:\\Programmi\\Siemens\\Santis\\WLM.exe
O8 - Extra context menu item: &Google Search - res://C:\\PROGRAMMI\\GOOGLE\\GOOGLETOOLBAR.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\\PROGRAMMI\\GOOGLE\\GOOGLETOOLBAR.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\\PROGRAMMI\\GOOGLE\\GOOGLETOOLBAR.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\\PROGRAMMI\\GOOGLE\\GOOGLETOOLBAR.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\\PROGRAMMI\\GOOGLE\\GOOGLETOOLBAR.DLL/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\\WINDOWS\\web\\related.htm
O9 - Extra \'Tools\' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\\WINDOWS\\web\\related.htm
O15 - Trusted Zone: www.1987324.com


grazie M.
Top
Profilo Invia messaggio privato
Typhoon90
Dio maturo
Dio maturo


Registrato: 01/06/06 16:17
Messaggi: 1019
Residenza: Vivere per niente o morire per qualcosa. Scegli tu.
MessaggioInviato: 01 Lug 2006 13:27    Oggetto: Rispondi citando
per i poco esperti consiglio di copiare il logfile di hijackthis in questo sito e verificarlo

http://hijackthis.de/index.php?langselect=italian
Top
Profilo Invia messaggio privato HomePage
Typhoon90
Dio maturo
Dio maturo


Registrato: 01/06/06 16:17
Messaggi: 1019
Residenza: Vivere per niente o morire per qualcosa. Scegli tu.
MessaggioInviato: 01 Lug 2006 13:29    Oggetto: Rispondi citando
ho verificato e di pericoloso c'è di sicuro

O15 - Trusted Zone: www.1987324.com

poi ce ne sono parecchi sconosciuti e per quelli lascio la parola ai + esperti
Top
Profilo Invia messaggio privato HomePage
*mara*
Comune mortale
Comune mortale


Registrato: 01/07/06 12:37
Messaggi: 4
MessaggioInviato: 01 Lug 2006 13:35    Oggetto: Rispondi citando
grazie !! Very Happy
spero che qualcuno mi possa aiutare con quelli sconosciuti.

Evil or Very Mad

Ciao M.
Top
Profilo Invia messaggio privato
Typhoon90
Dio maturo
Dio maturo


Registrato: 01/06/06 16:17
Messaggi: 1019
Residenza: Vivere per niente o morire per qualcosa. Scegli tu.
MessaggioInviato: 01 Lug 2006 13:37    Oggetto: Rispondi citando
*mara* ha scritto:
grazie !! Very Happy
spero che qualcuno mi possa aiutare con quelli sconosciuti.

Evil or Very Mad

Ciao M.


si si vedrai che fra poco intervengono gli espertoni
Top
Profilo Invia messaggio privato HomePage
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 01 Lug 2006 16:45    Oggetto: Rispondi citando
ciao Mara e benvenuta Very Happy

1 ) Abilita la visualizzazione dei file nascosti
Citazione:
- apri gestione risorse
- dal menu selezona strumenti\opzioni cartella
- seleziona il tab visualizzazione
- metti la spunta alla casella "visualizza file e cartelle nascoste"
- togli la spunta alla casella "nascondi file di sistema (consigliato)"
- clicca "Si", poi "Applica", poi "OK".


2 ) Cerca il file rock.exe e sysmon.exe (questo è in C:\WINDOWS\SYSTEM) e mettili in un file zip che manderai a www.suspectfile.com

3 ) Avvia HijackThis, poi chiudi tutte le finestre lasciando aperto solo HijackThis. Clicca Do a System Scan only, metti un segno di spunta sulla casella accanto a queste voci e al temine premi Fix checked
Citazione:
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O15 - Trusted Zone: www.1987324.com


4 ) Riavvia in modalità provvisoria: premi F8 al Boot subito dopo il caricamento del BIOS e dal menu che comparirà seleziona modalità Provvisoria (safe mode)

5 ) Cerca ed elimina i file rock.exe e sysmon.exe

6 ) Svuota il cestino, tutte le cartelle TEMP che trovi e i file termporanei di Internet.

7 ) Riavvia in modalità normale e fai una scansione online con Kaspersky, selezionando la modalità estesa. Al termine salva il log.

8 ) Posta il log di Kspersky e un nuovo log di HijackThis.

Quando hai fatto la pulizia, prendi in considerazione il fatto di installare un antivirus e un firewall, altrimenti ti infetterai nuovamente con facilità
Trovi i link utili qui: http://forum.zeusnews.com/viewtopic.php?t=16009

Ciao
Top
Profilo Invia messaggio privato
*mara*
Comune mortale
Comune mortale


Registrato: 01/07/06 12:37
Messaggi: 4
MessaggioInviato: 01 Lug 2006 19:10    Oggetto: Rispondi citando
Ciao holifay Very Happy
non so come ringraziarti ..... sembra che il problema sia risolto anche se kspersky ha trovato qualche virus Confused

risultato:

Logfile of HijackThis v1.99.1
Scan saved at 19.04.00, on 01/07/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\AHEAD\INCD\INCD.EXE
C:\PROGRAMMI\CYBERLINK DVD SOLUTION\POWERDVD\PDVDSERV.EXE
C:\PROGRAMMI\FILE COMUNI\REAL\UPDATE_OB\REALONEMESSAGECENTER.EXE
C:\PROGRAMMI\AWS\WEATHERBUG\WEATHERBUG.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMMI\SIEMENS\SANTIS\WLM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\ALICE TI AIUTA\BIN\MPBTN.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\FILE COMUNI\REAL\UPDATE_OB\REALSCHED.EXE
C:\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.m-w.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programmi\File comuni\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [WeatherBug] C:\PROGRAMMI\AWS\WEATHERBUG\WEATHERBUG.EXE
O4 - Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Startup: Siemens Wireless LAN Monitor Utility.lnk = C:\Programmi\Siemens\Santis\WLM.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAMMI\GOOGLE\GOOGLETOOLBAR.DLL/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_ansi.cab

e Question Question

Infected Object Name Virus Name Last Action
c:\WINDOWS\SYSTEM\sysfind.exe Infected: not-a-virus:Porn-Dialer.Win32.Archiviosex.c skipped

c:\WINDOWS\WIN386.SWP Object is locked skipped

c:\WINDOWS\SchedLog.Txt Object is locked skipped

c:\WINDOWS\Application Data\Identities\{62086C40-D81D-11D8-B650-CE7471DF544C}\Microsoft\Outlook Express\Posta eliminata.dbx/[From romolo.quaglia@tin.it][Date Mon, 21 Nov 2005 22:03:33 +0100]/UNNAMED/poster.com Infected: Email-Worm.Win32.NetSky.c skipped

c:\WINDOWS\Application Data\Identities\{62086C40-D81D-11D8-B650-CE7471DF544C}\Microsoft\Outlook Express\Posta eliminata.dbx/[From romolo.quaglia@tin.it][Date Mon, 21 Nov 2005 22:03:33 +0100]/UNNAMED Infected: Email-Worm.Win32.NetSky.c skipped

c:\WINDOWS\Application Data\Identities\{62086C40-D81D-11D8-B650-CE7471DF544C}\Microsoft\Outlook Express\Posta eliminata.dbx Mail MS Outlook 5: infected - 2 skipped

c:\WINDOWS\Desktop\rock.zip/rock.exe Infected: Trojan.Win32.LowZones.dn skipped

c:\WINDOWS\Desktop\rock.zip ZIP: infected - 1 skipped

c:\WINDOWS\Desktop\sysmon.zip/sysmon.exe Infected: Trojan-Downloader.Win32.Vixup.b skipped

c:\WINDOWS\Desktop\sysmon.zip ZIP: infected - 1 skipped

c:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

c:\WINDOWS\Cookies\index.dat Object is locked skipped

c:\WINDOWS\Cronologia\History.IE5\index.dat Object is locked skipped

c:\WINDOWS\Impostazioni locali\Dati applicazioni\Microsoft\Internet Explorer\MSIMGSIZ.DAT Object is locked skipped

c:\WINDOWS\Appunti.exe Infected: Trojan.Win32.Diamin.i skipped

c:\Programmi\Alice ti aiuta\log\mpbtn.log Object is locked skipped

c:\web.exe Infected: Trojan.Win32.LowZones.dn skipped

c:\lo1296086237.exe Infected: Trojan-Downloader.Win32.Vixup.b skipped


Cosa mi sai dire ??? Posso stare tranquilla ??? Confused
Grazie M.
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 02 Lug 2006 17:08    Oggetto: Rispondi citando
l fatto che Kaspersky ti scriva "skipped" vuolk dire che non ha cancellato quei file infetti. QUindi devi farlo tu, altrimenti poi se ci clicchi sopra ri infdetti di nuovo.

Cerca ed elimina:
c:\WINDOWS\SYSTEM\sysfind.exe
c:\WINDOWS\Desktop\rock.zip
c:\WINDOWS\Desktop\sysmon.zip
c:\WINDOWS\Appunti.exe
c:\web.exe
c:\lo1296086237.exe

Svuota il cestino e la cartella della posta eliminata in Outlook


Il log è a posto adesso. Se non vuoi infettarti di nuovo, installa un antivirus e un firewall


Ciao Smile
Top
Profilo Invia messaggio privato
*mara*
Comune mortale
Comune mortale


Registrato: 01/07/06 12:37
Messaggi: 4
MessaggioInviato: 04 Lug 2006 19:50    Oggetto: Rispondi
Fatto ...... Grazie !!

Ciao M. Very Happy
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi