Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Internet Explorer KO
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 19 Feb 2008 23:19    Oggetto: Internet Explorer KO Rispondi citando

Ciao a tutti! è la prima volta che scrivo in questo forum perchè ho un problema abbastanza serio con il computer e spero di riuscire a risolverlo grazie a l vostro aiuto...come sistema operativo ho windows XP e da tre giorni Internet Explorer sembra completamente impazzito, è impossibile connettersi e quando ci riesco le pagine si chiudono improvvisamente oppure restano completamente bianche (come incantate) e temo sia opera di qualche virus.
Ho già effettuato delle scansioni con hijackthis e gmer! posto qui di seguito i logs sperando possano essere utili per diagnosticare qualcosa Crying or Very sad GRAZIE DAVVERO A CHIUNQUE SI INTERESSERA' A QUESTO CASO Crying or Very sad Crying or Very sad Crying or Very sad

Il log di hijack è il seguente:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.19.37, on 19/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\db\slserver52\bin\swagent.exe
C:\CFusionMX\db\slserver52\bin\swstrtr.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\CFusionMX\db\slserver52\bin\swsoc.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe
O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe
O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe

--
End of file - 4322 bytes



Il logs di gmer:

[URL="http://www.freefilehosting.net/files/3c9df"]GMER13.txt[/URL]

[URL="http://www.freefilehosting.net/files/3c9dg"]GMER25.txt[/URL]
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 20 Feb 2008 12:22    Oggetto: Rispondi citando

Ciao viciccio Ciao e benvenuto...
C'è un rootkit che ovviamente non si vede dai log...
Scarica e fai le scansioni con questi tool:
Virit
Aggiornalo mediante l'icona della parabola posta nella barra in alto e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato;
Combofix
e posta il risultato come indicato;
Norman Malware Cleaner
disattiva il ripristino di sistema e avvia il PC in modalità provvisoria
Avvia Norman Malware Cleaner.
Viene generato un log sul desktop chiamandolo NFix_2008-01-gg_hh-mm-ss.log, alla fine della scansione postalo qui.
Alla fine di tutto posta anche un log di HJT aggiornato...

Ciao
Top
Profilo Invia messaggio privato
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 21 Feb 2008 21:48    Oggetto: Rispondi citando

Ciao Sante grazie per il benvenuto e soprattutto per il soccorso.
Passo subito ad elencarti i risultati sperando di aver eseguito tutto correttamente Confused



VIRIT

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Programmi\File comuni\Microsoft Shared\Web Folders\dc6795.tmp Infetto da Trojan.Win32.Dialer.JS
* * * RIMOSSO * * *

Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 102608.
Files Totali: 102608.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.





COMBOFIX


ComboFix 08-02-17.2 - Gallo 2008-02-21 0.01.40.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.251 [GMT 1:00]
Eseguito da: C:\Documents and Settings\Gallo\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\autorun.inf
F:\MS32DLL.dll.vbs

.
((((((((((((((((((((((((( Files Creati Da 2008-01-20 al 2008-02-20 )))))))))))))))))))))))))))))))))))
.

2008-02-20 20:36 . 2008-02-14 21:04 39,808 --a------ C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-02-20 20:35 . 2008-02-20 22:30 <DIR> d-------- C:\VEXPLITE
2008-02-19 18:00 . 2008-02-19 18:00 <DIR> d-------- C:\Programmi\Avira
2008-02-19 18:00 . 2008-02-19 18:00 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Avira
2008-02-19 17:55 . 2004-08-03 22:31 20,992 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2008-02-19 17:55 . 2004-08-03 22:31 20,992 --a--c--- C:\WINDOWS\system32\dllcache\rtl8139.sys
2008-02-17 21:11 . 2008-02-17 21:11 268 --ah----- C:\sqmdata04.sqm
2008-02-17 21:11 . 2008-02-17 21:11 244 --ah----- C:\sqmnoopt04.sqm
2008-02-17 18:02 . 2008-02-19 21:31 250 --a------ C:\WINDOWS\gmer.ini
2008-02-17 16:57 . 2008-02-17 16:57 <DIR> d-------- C:\Programmi\Trend Micro
2008-02-17 15:49 . 2008-02-17 15:50 <DIR> d-------- C:\Programmi\Webteh
2008-02-17 15:47 . 2008-02-17 15:47 <DIR> d-------- C:\Programmi\Windows Live Favorites
2008-02-16 23:07 . 2007-12-18 10:51 179,584 --a------ C:\WINDOWS\system32\drivers\mrxdav.sys
2008-02-16 23:06 . 2007-12-04 19:40 550,912 --a------ C:\WINDOWS\system32\oleaut32.dll
2008-02-16 20:44 . 2008-02-16 20:44 268 --ah----- C:\sqmdata03.sqm
2008-02-16 20:44 . 2008-02-16 20:44 244 --ah----- C:\sqmnoopt03.sqm
2008-02-16 20:34 . 2008-02-16 20:34 268 --ah----- C:\sqmdata02.sqm
2008-02-16 20:34 . 2008-02-16 20:34 244 --ah----- C:\sqmnoopt02.sqm

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-18 22:32 --------- d-----w C:\Documents and Settings\Gallo\Dati applicazioni\uTorrent
2008-02-17 14:51 --------- d-----w C:\Programmi\CDex_150
2008-02-17 14:50 --------- d-----w C:\Programmi\Babylon(2)
2008-02-17 14:50 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Babylon
2008-02-17 14:49 --------- d-----w C:\Programmi\Webteh(2)
2008-02-17 14:49 --------- d-----w C:\Programmi\MediaCoder
2008-02-17 14:47 --------- d-----w C:\Programmi\Windows Live Toolbar
2008-02-17 13:41 --------- d-----w C:\Documents and Settings\Gallo\Dati applicazioni\Babylon
2008-02-13 08:19 --------- d-----w C:\Documents and Settings\Gallo\Dati applicazioni\AdobeUM
2007-12-07 01:06 662,016 ----a-w C:\WINDOWS\system32\wininet.dll
2007-08-18 17:56 2,293,712 ----a-w C:\Programmi\FLV PlayerFCSetup.exe
2007-08-18 17:53 3,655,608 ----a-w C:\Programmi\FLV PlayerRCATSetup.exe
2007-08-18 17:51 411,248 ----a-w C:\Programmi\FLV PlayerRCSetup.exe
2007-07-23 20:31 92,064 ----a-w C:\Documents and Settings\Gallo\mqdmmdm.sys
2007-07-23 20:31 9,232 ----a-w C:\Documents and Settings\Gallo\mqdmmdfl.sys
2007-07-23 20:31 79,328 ----a-w C:\Documents and Settings\Gallo\mqdmserd.sys
2007-07-23 20:31 66,656 ----a-w C:\Documents and Settings\Gallo\mqdmbus.sys
2007-07-23 20:31 6,208 ----a-w C:\Documents and Settings\Gallo\mqdmcmnt.sys
2007-07-23 20:31 5,936 ----a-w C:\Documents and Settings\Gallo\mqdmwhnt.sys
2007-07-23 20:31 4,048 ----a-w C:\Documents and Settings\Gallo\mqdmcr.sys
2007-07-23 20:31 25,600 ----a-w C:\Documents and Settings\Gallo\usbsermptxp.sys
2007-07-23 20:31 22,768 ----a-w C:\Documents and Settings\Gallo\usbsermpt.sys
2005-08-26 13:12 961 ----a-w C:\Programmi\uninstal.log
2005-08-15 09:17 1,112 ----a-w C:\Documents and Settings\Gallo\Dati applicazioni\ViewerApp.dat
2001-11-23 12:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\audio3d.dll
2005-10-23 21:10 56 --sh--r C:\WINDOWS\system32\0A3923CD42.sys
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe" [2005-09-08 10:06 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2006-01-14 14:31 98304]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe" [2004-08-19 14:39 160256]
"avgnt"="C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-19 18:03 249896]
"VIRIT LITE MONITOR"="C:\VEXPLITE\MONLITE.EXE" [2008-02-14 20:39 245760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:39 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.exe.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^FotoStation Easy AutoLaunch.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\FotoStation Easy AutoLaunch.lnk
backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2002-01-28 17:16 1228800 C:\WINDOWS\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Reminder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 14:39 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Matrox Powerdesk]
--a------ 2001-09-21 17:35 622592 C:\WINDOWS\system32\PDesk\PDesk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 17:24 1694208 C:\Programmi\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCLEUSBTip]
C:\Programmi\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--------- 2003-11-10 15:06 406016 C:\WINDOWS\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-01-14 14:31 98304 C:\Programmi\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2004-11-02 19:24 32768 C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WService]
--a------ 2002-09-07 11:23 28672 C:\WINDOWS\system32\WService.exe

R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\system32\drivers\VIRAGTLT.SYS [2008-02-14 21:04]
R2 ColdFusion MX ODBC Agent;ColdFusion MX ODBC Agent;C:\CFusionMX\db\slserver52\bin\swagent.exe "ColdFusion MX ODBC Agent" []
R2 viritsvclite;Virit eXplorer Lite;C:\VEXPLITE\viritsvc.exe [2007-10-10 12:12]
R3 G550DH;G550DH;C:\WINDOWS\system32\DRIVERS\g550dhm.sys [2001-09-28 19:13]
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 21:41]
S3 UtilNT;UtilNT;C:\WINDOWS\system32\drivers\UtilNT.sys [2000-04-18 00:32]

*Newly Created Service* - VIRAGTLT
.
Contenuto della cartella 'Scheduled Tasks'
"2008-02-20 19:49:00 C:\WINDOWS\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job"
- C:\Programmi\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-21 00:07:13
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-02-21 0.08.10
ComboFix-quarantined-files.txt 2008-02-20 23:07:37
ComboFix2.txt 2008-02-19 20:00:09
ComboFix3.txt 2008-02-18 12:58:11
ComboFix4.txt 2008-02-17 20:05:48
.
2008-02-19 13:34:11 --- E O F ---




NORMAN MALWARE CLEAR

Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/02/13 17:04:03

Norman Scanner Engine Version: 5.91.10
Nvcbin.def Version: 5.90.00, Date: 2008/02/13 17:04:03, Variants: 1304976

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode) Service Pack 2
Logged on user: X-B48249A42CD84\Gallo


Scan started: 21/02/2008 00:26:35


Scanning running processes and process memory...

Number of processes/threads found: 653
Number of processes/threads scanned: 653
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 5m 3s


Scanning file system...

Scanning: C:\*.*

C:\Program Files\C-Media\WIN_ME\Setup.exe (Infected with W32/Malware.BJPY)
Deleted file

C:\QooBox\Quarantine\F\autorun.inf.vir (Infected with VBS/Solow.C)
Deleted file

C:\QooBox\Quarantine\F\MS32DLL.dll.vbs.vir (Infected with VBS/Solow.B)
Deleted file

Scanning: c:\System Volume Information\*.*


Running post-scan cleanup routine:

Number of files found: 160966
Number of archives unpacked: 350
Number of files scanned: 160946
Number of files not scanned: 20
Number of files skipped due to exclude list: 0
Number of infected files found: 3




Number of infected files repaired/deleted: 3
Number of infections removed: 3
Total scanning time: 1h 34m 44s





HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.59.31, on 21/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\db\slserver52\bin\swagent.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\CFusionMX\db\slserver52\bin\swstrtr.exe
C:\CFusionMX\db\slserver52\bin\swsoc.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe
O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe
O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe

--
End of file - 4455 bytes




Ne uscirò mai?!? Confused Confused Confused
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 22 Feb 2008 00:57    Oggetto: Rispondi citando

C'è il rootkit che non riesco a identificare...
fai la scansione con Systemscan e posta il log generato come
indicato quì
Top
Profilo Invia messaggio privato
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 23 Feb 2008 00:51    Oggetto: Rispondi citando

Ecco Sad [URL="http://www.freefilehosting.net/files/3cd4h"]report71.txt[/URL]
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 23 Feb 2008 01:38    Oggetto: Rispondi citando

A quanto ho capito si trova nel boot di sistema quindi perfettamente nascosto;

Se non sbaglio possiedi Virit;
altrimenti scaricalo da quì
Aggiornalo mediante l'icona della parabola posta nella barra in alto e fagli fare la scansione completa del PC però dalla modalità provvisoria questa volta;
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato. So che è capace di analizzare anche il boot quindi vediamo che cosa trova....
Top
Profilo Invia messaggio privato
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 23 Feb 2008 18:16    Oggetto: Rispondi citando

Praticamente niente Crying or Very sad

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

[D:]


[C:]
BOOT SECTOR: OK



Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 103102.
Files Totali: 103102.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.


Comunque non riesco ad aggirnarlo con l'icona della parabola anche perchè ormai mi è impossibile collegarmi a internet... quando vado in "Opzioni Internet" mi spunta un messaggio del tipo si è verificata un'eccezione durante l'esecuzione di "C:\WINDOWS\system32\shell32.dll,Controll_RunDLL"C:\WINDOWS\system32\inetcpl.cpl",Opzioni Internet"
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 23 Feb 2008 18:50    Oggetto: Rispondi citando

Posta un log di Hijackthis....
Top
Profilo Invia messaggio privato
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 23 Feb 2008 18:56    Oggetto: Rispondi citando

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.55.04, on 23/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\db\slserver52\bin\swagent.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\CFusionMX\db\slserver52\bin\swstrtr.exe
C:\CFusionMX\db\slserver52\bin\swsoc.exe
C:\WINDOWS\system32\mgabg.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ColdFusion MX Application Server - Macromedia Inc. - C:\CFusionMX\runtime\bin\jrunsvc.exe
O23 - Service: ColdFusion MX ODBC Agent - Unknown owner - C:\CFusionMX\db\slserver52\bin\swagent.exe
O23 - Service: ColdFusion MX ODBC Server - Unknown owner - C:\CFusionMX\db\slserver52\bin\swstrtr.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe

--
End of file - 4496 bytes
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 23 Feb 2008 19:30    Oggetto: Rispondi citando

Il log sembra sempre pulito....
Scarica AVG Anti Rootkit

E semplice da utilizzare, dopo aver installato il file di setup è sufficiente cliccare sul pulsante Search for rootkits e attendere che venga completata la scansione. Posta il relativo risultato...
Top
Profilo Invia messaggio privato
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 23 Feb 2008 20:02    Oggetto: Rispondi citando

Congratulations! There were no istalled rootkits found on your computer.

Forse più che un tool serve un esorcista Sad
Top
Profilo Invia messaggio privato
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 23 Feb 2008 20:16    Oggetto: Rispondi citando

Sono riuscito miracolosamente a connettermi e ad aggiornare Virit, faccio una nuova scansione... magari e la volta buona che concludo qualcosa! Confused incrociate le dita, le gambe, gli alluci e qualsiasi cosa vi capiti a tiro per me Crying or Very sad
Top
Profilo Invia messaggio privato
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 24 Feb 2008 13:20    Oggetto: Rispondi citando

Niente da fare anche aggiornando Virit il risultato non cambia Crying or Very sad
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 24 Feb 2008 15:42    Oggetto: Rispondi citando

ciao Smile

Per caso ti è arrivato qualche aggiornamento Windows prima che IE ha cominciato a fare le "bizze"?
Top
Profilo Invia messaggio privato
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 24 Feb 2008 16:06    Oggetto: Rispondi citando

Ciao! guarda Confused ricordo che nei primi giorni del disastro mi compariva all'accensione un messaggio che diceva qualcosa tipo "sono arrivati importanti aggiornamenti per la protezione di windows bla-bla-bla"... però controllando in istallazione applicazioni l'ultimo aggiornamento risale ai primi giorni di gennaio! Rolling Eyes purtroppo dopo una settimana di declino psicologico comincio ad avere qualche problemino di memoria ma credo di essere stato io a rimuovere l'aggiornamento di febbraio temendo fosse la causa dei casini con IE
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 24 Feb 2008 16:43    Oggetto: Rispondi citando

Aspetta, ferma tutto....
Stavo dando un'occhiata al tuo log di SystemScan per cercare di capire qualcosa e guarda cosa ho visto:
Citazione:
===================== MASTER BOOT RECORD =====================


device: opend sucessfully
user: MBR read sucessfully
kernel: MBR read sucessfully
MBR infecton detected !
INT 0x13 hook detected !

Shocked

una brutta bestiolina direi


Symantec ha rilasciato un tool apposito di rimozione
* scarica il tool e salvalo sul desktop
* Disabilita il ripristino di configurazione
* Chiudi tutti i programmi aperti e disconnettiti da internet
* Doppio clic su FixMebroot.exe per avviare il tool di rimozione
* Clicca Start per iniziare la scansione
* alla fine della procedura riavvia il Pc

Se hai difficoltà ad avviare il tool in mod. normale prova dalla modalità provvisoria
Top
Profilo Invia messaggio privato
viciccio
Mortale pio
Mortale pio


Registrato: 19/02/08 22:40
Messaggi: 18

MessaggioInviato: 24 Feb 2008 17:27    Oggetto: Rispondi citando

OHMIODDDDIOOOO!!!!

SI E' AGGIUSTATO!!! Surprised o almeno sembra! non mi dà più errore quando visito le proprietà internet, riesco a connettermi perfettamente e il computer non è più lento come prima Hypno Surprised ROTFL Hypno Surprised ROTFL Hypno Surprised ROTFL mi sento mancare! GRAZIE, GRAZIE, GRAZIE, GRAZIE!!!

e ora cosa devo fare!?! non è che tra 5 minuti torna tutto come prima?!? devo fare qualche altra scansione per essere sicuro?!? cosa? cosa? cosa? Razz sono troppo felicissimo!
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 24 Feb 2008 17:29    Oggetto: Rispondi

Giusto per sicurezza, collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi