Precedente :: Successivo |
Autore |
Messaggio |
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 15:46 Oggetto: LinkOptimizer[era:probabile trojan] [risolto] |
|
|
Un saluto generale per tutto il forum come noterete sono nuovo,
vengo subito al punto credo si essermi preso il linkoptimizer.
Ho letto i vari post che spiegavano la rimozione scaricati i vari prog.
fixlinkopt, gmer, agvpfix, fixgrom ecc...
ma non partono gli unici prog. che partono sono agvpfix e hijackthis vi allego il log.
Logfile of HijackThis v1.99.1
Scan saved at 14.18.07, on 25/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\htpatch.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\MICROS~4\GAMECO~1\common\swtrayv4.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Uruk\Desktop\tool-virus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmi\ICQ\NDetect.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programmi\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Programmi\user32.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_15.exe
O4 - HKLM\..\Run: [rxvee42c] RUNDLL32.EXE w231e99c.dll,n 003ee4290000000a231e99c
O4 - HKLM\..\Run: [newname] C:\\nwnmff_15.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Free Download Manager] C:\Programmi\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe
qualcosa son riuscito a ripulire ma non capisco perchè non mi partono i prog. sopracitati
in più all'avvio mi da un msg d'errore riguardante questo file
O4 - HKLM\..\Run: [rxvee42c] RUNDLL32.EXE w231e99c.dll,n 003ee4290000000a231e99c
grazie per l'aiuto. |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Ott 2006 16:32 Oggetto: |
|
|
Hai un simpatico Malware che registra quello che fai e che digiti sulla tastiera!
Avvia HijackThis, premi Do a system scan only e fixa queste voci:
Citazione: | R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Programmi\user32.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_15.exe
O4 - HKLM\..\Run: [rxvee42c] RUNDLL32.EXE w231e99c.dll,n 003ee4290000000a231e99c
O4 - HKLM\..\Run: [newname] C:\\nwnmff_15.exe |
Riavvia in Modalità Provvisoria (F8 al boot)
Citazione: |
Apri una cartella qualunque, vai su
Strumenti->Opzioni Cartella->scheda Visualizzazione,
spunta la voce "Visualizza cartelle e file nascosti", togli la spunta a
"Nascondi file protetti di sistema" (digli di sì). |
Cancella questi file C:\Programmi\user32.exe, C:\kybrdff_15.exe, C:\nwnmff_15.exe.
Citazione: |
Usa la ricerca di Windows e trova questo file: w231e99c.dll
(ricordati di attivare la ricerca nelle cartelle e nei file nascosti andando
in "Altre opzioni avanzate" e spuntando la voce
"Cerca nei file e nelle cartelle nascosti"). |
Se lo trovi cancellalo.
Già che ci sei fa girare sempre in Modalità Provvisoria il tool Symantec per la rimozione del Link Optimizer (FixLinkOpt.exe)
Postami un nuovo log di HijackThis e il log del tool Symantec. |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 17:05 Oggetto: |
|
|
Niente da fare...il fixlinkopt non parte, ne' in modalita' provvisoria ne' in modalita' normale.
ecco l'ultimo log fatto in modalita' provvisoria
Logfile of HijackThis v1.99.1
Scan saved at 17.57.00, on 25/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Uruk\Desktop\tool-virus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmi\ICQ\NDetect.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programmi\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Ott 2006 17:27 Oggetto: |
|
|
Allora bisogna passare alla rimozione manuale (un po' lunghetta).
Ah ho dimenticato di farti fixare una voce con HijackThis: O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe (file missing)
Già fatto girare VirIt da Modalità Provvisoria?
In Modalità Normale:
Scarica GMER da qua (dovrebbe superare il controllo del link opt.)
Avvia GMER e fai due scansioni (tasto Scan) una dal tab rootkit e l´altra dal tab autostart. Copiale tutte e due premendo il tasto Copy nei rispettivi tab e incollali in un file di testo che salverai.
Posta il contenuto di quel file di testo. |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 17:45 Oggetto: |
|
|
virit non parte in nessuna modalità nemmeno gmer.
Ti faccio presente che dal mio pc non riesco a scaricare nulla nemmeno aprire questo forum che stress... |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Ott 2006 18:00 Oggetto: |
|
|
è colpa del Link Optimizer (allora è ufficiale? ha messo anche noi nella blacklist).
Prova ad utilizzare RootkitRevealer
devi farlo girare in Modalità Normale senza fare niente con il pc... (se riesci a farlo girare salva il risultato e poi postalo). |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 18:19 Oggetto: |
|
|
mi spiace nemmeno rootkit parte |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Ott 2006 18:29 Oggetto: |
|
|
Allora prova questo
Salva il risultato su un txt, poi caricalo su questo sito http://www.mytempdir.com e posta il link al file. |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 18:48 Oggetto: |
|
|
questo parte per un secondo facendo apparire un finestra tipo prompt di dos poi più nulla. |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 25 Ott 2006 18:50 Oggetto: |
|
|
Hai già provato con entrami i tool, PrevX e Symantec?
E' strano che se ti funziona Hijackthis non partano i fix. Prova tutti i link che trovi qui, dalla modalità normale e provvisoria http://forum.zeusnews.com/viewtopic.php?t=18285 |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 19:00 Oggetto: |
|
|
si provati ieri in tutte le modalità con privilegi admin.
questi son tutti i tool che ho scaricato in 2 giorni:
avrunner
fixlinkopt
prevxfixgrom
gmer
rootkit
systemscan
fixgrom
agvpfix (questo parte)
hijackthis (questo parte)
speravo di risolvere la cosa da me senza disturbare nessuno prendendo le idee dai vari post trovati che parlavano di linkoptimizer ma nulla.... |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Ott 2006 19:08 Oggetto: |
|
|
Prova con questo (è sempre Gmer ma modificato con un Hex Editor per falsare il checksum). |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 19:21 Oggetto: |
|
|
no non parte neanche questo modificato in tutte le modalità |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 25 Ott 2006 19:26 Oggetto: |
|
|
Ultimo esperimento... è sempre GMER ma oltre ad essere modificato con l'Hex editor è pure compresso con UPX.
http://www.mytempdir.com/1015900 |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 20:05 Oggetto: |
|
|
no no
neanche questa funziona =( |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 22:11 Oggetto: |
|
|
aggiungo il report di panda fatto online
Incidente Stato Percorso
Adware:adware/sqwire Non Disinfettato c:\windows\system32\tsuninst.exe
Spyware:spyware/surfsidekick Non Disinfettato C:\Documents and Settings\Uruk\Impostazioni locali\Temporary Internet Files\Ssk.log
Adware:adware/webdir Non Disinfettato c:\windows\BHOBJ.dll
Adware:adware/dollarrevenue Non Disinfettato c:\windows\drsmartload2.dat
Adware:adware/commad Non Disinfettato c:\windows\uninstall_nmon.vbs
Adware:adware/ucmore Non Disinfettato Registro di sistema di Windows
Dialer:dialer.min Non Disinfettato HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB893839-10F0-4AF9-92FA-B23528F530AF}
Adware:adware/adwhere Non Disinfettato Registro di sistema di Windows
Spyware:spyware/petro-line Non Disinfettato Registro di sistema di Windows
Adware:adware/sgrunt Non Disinfettato Registro di sistema di Windows
Strumenti indesiderati:application/zango Non Disinfettato HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FCDF9D9-A28B-480F-8C3D-581F119A8AB8}
Adware:Adware/CommAd Non Disinfettato C:\WINDOWS\dXJ1aw\xrLYuT.vbs
Adware:Adware/Look2Me Non Disinfettato C:\WINDOWS\system32\g0jo0a13ed.dll
Adware:Adware/Look2Me Non Disinfettato C:\WINDOWS\system32\mvn0l95m1.dll |
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 25 Ott 2006 22:36 Oggetto: |
|
|
A parte che ci sarebbe anche altro da fare, comunque tornando a linkoptimizer, systemscan e avrunner, non si aprono?
Invece di Panda che non ti toglie gli Adware, fai altre due scansioni:
- kaspersky con database esteso: http://www.kaspersky.com/virusscanner
- symantec: http://security.symantec.com/fr |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 25 Ott 2006 22:53 Oggetto: |
|
|
systemscan e avrunner no non vanno
domani mattina provo kaspersky e symantec sempre se riesco ad aprire le pagine citate notte e grazie per l'aiuto |
|
Top |
|
|
Uruk Mortale pio
Registrato: 25/10/06 13:01 Messaggi: 23
|
Inviato: 26 Ott 2006 19:09 Oggetto: |
|
|
symantec non va non apro la pagina
kaspersky si ecco il report
KASPERSKY ONLINE SCANNER REPORT
Thursday, October 26, 2006 1:50:48 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 26/10/2006
Kaspersky Anti-Virus database records: 235083
Scan Settings
Scan using the following antivirus database
extended
Scan Archives
true
Scan Mail Bases
true
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\Uruk\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Uruk\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Uruk\Impostazioni locali\Cronologia\History.IE5\MSHist012006102620061027\index.dat Object is locked skipped
C:\Documents and Settings\Uruk\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Uruk\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Uruk\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Uruk\ntuser.dat Object is locked skipped
C:\Documents and Settings\Uruk\NTUSER.DAT.LOG Object is locked skipped
C:\Programmi\Panda Software\Panda Antivirus 2007\PSK_NAMES Object is locked skipped
C:\Programmi\Panda Software\Panda Antivirus 2007\PSK_NAMES2 Object is locked skipped
C:\prova\eMule0.47a-Installer.exe/stream/data0247 Infected: not-a-virus:AdWare.Win32.Webdir.b skipped
C:\prova\eMule0.47a-Installer.exe/stream Infected: not-a-virus:AdWare.Win32.Webdir.b skipped
C:\prova\eMule0.47a-Installer.exe NSIS: infected - 2 skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\atapi.sys Object is locked skipped
C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\drivers\sptd9149.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\widupdate.exe Infected: Trojan-Downloader.Win32.IstBar.pm skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
F:\Program Files\UOAM\Common.map Object is locked skipped
F:\Program Files\UOAM\readme.txt Object is locked skipped
F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
Scan process completed.
ma sono sfigato ? il 90% delle cose non riesco ad avviarle/aprirle
ps mi conviene staccare il pc infetto dalla rete? da qualche parte mi pare di aver letto che si aggiorna tramite internet almeno non dovrebbe aggiornarsi. |
|
Top |
|
|
Smjert Dio maturo
Registrato: 01/04/06 17:19 Messaggi: 1619 Residenza: Perso nella rete
|
Inviato: 26 Ott 2006 20:26 Oggetto: |
|
|
Tranquillo è normale che alcuni file non li riesca ad aprire.
Citazione: | Apri una cartella qualunque, vai su
Strumenti->Opzioni Cartella->scheda Visualizzazione,
spunta la voce "Visualizza cartelle e file nascosti", togli la spunta a
"Nascondi file protetti di sistema" (digli di sì).
|
Scarica CCleaner, installalo.
Cancella questo file da Modalità Provvisoria
C:\WINDOWS\widupdate.exe
Cancella tutti i file che ti ha trovato Panda.
Avvia CCleaner e vai su Opzioni->Avanzate, togli la spunta a "cancella file in windows temp solo se più vecchi di 48 ore", torna su Cleaner e fai Analizza, quando ha finito clicca Avvia Cleaner.
Controlla che la cartella C:\Windows\Temp sia vuota.
Ora vai sulla barra di avvio Start->Esegui->digita services.msc, ti si apre una finestra con l'elenco dei servizi, trova il servizio che ha nella colonna Connessione un nome senza senso (tra tutti i vari servizi, nella colonna Connessione dovresti avere solo Sistema Locale o Servizio di rete).
Una volta individuato cliccaci sopra con il destro, vai in Proprietà e segnati il Percorso del file eseguibile.
Segnati anche il Nome del servizio.
A questo punto sempre da Esegui dà questo comando sc stop nomeservizio (al posto di nome servizio metti quello che ti sei appuntato prima) e poi sc delete nomeservizio .
Usa di nuovo Esegui e digita control userpasswords2 ti si aprirà una finestra con una lista di account, tra quegli account c'è quello che si è creato il L.O. (quello che appariva nella colonna Connessioni), selezionalo e premi Rimuovi.
Sempre da Modalità Provvisoria prova a far partire il tool Symantec.. e se va e trova qualcosa riavvia in Modalità Normale e fai girare anche il Prevx, posta poi i due log. |
|
Top |
|
|
|