Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* HELP! Come debellare Trojan definitivamente
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Padrino
Eroe
Eroe


Registrato: 09/03/06 08:38
Messaggi: 69
MessaggioInviato: 15 Apr 2006 20:27    Oggetto: Rispondi citando
Ciao Holifay,

ti riassumo quanto fatto e non:

1)Non trovo la cartella \System Volume Information\_restore

2) Su pannello di controllo, in aggiungi\rimuovi programmi, non trovo "UCmore Search Accelerator" e nemmeno "IE Menu Extension toolbar".
Sono dunque andato in esplora risorse e con la funzione cerca, ho eliminato tutto quello che comparso per UCmore.
Per quanto riguarda IE Menu Extension toolbar, non sono riuscito a trovare niente.

3) InetGet e MediaGateway sono riuscito a cancellarli.

4) Ho rimosso le chiavi indicate.

5) ho creato e avviato il file .reg

6) ATF non ha trovato nulla.
N.B.: io non ho Firefox...

7) Ho fatto tutto correttamente con Killbox.

8) Ho scaricato e avviato Blacklight, ma non ha trovato nulla.
Ti allego il log:

04/15/06 20:11:28 [Info]: BlackLight Engine 1.0.35 initialized
04/15/06 20:11:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/15/06 20:11:28 [Note]: 7019 4
04/15/06 20:11:28 [Note]: 7005 0
04/15/06 20:11:30 [Note]: 7006 0
04/15/06 20:11:30 [Note]: 7011 1052
04/15/06 20:11:30 [Note]: 7026 0
04/15/06 20:11:31 [Note]: 7026 0
04/15/06 20:11:31 [Note]: FSRAW library version 1.7.1015
04/15/06 20:11:45 [Note]: 7007 0


9) Ho fatto poi la scansione con Panda, ma risulta ancora infetto...
anche qui ti allego il log:


Incidente Stato Percorso

Adware:adware/dollarrevenue Non Disinfettato C:\WINDOWS\gimmygames.dat
Adware:adware/wupd Non Disinfettato Registro di sistema di Windows
Strumenti indesiderati:application/mywebsearch Non Disinfettato HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Adware:adware/ucmore Non Disinfettato Registro di sistema di Windows
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Cookies\nuovo@doubleclick[1].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox\Profiles\ggqpwq0a.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox\Profiles\ggqpwq0a.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Cookies\nuovo@doubleclick[1].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox\Profiles\ggqpwq0a.default\cookies.txt[]
Dialer:Dialer.GQK Non Disinfettato C:\!KillBox\backup-20060317-211020-866.inf
Dialer:Dialer.EEO Non Disinfettato C:\!KillBox\italydldl1.exe

A questo punto... dimmi tu.

Nel frattempo auguro a te e a tutti quelli che ci stanno seguendo dietro le quinte "Buona Pasqua".

Ciao e grazie
Padrino
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 16 Apr 2006 02:02    Oggetto: Rispondi citando
1. Non la puoi trovare: nascosta e di sistema. Si svuota semplicemente disattivando il ripristino di sistema

2. OK

3. devi farlo dalla modalit provvisoria e con il browser chiuso.

4. OK

5. se hai fatto il punto 4 era superfluo: fanno la stessa cosa Smile

6. ATF cancella i file delle cartelle temporanee, ma non ti comunica niente.

7. OK

8. meglio cos Wink

9. S, ma rimasta poca roba: sono pi che altro "residui". Dal log di Panda sembra che tu abbia Firefox. Se non ce l'hai puoi cancellare tutta la cartella Firefox in C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\. Io per ti consiglierei di usarlo al posto di IE.

Ti resta da cancellare qualcosa:
- C:\WINDOWS\gimmygames.dat
- i cookies da Opzioni Internet di IE
- la chiave: HKEY_CLASSES_ROOT\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
- i file di Backup di Killbox

Se desideri un log di scansione "pulito" dovrai cercare manualmente i residui rimasti. Gli adware non sono adesso attivi sul PC, ma ne rimasta qualche traccia che Panda riconosce. Puoi anche lasciare stare cos, ma se vuoi essere perfezionista:
- Per quanto riguarda Adware/Wupd cerca la chiavi nel registro elencate qui
- Per Adware/ucmore: http://vil.nai.com/vil/content/v_121378.htm

Buona Pasqua anche a te Smile
Top
Profilo Invia messaggio privato
Padrino
Eroe
Eroe


Registrato: 09/03/06 08:38
Messaggi: 69
MessaggioInviato: 17 Apr 2006 16:57    Oggetto: Rispondi citando
Buona Pasquetta Holifay,

cominciamo:

1) Ho disattivato il ripristino di sistema, ma in esplora risorse, in C: non trovo la cartella \System Volume Information\_restore
Non so che dirti... sbaglio qualcosa?

2) Ho riavviato in modalit provvisoria il pc, ma anche in questo caso nel pannelo di controllo in aggiungi\rimuovi non vedo ancora "UCmore Search Accelerator" e "IE Menu Extension toolbar".
Anche qui sbaglio qualcosa?

3) Ho cancellato Firefox (hai ragione... l'avevo installato quando me lo avevi consigliato tu perch non riuscivio ad entrare nel sito di Panda).

4) Ho cancellato:
c:\windows\gimmygames.dat
i cookies da opzioni internet di IE
la chiave .... sotto il file regedit.exe
i file di backup di killbox

5) sono andato poi a vedere nei collegamenti da te indicati, ma per cancellare le chiavi che indicano bisogna entrare nei file 3.exe e ucmoreiex.exe ma entrambi non esistono nel mio pc.
... ho sbagliato qualcosa?

8) ho fatto poi una scansione con Panda e questo il log che compare:


Incidente Stato Percorso

Dialer:dialer.akd Non Disinfettato C:\Documents and Settings\Nuovo\Menu Avvio\Programmi\WinMoviePlugIn.lnk
Dialer:dialer.cos Non Disinfettato C:\Documents and Settings\Nuovo\Documenti\WinMoviePlugIn.lnk
Adware:adware/dollarrevenue Non Disinfettato C:\WINDOWS\winsysupd51.dat
Adware:adware/wupd Non Disinfettato Registro di sistema di Windows
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Cookies\nuovo@doubleclick[1].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox\Profiles\ggqpwq0a.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox\Profiles\ggqpwq0a.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Cookies\nuovo@doubleclick[1].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox\Profiles\ggqpwq0a.default\cookies.txt[]


Ora dimmi tu se lasciare cosi o procedere.

Conclusioni e per conoscenza:

1) il pc ogni tanto genera un problema con il driver del monitor passando ad una grafica molto pessima.
A quel punto il pc mi chiede di salvare tutto e spegnerlo.

2) L'hardware dell'ADSL risulta non riconosciuto o non presente



E' il caso di fare qualche procedura che ne so, magari con il cd originale di Windows XP per ripristinare qualche ev. danneggiamento di file?
Oppure qualche diagnosi?

Grazie e ciao
Padrino
Top
Profilo Invia messaggio privato
Dexter1983
Mortale pio
Mortale pio


Registrato: 17/04/06 13:14
Messaggi: 22
MessaggioInviato: 17 Apr 2006 17:09    Oggetto: Rispondi citando
intanto fixa con hijackthis le voci che riportano la dicitura "file missing", infatti a volte i broken links mandano in palla il pc, alla fine, poi fai uno scan con ewido aggiornato, inserisci il cd di installazione di windows xp sp2 nel lettore.
start--->esegui--->sfc /purgecache e poi sempre da esegui
sfc /scannow

fammi sapere come va, senn ricorriamo a qualcosa di diverso
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 18 Apr 2006 11:58    Oggetto: Rispondi citando
Padrino ha scritto:
1) Ho disattivato il ripristino di sistema, ma in esplora risorse, in C: non trovo la cartella \System Volume Information\_restore
Non so che dirti... sbaglio qualcosa?
non mi ero spiegata bene: quando disabiliti il ripristino di sistema la cartella gi cancellata automaticamente. Viene ricreata quando lo riabiliti di nuovo

Padrino ha scritto:
2) Ho riavviato in modalit provvisoria il pc, ma anche in questo caso nel pannelo di controllo in aggiungi\rimuovi non vedo ancora "UCmore Search Accelerator" e "IE Menu Extension toolbar".
Anche qui sbaglio qualcosa?
No, non sbagli tu, probabilmente le voci sono state cancellate a livello di registro: dimenticale

Padrino ha scritto:
3) Ho cancellato Firefox (hai ragione... l'avevo installato quando me lo avevi consigliato tu perch non riuscivio ad entrare nel sito di Panda).
Ma io comunque ti consiglio di tenerlo al posto di IE! Se invece non lo vuoi usare, cancella la sua cartella C:\Documents and Settings\Nuovo\Dati applicazioni\Mozilla\Firefox. Se lo usi basta svuotare la cartella dei file temporanei

Padrino ha scritto:
4) Ho cancellato:
c:\windows\gimmygames.dat
i cookies da opzioni internet di IE
la chiave .... sotto il file regedit.exe
i file di backup di killbox
Bene Smile

Padrino ha scritto:
5) sono andato poi a vedere nei collegamenti da te indicati, ma per cancellare le chiavi che indicano bisogna entrare nei file 3.exe e ucmoreiex.exe ma entrambi non esistono nel mio pc.
... ho sbagliato qualcosa?
No, come sopra: se non trovi quello indicato perch i vari AV, Ewido e tool vari che hai usato li hanno gi cacnellati

Padrino ha scritto:
8 ) ho fatto poi una scansione con Panda e questo il log che compare:

Dialer:dialer.akd C:\Documents and Settings\Nuovo\Menu Avvio\Programmi\WinMoviePlugIn.lnk

Vai nella cartella C:\Documents and Settings\Nuovo\Menu Avvio\Programmi e trascina il file WinMoviePlugIn.lnk sopra una finestra gi aperta del blocco note. Leggi cosa c' all'interno e poi per favore copialo/incollalo qui. Quel file poi da eliminare: un residuo, spero inattivo, del Dialer Sfonditalia. Mi raccomando di non avviarlo per errore (doppio click). Cerca anceh sul PC tutti file con nome WinMoviePlugIn.lnk e explorer.lnk ed eliminali.

La cosa strana che ad ogni scansione Panda rileva dollarrevenue in un file dat che sembra cambiare nome. Adesso winsysupd51.dat. Sad
Ovviamente da eliminare, ma prima guarda la data di creazione del file, per capire se in effetti stato creato recentemente o no.

Per puro scrupolo, anche se penso che non trover niente, scarica smitfrautfix.zip e decomprimilo sul desktop. Poi dalla modalit provvisoria avvia il file smitfrautfix.cmd e segui le istruzioni. Alle domande con la risposta o/n rispondi o (oui). Poi posta qui il report finale (c:\smitfiles.txt)

Sarica anche Datfinder. All'interno troverai un semplice file batch (bat). Avvialo e premi Invio 3 volte. Ti salver 4 log. Posta qui il loro contenuto non per intero ma solo quei file che hanno una data recente, diciamo 4 mesi (sono in ordine di data decrescente)

Padrino ha scritto:
E' il caso di fare qualche procedura che ne so, magari con il cd originale di Windows XP per ripristinare qualche ev. danneggiamento di file? Oppure qualche diagnosi?

S. sarebbe utile. Come forse ti avevo consigliato prima potresti digitare da una finestra DOS sfc /scannow per la verifica dell'integrit di sistema. Oppure anche avviare dal CD di Xp e selezionare l'opzione "Ripara".

Ciao
Top
Profilo Invia messaggio privato
Padrino
Eroe
Eroe


Registrato: 09/03/06 08:38
Messaggi: 69
MessaggioInviato: 18 Apr 2006 22:33    Oggetto: Rispondi citando
18/04/06

Ciao Holifay,

vediamo oggi quanto segue:

1) Ho cancellato la cartella ...\mozilla\firefox

2) Ho cancellato tutti i file WinMoviePlugIn.lnk trovati e questo il log che mi da nel blocco notes:

L  F@ ? M` )a ?nR6   PO :i +00 /C:\ @ 1 4g !KILLBOX (   マ4g4  ! K i l l B o x  P 2 6 2;? ITALYD~1.EXE 4   マ4ၐ4  i t a l y d l d l 1 . e x e  I    - H   /' C:\!KillBox\italydldl1.exe . . \ . . \ . . \ ! K i l l B o x \ i t a l y d l d l 1 . e x e  C : \ ! K i l l B o x \ i t a l y d l d l 1 . e x e   %SystemDrive%\!KillBox\italydldl1.exe  `w l ?wzwr      ? [K|r         }J|      ?a J|
  ?|??|D l?|q?|% S y s t e m D r i v e % \ ! K i l l B o x \ i t a l y d l d l 1 . e x e   w ?  P w}|P  ?  Ds|  f??|, UVw??|kw P  tlw  ?| }|P  y?|Lݽ|  |}|  }|  \ | }| P h  2?| X   @? @ \ D ? ?|8?|2?|?|?| 8 T s \ A l l U s e r s \ D o c u m e n t i \ V i d e o  ?a  +gw4    ?| 4 t t p : / / w w w . s f o n d i t a l i a . b i z / m e m b e r s


Ho cancellato anche tutti i file explorer.lnk trovati.

3) winsysupd51.dat trovato e cancellato (l'ultima modifica di questo file risulta essere stata fatta nel 05/02/06).

4) smitfrautfix ti allego il report:

SmitFraudFix v2.31

Scan done at 22.08.11,84, 18/04/2006
Run from C:\Documents and Settings\Nuovo\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Versione 5.1.2600]

Killing process


Deleting infected files


Deleting Temp Files


Registry Cleaning

Registry Cleaning done.

End


5) Datfinder questi sono i log:

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 18FD-272F

Directory di C:\WINDOWS\system32

18/04/2006 21.10 12.208 wpa.dbl
17/04/2006 16.16 2.550 Uninstall.ico
17/04/2006 16.16 1.406 Help.ico
17/04/2006 16.16 30.590 pavas.ico
17/04/2006 14.59 147.495 rmocx.dll
17/04/2006 14.59 24.576 rmoc3260.dll
12/04/2006 23.53 0 asfiles.txt
07/04/2006 23.51 896.910 PerfStringBackup.INI
07/04/2006 23.51 62.158 perfc010.dat
07/04/2006 23.51 376.840 perfh009.dat
07/04/2006 23.51 52.044 perfc009.dat
07/04/2006 23.51 421.704 perfh010.dat
05/04/2006 03.34 23.392 nscompat.tlb
05/04/2006 03.34 16.832 amcompat.tlb
02/04/2006 10.20 269 spupdwxp.log
02/04/2006 10.20 243.128 FNTCACHE.DAT
12/03/2006 13.12 25.065 wmpscheme.xml
12/03/2006 13.00 25.044 $winnt$.inf
12/03/2006 12.56 488 WindowsLogon.manifest
12/03/2006 12.56 488 logonui.exe.manifest
12/03/2006 12.56 749 wuaucpl.cpl.manifest
12/03/2006 12.56 749 sapi.cpl.manifest
12/03/2006 12.56 749 cdplayer.exe.manifest
12/03/2006 12.56 749 nwc.cpl.manifest
12/03/2006 12.56 749 ncpa.cpl.manifest
12/03/2006 12.55 22.996 emptyregdb.dat
12/03/2006 12.54 550 mapisvc.inf
12/03/2006 12.51 62 OEMINFO.INI
09/03/2006 16.21 4.799.320 MRT.exe
14/02/2006 09.20 550.120 LegitCheckControl.dll
10/02/2006 11.43 287.170 SrchSTS.exe
08/02/2006 02.46 18.432 xpsp3res.dll
01/02/2006 04.49 3.033.088 mshtml.dll
30/01/2006 18.53 2.934 CONFIG.NT
27/01/2006 23.38 503.296 aswBoot.exe
27/01/2006 23.30 90.112 AVASTSS.scr
20/01/2006 20.01 0 TFTP1600
15/01/2006 12.00 0 TFTP2252
09/01/2006 20.01 1.492.992 shdocvw.dll
09/01/2006 20.01 613.376 urlmon.dll
09/01/2006 20.01 1.056.256 danim.dll
09/01/2006 20.01 39.424 pngfilt.dll
09/01/2006 20.01 96.768 inseng.dll
09/01/2006 20.01 530.944 mstime.dll
09/01/2006 20.01 146.432 msrating.dll
09/01/2006 20.01 55.808 extmgr.dll
09/01/2006 20.01 448.512 mshtmled.dll
09/01/2006 20.01 205.312 dxtrans.dll
09/01/2006 20.01 660.992 wininet.dll
09/01/2006 20.01 251.392 iepeers.dll
09/01/2006 20.01 474.624 shlwapi.dll
09/01/2006 20.01 151.552 cdfview.dll
09/01/2006 20.01 1.022.976 browseui.dll
09/01/2006 10.36 40.960 swsc.exe
09/01/2006 10.36 42.496 swreg.exe
08/01/2006 15.53 0 NvApps.xml
04/01/2006 05.35 68.096 webclnt.dll

Poi:

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 18FD-272F

Directory di C:\DOCUME~1\Nuovo\IMPOST~1\Temp

Poi:

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 18FD-272F

Directory di C:\WINDOWS

18/04/2006 22.08 4.784 setupact.log
18/04/2006 22.07 944.486 ntbtlog.txt
18/04/2006 22.07 2.048 bootstat.dat
18/04/2006 22.06 50 wiaservc.log
18/04/2006 22.06 12.254 SchedLgU.Txt
18/04/2006 22.06 275 wiadebug.log
18/04/2006 22.06 0 0.log
18/04/2006 22.03 1.088.054 WindowsUpdate.log
18/04/2006 22.03 3.826 ModemLog_Agere Win Modem.txt
18/04/2006 21.48 2.837 KB908531.log
18/04/2006 21.47 2.730 KB911562.log
18/04/2006 21.43 2.827 KB912812.log
18/04/2006 21.30 2.538 KB911567.log
17/04/2006 16.16 32 pavsig.txt
14/04/2006 21.49 433.819 setupapi.log
12/04/2006 23.52 679 win.ini
07/04/2006 23.55 2.804 COM+.log
05/04/2006 21.07 54.156 QTFont.qfn
05/04/2006 21.07 1.409 QTFont.for
05/04/2006 21.04 31.879 spupdsvc.log
05/04/2006 19.36 40.267 wmsetup.log
05/04/2006 19.36 56.887 KB911565.log
05/04/2006 19.17 0 nsreg.dat
05/04/2006 19.17 2.266 mozver.dat
05/04/2006 18.49 63.708 ntdtcsetup.log
05/04/2006 18.49 16.101 KB904942.log
05/04/2006 18.49 12.975 ocmsn.log
05/04/2006 18.49 74.628 iis6.log
05/04/2006 18.49 183.336 tsoc.log
05/04/2006 18.49 1.355 imsins.log
05/04/2006 18.49 103.225 comsetup.log
05/04/2006 18.49 36.208 updspapi.log
05/04/2006 18.49 473.830 FaxSetup.log
05/04/2006 18.49 239.244 ocgen.log
05/04/2006 18.49 23.866 msgsocm.log
05/04/2006 18.49 1.355 imsins.BAK
05/04/2006 18.49 18.021 KB912945.log
05/04/2006 18.41 690 OEWABLog.txt
05/04/2006 03.34 464 wmsetup10.log
05/04/2006 03.34 316.640 WMSysPr9.prx
05/04/2006 01.12 10.171 KB900930.log
05/04/2006 01.12 9.774 KB887797.log
04/04/2006 22.06 7.664 ModemLog_Lucent Win Modem.txt
04/04/2006 21.48 17.456 KB905915.log
04/04/2006 21.48 36.775 KB904706.log
04/04/2006 21.47 9.990 KB885250.log
04/04/2006 21.47 10.023 KB887742.log
04/04/2006 21.47 9.563 KB887472.log
04/04/2006 21.47 5.853 KB886185.log
04/04/2006 21.47 3.178 KB885884.log
02/04/2006 10.24 115 DtcInstall.log
02/04/2006 10.21 12.920 setuplog.txt
02/04/2006 05.44 433.904 svcpack.log
02/04/2006 05.44 227.861 KB913446.log
02/04/2006 05.44 223.393 KB910437.log
02/04/2006 05.44 233.809 KB911927.log
02/04/2006 05.44 232.983 KB912919.log
02/04/2006 05.44 232.214 KB908519.log
02/04/2006 05.44 229.601 KB896424.log
02/04/2006 05.43 231.332 KB900725.log
02/04/2006 05.43 224.178 KB905749.log
02/04/2006 05.43 223.635 KB905414.log
02/04/2006 05.43 221.906 KB901017.log
02/04/2006 05.43 232.017 KB902400.log
02/04/2006 05.43 215.075 KB896423.log
02/04/2006 05.43 214.151 KB899587.log
02/04/2006 05.43 213.053 KB899591.log
02/04/2006 05.43 213.944 KB893756.log
02/04/2006 05.43 212.609 KB896358.log
02/04/2006 05.42 217.316 KB890859.log
02/04/2006 05.42 211.338 KB901214.log
02/04/2006 05.42 209.298 KB896428.log
02/04/2006 05.42 209.960 KB896422.log
02/04/2006 05.42 210.700 KB890046.log
02/04/2006 05.42 209.223 KB885835.log
02/04/2006 05.42 199.635 KB888113.log
02/04/2006 05.42 199.706 KB891781.log
02/04/2006 05.42 199.814 KB888302.log
02/04/2006 05.42 199.353 KB885836.log
02/04/2006 05.42 199.183 KB873339.log
02/04/2006 05.39 200 cmsetacl.log
02/04/2006 05.38 218 sessmgr.setup.log

Ed infine:

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 18FD-272F

Directory di C:\

18/04/2006 22.11 0 sys.txt
18/04/2006 22.11 9.976 system.txt
18/04/2006 22.10 134 systemtemp.txt
18/04/2006 22.10 104.105 system32.txt
18/04/2006 22.08 428 rapport.txt
18/04/2006 22.06 402.653.184 pagefile.sys
18/04/2006 22.03 0 log0.txt
02/04/2006 05.39 210 boot.ini
02/04/2006 05.35 47.564 NTDETECT.COM
02/04/2006 05.35 251.072 ntldr
12/03/2006 12.57 0 AUTOEXEC.BAT
11/03/2006 10.13 62 error.txt

6) Ora provo a fare l'operazione ripara con il cd di Windows XP.

Ciao e attendo tue notizie.

Grazie
Padrino
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 18 Apr 2006 23:01    Oggetto: Rispondi citando
Ciao. posta per favore tutti e 4 i log con i file degli ultimi 3-4 mesi, non solo il primo Smile

Cerca anche se trovi il file Italydldl1.exe rimasto per caso da qualche parte Rolling Eyes
Top
Profilo Invia messaggio privato
Padrino
Eroe
Eroe


Registrato: 09/03/06 08:38
Messaggi: 69
MessaggioInviato: 19 Apr 2006 07:38    Oggetto: Rispondi citando
Holifay,

Se trovo Italydldl1.exe lo devo cancellare?

Ciao a dopo.

Padrino
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 19 Apr 2006 15:00    Oggetto: Rispondi citando
Padrino ha scritto:
Holifay,

Se trovo Italydldl1.exe lo devo cancellare?

Ciao a dopo.

Padrino



S, certamente Smile

sottoponi a scansione online su virusscan.jotti.org questi file in C:\WINDOWS\system32. Credo siano da eliminare.

nscompat.tlb
amcompat.tlb

Poi non hai postato i log con i file degli ultimi 3-4 mesi...
Top
Profilo Invia messaggio privato
Padrino
Eroe
Eroe


Registrato: 09/03/06 08:38
Messaggi: 69
MessaggioInviato: 19 Apr 2006 19:05    Oggetto: Rispondi citando
Ciao Holifay,

ti trasmetto quanto segue:

1) Italydldl1.exe trovato e cancellato.

2) Ho fatto la scansione dei due file da te indicat, ma non risultano infettati (mi da OK in verde).
N.B.: io non li ho cancellati; lo devo fare?

3) Ti trasmetto i 4 log:

I log:

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 18FD-272F

Directory di C:\WINDOWS\system32

18/04/2006 21.10 12.208 wpa.dbl
17/04/2006 16.16 2.550 Uninstall.ico
17/04/2006 16.16 1.406 Help.ico
17/04/2006 16.16 30.590 pavas.ico
17/04/2006 14.59 147.495 rmocx.dll
17/04/2006 14.59 24.576 rmoc3260.dll
12/04/2006 23.53 0 asfiles.txt
07/04/2006 23.51 376.840 perfh009.dat
07/04/2006 23.51 52.044 perfc009.dat
07/04/2006 23.51 62.158 perfc010.dat
07/04/2006 23.51 896.910 PerfStringBackup.INI
07/04/2006 23.51 421.704 perfh010.dat
06/04/2006 21.48 5.143.456 MRT.exe
05/04/2006 03.34 16.832 amcompat.tlb
05/04/2006 03.34 23.392 nscompat.tlb
02/04/2006 10.20 269 spupdwxp.log
02/04/2006 10.20 243.128 FNTCACHE.DAT
17/03/2006 11.11 679.424 inetcomm.dll
17/03/2006 06.03 8.481.280 shell32.dll
17/03/2006 02.38 28.672 verclsid.exe
12/03/2006 13.12 25.065 wmpscheme.xml
12/03/2006 13.00 25.044 $winnt$.inf
12/03/2006 12.56 488 WindowsLogon.manifest
12/03/2006 12.56 488 logonui.exe.manifest
12/03/2006 12.56 749 nwc.cpl.manifest
12/03/2006 12.56 749 ncpa.cpl.manifest
12/03/2006 12.56 749 wuaucpl.cpl.manifest
12/03/2006 12.56 749 sapi.cpl.manifest
12/03/2006 12.56 749 cdplayer.exe.manifest
12/03/2006 12.55 22.996 emptyregdb.dat
12/03/2006 12.54 550 mapisvc.inf
12/03/2006 12.51 62 OEMINFO.INI
14/02/2006 09.20 550.120 LegitCheckControl.dll
10/02/2006 11.43 287.170 SrchSTS.exe
08/02/2006 02.46 18.432 xpsp3res.dll
01/02/2006 04.49 3.033.088 mshtml.dll
30/01/2006 18.53 2.934 CONFIG.NT
27/01/2006 23.38 503.296 aswBoot.exe
27/01/2006 23.30 90.112 AVASTSS.scr
20/01/2006 20.01 0 TFTP1600
15/01/2006 12.00 0 TFTP2252
09/01/2006 20.01 96.768 inseng.dll
09/01/2006 20.01 55.808 extmgr.dll
09/01/2006 20.01 530.944 mstime.dll
09/01/2006 20.01 146.432 msrating.dll
09/01/2006 20.01 205.312 dxtrans.dll
09/01/2006 20.01 448.512 mshtmled.dll
09/01/2006 20.01 1.056.256 danim.dll
09/01/2006 20.01 613.376 urlmon.dll
09/01/2006 20.01 251.392 iepeers.dll
09/01/2006 20.01 660.992 wininet.dll
09/01/2006 20.01 151.552 cdfview.dll
09/01/2006 20.01 1.022.976 browseui.dll
09/01/2006 20.01 39.424 pngfilt.dll
09/01/2006 20.01 474.624 shlwapi.dll
09/01/2006 20.01 1.492.992 shdocvw.dll
09/01/2006 10.36 40.960 swsc.exe
09/01/2006 10.36 42.496 swreg.exe
08/01/2006 15.53 0 NvApps.xml
04/01/2006 05.35 68.096 webclnt.dll


II log:

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 18FD-272F

Directory di C:\DOCUME~1\Nuovo\IMPOST~1\Temp

19/04/2006 18.33 1.332 jusched.log
1 File 1.332 byte
0 Directory 44.070.633.472 byte disponibili


III log:

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 18FD-272F

Directory di C:\WINDOWS

19/04/2006 18.37 8.366 ModemLog_Agere Win Modem.txt
19/04/2006 18.36 0 0.log
19/04/2006 18.33 157 wiadebug.log
19/04/2006 18.33 2.048 bootstat.dat
19/04/2006 18.32 1.165.496 WindowsUpdate.log
19/04/2006 18.32 13.730 SchedLgU.Txt
19/04/2006 18.32 50 wiaservc.log
19/04/2006 18.23 3.753 KB912812.log
18/04/2006 22.59 4.844 setupact.log
18/04/2006 22.35 77.619 iis6.log
18/04/2006 22.35 109.465 comsetup.log
18/04/2006 22.35 247.992 ocgen.log
18/04/2006 22.35 492.306 FaxSetup.log
18/04/2006 22.35 67.503 ntdtcsetup.log
18/04/2006 22.35 1.374 imsins.log
18/04/2006 22.35 14.133 ocmsn.log
18/04/2006 22.35 11.890 KB908531.log
18/04/2006 22.35 24.793 msgsocm.log
18/04/2006 22.35 438.316 setupapi.log
18/04/2006 22.35 190.413 tsoc.log
18/04/2006 22.35 37.063 updspapi.log
18/04/2006 22.35 1.374 imsins.BAK
18/04/2006 22.35 11.432 KB911562.log
18/04/2006 22.35 10.538 KB911567.log
18/04/2006 22.07 944.486 ntbtlog.txt
17/04/2006 16.16 32 pavsig.txt
12/04/2006 23.52 679 win.ini
07/04/2006 23.55 2.804 COM+.log
05/04/2006 21.07 54.156 QTFont.qfn
05/04/2006 21.07 1.409 QTFont.for
05/04/2006 21.04 31.879 spupdsvc.log
05/04/2006 19.36 56.887 KB911565.log
05/04/2006 19.36 40.267 wmsetup.log
05/04/2006 19.17 0 nsreg.dat
05/04/2006 19.17 2.266 mozver.dat
05/04/2006 18.49 16.101 KB904942.log
05/04/2006 18.49 18.021 KB912945.log
05/04/2006 18.41 690 OEWABLog.txt
05/04/2006 03.34 464 wmsetup10.log
05/04/2006 03.34 316.640 WMSysPr9.prx
05/04/2006 01.12 10.171 KB900930.log
05/04/2006 01.12 9.774 KB887797.log
04/04/2006 22.06 7.664 ModemLog_Lucent Win Modem.txt
04/04/2006 21.48 17.456 KB905915.log
04/04/2006 21.48 36.775 KB904706.log
04/04/2006 21.47 9.990 KB885250.log
04/04/2006 21.47 10.023 KB887742.log
04/04/2006 21.47 9.563 KB887472.log
04/04/2006 21.47 5.853 KB886185.log
04/04/2006 21.47 3.178 KB885884.log
02/04/2006 10.24 115 DtcInstall.log
02/04/2006 10.21 12.920 setuplog.txt
02/04/2006 05.44 433.904 svcpack.log
02/04/2006 05.44 227.861 KB913446.log
02/04/2006 05.44 223.393 KB910437.log
02/04/2006 05.44 233.809 KB911927.log
02/04/2006 05.44 232.983 KB912919.log
02/04/2006 05.44 232.214 KB908519.log
02/04/2006 05.44 229.601 KB896424.log
02/04/2006 05.43 231.332 KB900725.log
02/04/2006 05.43 224.178 KB905749.log
02/04/2006 05.43 223.635 KB905414.log
02/04/2006 05.43 221.906 KB901017.log
02/04/2006 05.43 232.017 KB902400.log
02/04/2006 05.43 215.075 KB896423.log
02/04/2006 05.43 214.151 KB899587.log
02/04/2006 05.43 213.053 KB899591.log
02/04/2006 05.43 213.944 KB893756.log
02/04/2006 05.43 212.609 KB896358.log
02/04/2006 05.42 217.316 KB890859.log
02/04/2006 05.42 211.338 KB901214.log
02/04/2006 05.42 209.298 KB896428.log
02/04/2006 05.42 209.960 KB896422.log
02/04/2006 05.42 210.700 KB890046.log
02/04/2006 05.42 209.223 KB885835.log
02/04/2006 05.42 199.635 KB888113.log
02/04/2006 05.42 199.706 KB891781.log
02/04/2006 05.42 199.814 KB888302.log
02/04/2006 05.42 199.353 KB885836.log
02/04/2006 05.42 199.183 KB873339.log
02/04/2006 05.39 200 cmsetacl.log
02/04/2006 05.38 218 sessmgr.setup.log
31/03/2006 23.56 36.351 KB914798.log
31/03/2006 23.56 38.558 KB911564.log
31/03/2006 23.55 34.680 KB905915-IE6SP1-20051122.175908.log
31/03/2006 23.55 35.270 KB835409.log
31/03/2006 23.54 30.344 KB905495.log
31/03/2006 23.51 687 xpsp1hfm.log
31/03/2006 23.51 9.589 KB835732.log
31/03/2006 23.50 2.066 vminst.log
31/03/2006 20.59 8.088 WGA.log
31/03/2006 20.59 7.984 KB898461.log
31/03/2006 20.59 9.762 KB893803v2.log
31/03/2006 20.58 5.609 KB842773.log
31/03/2006 20.58 0 setuperr.log
17/03/2006 21.26 0 Sti_Trace.log
12/03/2006 12.57 299.552 WMSysPrx.prx
12/03/2006 12.57 4.161 ODBCINST.INI
12/03/2006 12.56 749 WindowsShell.Manifest
12/03/2006 12.50 340 system.ini
12/03/2006 12.41 1.454 UPGRADE.TXT
26/02/2006 17.55 212 ComicKicker.ini
24/02/2006 19.03 7.605 cdplayer.ini
21/02/2006 19.47 217 scnfan.dll
05/02/2006 14.16 0 myupdates1.dat
23/01/2006 18.51 311 d.ini
15/01/2006 17.23 65.536 DUMP4ffd.tmp

IV log:

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 18FD-272F

Directory di C:\

19/04/2006 18.55 0 sys.txt
19/04/2006 18.55 9.976 system.txt
19/04/2006 18.54 287 systemtemp.txt
19/04/2006 18.54 104.155 system32.txt
19/04/2006 18.33 0 log0.txt
19/04/2006 18.33 267.964.416 hiberfil.sys
19/04/2006 18.33 402.653.184 pagefile.sys
18/04/2006 22.08 428 rapport.txt
02/04/2006 05.39 210 boot.ini
02/04/2006 05.35 251.072 ntldr
02/04/2006 05.35 47.564 NTDETECT.COM
12/03/2006 12.57 0 AUTOEXEC.BAT
11/03/2006 10.13 62 error.txt
13/11/2005 20.29 43.796 PANDA.RPT
05/11/2005 13.40 424 wincupdater.exe
24/04/2005 14.49 141 temp.bat
30/10/2004 21.19 1.578.736 AVG6DB_F.DAT
01/05/2004 12.37 13 win.log
27/02/2004 13.41 535 debugInstaller.txt
10/09/2002 12.00 4.952 Bootfont.bin
09/01/2002 15.54 0 CONFIG.SYS
09/01/2002 15.54 0 IO.SYS
09/01/2002 15.54 0 MSDOS.SYS
23 File 672.659.951 byte
0 Directory 44.070.633.472 byte disponibili


4) Tanto per fare qualcos'altro ho provato a fare l'operazione con il cd di Windows XP e ho fatto cosi:
- ho riacceso il pc ed ho premuto F8 al boot;
- ho avviato il pc dal cd con chiaramente il cd di Windows XP all'interno;
- Ho premuto "R" di ripristina;
- mi ha chiesto che tipo di Windows volevo ripristinare e dato che la scelta poteva solo che essere quella proposta ho premuto 1 (indicava C:\WINDOWS)
- ha fatto quello che doveva fare e poi ha terminato molto velocemente.

Ora per l'Hardware dell'ADSL non la vede ancora e ogni tanto mi si blocca l'immaggine nel video con conseguente necessit di riavviare.

Cosa dici?
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 20 Apr 2006 16:26    Oggetto: Rispondi citando
Dove lo hai trovato il file Italydldl1.exe?

Ti consiglio di verificare anche questi file, con la scansione online di jotti o quella di www.virustotal.com. Tra parentesi ti metto i nomi dei malware a cui possono essere associati quei nomi. Vero che come prima per amcompat.tlb e nscompat.tlb gli stessi file possono esere del tutto legittimi

C:\
- wincupdater.exe (Troj.Dropper.XE)

C:\WINDOWS
- scnfan.dll (Troj/Dloader.Agent.ZF)
- ComicKicker.ini (?)
- d.ini (Troj/Dloader-OH)

Infine fai un ultimo controllo sugli ADS e poi dovresti essere a posto: leggi la parte della guida che parla degli "Alternate Data Streams" e posta un log se trova qualcosa: http://www.zeusnews.it/index.php3?ar=stampa&cod=4696

Imposta le opzioni come da figura:
- togli il flag da "Quick Scan"
- metti il flag su "Ignore safe system info"



Per quanto riguarda il riconoscimento di periferiche hardware ti consiglio di postare sul forum "Hardware" dove potranno aiutarti meglio Rolling Eyes

Ciao
Top
Profilo Invia messaggio privato
Padrino
Eroe
Eroe


Registrato: 09/03/06 08:38
Messaggi: 69
MessaggioInviato: 21 Apr 2006 22:19    Oggetto: Rispondi citando
Ciao Holifay,

1) il file Italydldl1.exe ... non ricordo dove l'ho trovato... ma l'ho eliminato.

2) Ho fatto una scansione per ogni file con jotti, ma sono risultati tutti OK.
Io comunque non li ho eliminati.

3) infine ho tentato di fare un controllo degli ADS, ma come premo scan mi compare questo messaggio: "alternate data streams (ADS) are only possible on NTFS systems".
Dimmi tu...

Come procediamo a questo punto?

4) Per gli hardware poster sicuramente sul forum.

Fammi sapere.

Ciao
Padrino
Top
Profilo Invia messaggio privato
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 22 Apr 2006 19:28    Oggetto: Rispondi
Padrino ha scritto:
2) Ho fatto una scansione per ogni file con jotti, ma sono risultati tutti OK. Io comunque non li ho eliminati.

hai fatto benissimo

Padrino ha scritto:
3) infine ho tentato di fare un controllo degli ADS, ma come premo scan mi compare questo messaggio: "alternate data streams (ADS) are only possible on NTFS systems". Dimmi tu...

Ha, hai il fat32? Davo per scontato che avessi NTFS... OK, tutto a posto cos allora

Padrino ha scritto:
Come procediamo a questo punto?

Per quanto mi riguarda il PC adesso pulito. L'importante mantenerlo cs', quindi ti posso solo esortare a tenere aggiornato Ewido (manualmente) e Adaware e utilizzarli periodicamente. Allo stesso modo meglio fare ogni tanto una scansione online anche con uno di questi antivirus (a rotazione):
- Panda
- Kaspersky
- Trend Micro (housecall)

Io poi penserei seriamente ad installare un firewall migliore di quello di XP: Zone Alarm, Kerio o Outpost. Sono tutti free. La grossa differenza rispetto a quello integrato in windows che bloccano molto meglio il traffico in uscita per cui molto pi facile accorgersi della presenza di qualche trojan.

Se infine usi un browser come Opera o Firefox invece che IE e come client di Posta Thunderbird invece che Outlook, vedrai che il numero di infezioni che troveranno i vari software saranno molti di meno.

Ripulire il PC dopo una infestazione massiccia compito molto difficile e a volte impossibile, tanto che pu essere necessario formattare. Se invece viene controllato periodicamente e si elimina dall'inizio la prima fonte di infezione i danni sono minimi o del tutto nulli.

Ciao e in bocca al lupo Smile
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a Precedente  1, 2, 3
Pagina 3 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi