| Precedente :: Successivo |
| Autore |
Messaggio |
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
 Inviato: 26 Gen 2008 03:04 Oggetto: infosat.txt e hijackthis.log |
 |
|
come suggerito ho provveduto ad usare EliBaglA.exe ed a seguire vi riporto i 2 log:
Grazie anticipatamente a chi vorrà/potrà darmi una mano
| Citazione: | Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 1.15.01, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\FreePOPs\freepopsservice.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Inetd\inetd32.exe
C:\Programmi\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Documents and Settings\macridd\Dati applicazioni\m\flec006.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
J:\sua\HiJackThis_v2.exe
C:\Programmi\IDM Computer Solutions\UEStudio\uestudio.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [VoipStunt] "C:\Programmi\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144015689773
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/download/DownloaderActiveX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC8D61ED-98A8-483E-96D9-C8D542257772}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmi\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: FreePOPs - Unknown owner - C:\Programmi\FreePOPs\freepopsservice.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hummingbird Inetd (HCLInetd) - Hummingbird Ltd. - C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Inetd\inetd32.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 5900 bytes
|
| Citazione: | Sat Jan 26 01:18:32 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MACRIDD\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MACRIDD\DATI APPLICAZIONI\M\LIST.OCT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"
Sat Jan 26 01:18:48 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\MACRIDD\DATI APPLICAZIONI\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Sat Jan 26 01:19:10 2008
EliBagle v10.92 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\drivers\down\103828.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\104078.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\113859.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\121468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\121765.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\126484.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\129062.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\130359.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\139125.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14643000.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14653421.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14656500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14666640.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14689781.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14698468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14874296.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14881250.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\14884265.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\150781.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\154640.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\157015.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\158546.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\175671.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\188906.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29407843.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29414468.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\29415093.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\304140.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\320671.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\323062.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\65531.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\665015.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\673312.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\67781.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\74390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\74500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\77890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\78890.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\84328.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\85406.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\85578.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\85593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\86500.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\867390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\87515.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\89390.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\898125.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\89937.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\91328.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\drivers\down\96968.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\99968.EXE --> Eliminado Bagle.dldr
Nº Total de Directorios: 6418
Nº Total de Ficheros: 52980
Nº de Ficheros Analizados: 13399
Nº de Ficheros Infectados: 53
Nº de Ficheros Limpiados: 51 |
|
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 26 Gen 2008 11:19 Oggetto: |
|
|
Ciao thetys e benvenuto/a 
Elibagla non è riuscito ad eliminare tutto..
Scarica The Avenger
Scompattalo in una sua cartella in c:\
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Files to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\srosa.sys
%SystemDrive%:\WINDOWS\system32\wintems.exe
%SystemDrive%:\WINDOWS\system32\hldrrr.exe
%SystemDrive%:\DOCUMENTS AND SETTINGS\%UserProfile%\DATI APPLICAZIONI\M\FLEC006.EXE
folders to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrr
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger. Guarda poi questa discussione
relativa a Combofix, e fai la scansione del PC postando il risultato come indicato. |
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 27 Gen 2008 00:58 Oggetto: Sparito.. dileguato |
|
|
incredibile..
dopo aver usato EliBaglA.exe ed aver inviato il report di fallita eliminazione ..
sono andato a dormire. Erano quasi le 4 del mattino.
Adesso riaccendo la macchina, provo a cercare manualmente i file infetti e non li trovo.
Faccio una nuova scansione e .. NULLA nessun virus presente.
Installo nuovamente l'antivirus che il "MALEDETTO" aveva provveduto a rendere innocuo e tutto funziona come se nulla fosse mai accaduto.
BOOOOOOOOOOOO
Non so come sia potuto succedere. Se avete spiegazioni o domande da fare..
Grazie comunque per le risposte e l'interessamento. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 27 Gen 2008 09:53 Oggetto: |
|
|
E' chiaro comunque che Bagle non è attivo come prima. Ti consiglio comunque di fare questi passaggi:
| Sante62 ha scritto: |
Scarica The Avenger
Scompattalo in una sua cartella in c:\
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Files to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\srosa.sys
%SystemDrive%:\WINDOWS\system32\wintems.exe
%SystemDrive%:\WINDOWS\system32\hldrrr.exe
%SystemDrive%:\DOCUMENTS AND SETTINGS\%UserProfile%\DATI APPLICAZIONI\M\FLEC006.EXE
folders to delete:
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires
%SystemDrive%:\WINDOWS\exefld
registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrr
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger. Guarda poi questa discussione
relativa a Combofix, e fai la scansione del PC postando il risultato come indicato. |
|
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 28 Gen 2008 20:43 Oggetto: ecco il risultato... era già tutto pulito e non capisco come |
|
|
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vybgjncw
*******************
Script file located at: \??\C:\Program Files\fuomssun.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Could not open folder C::\Documents and Settings\C:\Documents and Settings\macridd\Dati applicazioni\hidires for deletion
Deletion of folder C::\Documents and Settings\C:\Documents and Settings\macridd\Dati applicazioni\hidires failed!
Could not process line:
C::\Documents and Settings\C:\Documents and Settings\macridd\Dati applicazioni\hidires
Status: 0xc000003a
Could not open folder C::\WINDOWS\exefld for deletion
Deletion of folder C::\WINDOWS\exefld failed!
Could not process line:
C::\WINDOWS\exefld
Status: 0xc000003a
Registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\rosa failed!
Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\rosa
Status: 0xc0000034
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa failed!
Could not process line:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
Status: 0xc0000034
Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrr
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrr failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate. |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 28 Gen 2008 21:30 Oggetto: |
|
|
Avenger non ha trovato i file...
Guarda questa discussione
relativa a Combofix, e fai la scansione del PC postando il risultato come indicato. Posta anche un log aggiornato di Hijackthis.
Fai anche una scansione con Systemscan e posta il log generato come
indicato quì |
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 10 Feb 2008 01:34 Oggetto: l'ultima spiaggia |
|
|
Nonostante sembra non ci sia nulla.. il pc continua a comportarsi in maniera anomala.
Allego quindi il log dell'ultimo metodo d'analisi consigliatomi, in attesa di un Vs. cortese riscontro.
Ancora Grazie
http://www.freefilehosting.net/download/3bl22 |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 10 Feb 2008 15:08 Oggetto: |
|
|
disattiva il ripristino di sistema e avvia il PC in modalità provvisoria
Avvia Hijackthis, seleziona a sinistra queste righe e clicca poi fix Checked rispondendo si:
| Citazione: | O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 4529732] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\4529732
O4 - HKLM\..\RunOnce: [ICDRegOCX0] rundll32.exe advpack.dll,RegisterOCX C:\WINDOWS\system32\LegitCheckControl.DLL
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKLM\..\RunOnce: [WMC_0] C:\WINDOWS\system32\cmd.exe /c """""C:\WINDOWS\inf\unregmp2.exe"" /ShowWMP"""
O4 - HKLM\..\RunOnce: [InstallDne] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\dneinobj.dll,ReInstallDne
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 1144087] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\1144087
O4 - HKLM\..\RunOnce: [wextract_cleanup1] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\macridd\IMPOST~1\Temp\IXP001.TMP\"
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 4008016] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\4008016
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 4042336] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\4042336
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\macridd\Desktop\EliBaglA.exe |
Riavvia il PC alla modalità normale e posta un log aggiornato di Hijackthis.
Fai la scansione con Combofix e posta il risultato come indicato in uno dei precedenti post. Dovrebbero essere residui di infezioni. |
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 10 Feb 2008 19:02 Oggetto: |
|
|
non riesco ad entrare in modalità provvisoria..
il monitor, che poi è un tv lcd va in over range.. avete dei suggerimenti?
Grazie |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 10 Feb 2008 23:24 Oggetto: |
|
|
OK, togli le righe alla modalità normale...Poi riavvia il PC e posta di nuovo il log di HJT;
Collegati a Kaspersky online scanner e procedi con la scansione estesa del PC...
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato. |
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 11 Feb 2008 00:28 Oggetto: |
|
|
allego i report..
Hijackthis:
http://www.freefilehosting.net/download/3bm41
combofix:
http://www.freefilehosting.net/download/3bm42 |
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 11 Feb 2008 00:32 Oggetto: |
|
|
kasperski...
non effettua il download..
suggerimenti?
Grazie |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 11 Feb 2008 01:11 Oggetto: |
|
|
Proviamo con BitDefender:
Disabilita il tuo antivirus
Collegati a BitDefender (con IE) e fai la scansione completa. |
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 11 Feb 2008 22:28 Oggetto: |
|
|
scansione effettuata...
a seguire il log:
BitDefender Online Scanner
Results
Identified Viruses
4
Infected Files
5
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
5
credete possa essermi liberato di questa bestia immonda??
cos'altro posso fare?
Ancora Grazie |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 11 Feb 2008 23:26 Oggetto: |
|
|
Giusto per un controllo, riesci a postare il log creato da BitDefender?
Posta anche un log aggiornato di hijackthis. |
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 12 Feb 2008 12:29 Oggetto: |
|
|
| ho salvato il log in formato html.. come faccio a mandarvelo? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 12 Feb 2008 13:54 Oggetto: |
|
|
| Segui le istruzioni di questo topic |
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 12 Feb 2008 17:53 Oggetto: |
|
|
Ok grazie..
appena arrivo a casa provvedo. |
|
| Top |
|
|
thetys
Mortale pio
Registrato: 26/01/08 02:55
Messaggi: 17
|
| Inviato: 13 Feb 2008 00:27 Oggetto: |
|
|
ecco i log..
http://www.freefilehosting.net/download/3c19g
http://www.freefilehosting.net/download/3c19h |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 13 Feb 2008 12:25 Oggetto: |
 |
|
Bitdefender qualcosa ha tolto...
Se non sbaglio ti era stato detto ti togliere queste righe con HJT, ma forse ti è sfuggito, quindi provvedi:
| Citazione: | O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 4529732] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\4529732
O4 - HKLM\..\RunOnce: [ICDRegOCX0] rundll32.exe advpack.dll,RegisterOCX C:\WINDOWS\system32\LegitCheckControl.DLL
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\macridd\IMPOST~1\Temp\IXP000.TMP\"
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\system32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKLM\..\RunOnce: [WMC_0] C:\WINDOWS\system32\cmd.exe /c """""C:\WINDOWS\inf\unregmp2.exe"" /ShowWMP"""
O4 - HKLM\..\RunOnce: [InstallDne] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\dneinobj.dll,ReInstallDne
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 1144087] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\1144087
O4 - HKLM\..\RunOnce: [wextract_cleanup1] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\macridd\IMPOST~1\Temp\IXP001.TMP\"
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 4008016] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\4008016
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 4042336] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\4042336
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\macridd\Desktop\EliBaglA.exe
|
Riavvia il PC, rifai il log con Hijackthis e dovresti essere a posto...
|
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
