|
| Precedente :: Successivo |
| Autore |
Messaggio |
lalalallala_la
Eroe
Registrato: 25/12/07 22:35
Messaggi: 42
|
 Inviato: 28 Mar 2011 15:15 Oggetto: credo che sia davvero infetto... WIN32:Ramnit-G, ecc |
 |
|
da quando mi è comparsa la finestra di un finto antivirus, nonostante abbia sempre provato a chiuderlo si è autoinstallato, faccio fatica a navigare, e avast mi segnala che firefox cerca di infettare vari file nel mio sistema, ogni minuto circa 15 file con WIN32:Ramnit-G, VBS:Exe-Dropper-Gen[trj], NSIS:Sefnit-C[drp], WIN32:Rootkit-Gen[rtk]
non riesco a fermarlo, aiutooo! grazie mille 
scansione con hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.09.13, on 28/03/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\csrss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
G:\Programmi\Intel\WiFi\bin\S24EvMon.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\Programmi\Alwil Software\Avast5\AvastSvc.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\svchost.exe
G:\Programmi\Intel\WiFi\bin\EvtEng.exe
G:\WINDOWS\system32\svchost.exe
G:\Programmi\Java\jre6\bin\jqs.exe
G:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
G:\WINDOWS\system32\nvsvc32.exe
g:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
G:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
G:\WINDOWS\system32\PnkBstrA.exe
G:\WINDOWS\system32\PnkBstrB.exe
G:\Programmi\File comuni\Intel\WirelessCommon\RegSrvc.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\wdfmgr.exe
G:\WINDOWS\system32\wbem\wmiapsrv.exe
G:\WINDOWS\System32\alg.exe
G:\WINDOWS\system32\wbem\wmiprvse.exe
G:\WINDOWS\system32\wbem\unsecapp.exe
G:\WINDOWS\system32\wscntfy.exe
G:\WINDOWS\Explorer.EXE
G:\Programmi\Alwil Software\Avast5\avastUI.exe
G:\Programmi\Synaptics\SynTP\SynTPEnh.exe
G:\Programmi\Java\jre6\bin\jusched.exe
G:\WINDOWS\RTHDCPL.EXE
G:\WINDOWS\PLFSetI.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
G:\Programmi\Intel\WiFi\bin\ZCfgSvc.exe
G:\Programmi\File comuni\Intel\WirelessCommon\iFrmewrk.exe
G:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
G:\Programmi\DivX\DivX Update\DivXUpdate.exe
G:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
G:\WINDOWS\system32\wbem\unsecapp.exe
G:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
G:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
G:\DOCUME~1\utente\IMPOST~1\Temp\RtkBtMnt.exe
G:\Programmi\Internet Explorer\iexplore.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programmi\Mozilla Firefox\firefox.exe
G:\Programmi\Mozilla Firefox\plugin-container.exe
G:\WINDOWS\system32\taskmgr.exe
G:\Documents and Settings\utente\Desktop\toolantiMaleware\HijackThis.exe
G:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,,G:\Programmi\ldeyybtt\tjvljedk.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - G:\Programmi\TextAloud\TAForIE.dll
O4 - HKLM\..\Run: [avast5] "G:\Programmi\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SynTPEnh] G:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [PLFSetI] G:\WINDOWS\PLFSetI.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] G:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "G:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [LManager] G:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "G:\Programmi\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "G:\Programmi\File comuni\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [GrooveMonitor] "G:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DivXUpdate] "G:\Programmi\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [AzMixerSel] G:\Programmi\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "G:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "G:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = G:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a Bluetooth - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Invia a periferica &Bluetooth... - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - G:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - G:\Programmi\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1261006387029
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: spba - G:\Programmi\File comuni\SPBA\homefus2.dll
O23 - Service: avast! Antivirus - AVAST Software - G:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - G:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - G:\Programmi\Intel\WiFi\bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - G:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - G:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - G:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - G:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe
O23 - Service: OracleServiceXE - Oracle Corporation - g:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
O23 - Service: OracleXEClrAgent - Unknown owner - G:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe
O23 - Service: OracleXETNSListener - Unknown owner - G:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe
O23 - Service: PnkBstrA - Unknown owner - G:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - G:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - G:\Programmi\File comuni\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - G:\Programmi\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - G:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - G:\WINDOWS\system32\DRIVERS\xaudio.exe
--
End of file - 10348 bytes |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 28 Mar 2011 17:45 Oggetto: |
|
|
Ciao. 
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste.
2) Togli la spunta: nascondi file protetti di sistema (consigliato)
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
| Citazione: | | F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,,G:\Programmi\ldeyybtt\tjvljedk.exe |
Poi, con la funzione "Cerca" di Windows, trova questa cartella: (segnata in rosso)
G:\Programmi\ldeyybtt\tjvljedk.exe
E la elimini.
Poi fai queste 2 scansioni :
Scarica e installa la versione Free di SuperAntispyware:
link
lo configuri come da immagini :
http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
Esegui una scansione completa.
Segui le istruzioni di questo topic per usare MBAM: (ricorda di aggiornarlo prima della scansione)
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.
Elimina gli eventuali file infetti trovati.
Carica i log di SuperAntispyware, MBAM, su WikiSend e posta il Forum Link che ti viene assegnato.
link
Seguiranno ulteriori istruzioni. |
|
| Top |
|
|
lalalallala_la
Eroe
Registrato: 25/12/07 22:35
Messaggi: 42
|
| Inviato: 01 Mag 2011 16:15 Oggetto: |
|
|
Scusate, sono stato via un po' .
Comunque, ricapitolando, non riuscivo quasi a far niente sul mio computer, si bloccava tutto in continuazione, adesso ho fatto quello che mi hai detto e sembra che vada meglio.
Ma quando apro firefox mi da gli stessi problemi, ho reinstallato firefox, ma il problema non si risolve. Ovvero, si creano tanti processi firefox.exe e rubano tutte le risorse di sistema, l'antivirus mi segnala che firefox.exe o altri programmi che sto usando stanno cercando di infettare vari file nel mio sistema. 
qui i logs di SAS e MBAM:
mbam-log-2011-04-16 (13-58-00).txt
SUPERAntiSpyware Scan Log - 04-09-2011 - 19-04-37.log
aspetto consigli  grazie mille  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 01 Mag 2011 16:37 Oggetto: |
|
|
Ciao.
Guarda che devi aggiornare Malwarebytes.
| Citazione: | Malwarebytes' Anti-Malware 1.46
Versione database: 4052 |
Quella versione, è di un paio d'anni fa.
Rifai la scansione completa, ed elimina quello che trova.
Posta il log. |
|
| Top |
|
|
lalalallala_la
Eroe
Registrato: 25/12/07 22:35
Messaggi: 42
|
| Inviato: 02 Mag 2011 13:25 Oggetto: |
|
|
ecco fatto!
mbam-log-2011-05-02 (12-56-44).txt
dimmi se c'è ancora qualcosa che devo fare...
ho riaperto firefox, e adesso sembra che tutto sia tornato a posto.
grazie mille! |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
|
| Top |
|
|
lalalallala_la
Eroe
Registrato: 25/12/07 22:35
Messaggi: 42
|
| Inviato: 03 Mag 2011 00:00 Oggetto: |
|
|
fatto:
link
link
grazie! |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 03 Mag 2011 18:36 Oggetto: |
 |
|
Avvia nuovamente OTL
Nel riquadro Custom Scans/Fixes incolla questo codice:
| Codice: | :OTL
[2011/03/28 15.42.09 | 000,000,000 | ---D | M] (Softonic-IT Community Toolbar) -- G:\Documents and Settings\utente\Dati applicazioni\Mozilla\Firefox\Profiles\en31ggkw.default\extensions\{e3393495-8103-46a0-8181-270273eddd60}
[2011/03/28 15.42.09 | 000,000,000 | ---D | M] (Conduit Engine) -- G:\Documents and Settings\utente\Dati applicazioni\Mozilla\Firefox\Profiles\en31ggkw.default\extensions\engine@conduit.com
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} G:\Programmi\Yahoo!\Common\Yinsthelper.dll (Installation Support)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1261006387029 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
:Files
G:\Documents and Settings\utente\Impostazioni locali\Dati applicazioni\j08mg0086088jw388
G:\Documents and Settings\All Users\Dati applicazioni\j08mg0086088jw388
G:\Documents and Settings\utente\Dati applicazioni\PriceGong
:Commands
[REBOOT] |
Clicca il bottone Run Fix e aspetta la fine delle operazioni.
Posta un log aggiornato di OTL. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
