Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* Win32\adware.Virtumonde.CLI
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 29 Dic 2007 16:27    Oggetto: * Win32\adware.Virtumonde.CLI Rispondi citando
AIUTOOO! ! ! ! è da un paio di settimane ke ho installato nod32 e mi rileva questo virus ( se di questo si tratta ). Non so + ke fare . . . . quando lo rileva ho provato a cancellarlo, a metterlo in quarantena, ma ad ogni riavvio si ripresenta. Ho anche il log di hickjack ma non ci capisco niente.

Citazione:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.23.57, on 29/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\cisvc.exe
D:\WINDOWS\system32\CTsvcCDA.EXE
D:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programmi\NOD32\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\oodag.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
D:\Programmi\NOD32\nod32kui .exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programmi\PeerGuardian2\pg2.exe
D:\Programmi\eMule\emule.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\cidaemon.exe
D:\Programmi\Mozilla Firefox\firefox.exe
D:\WINDOWS\explorer.exe
D:\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = D:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe (file missing)
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kasperskyitalia.it/servizi/kavscanner/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABC1BB96-7F69-40B6-A641-3CB985ADB17C}: NameServer = 85.37.17.50 85.38.28.76
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\NOD32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\system32\oodag.exe

--
End of file - 4400 bytes



spero che si risolva tutto al + presto.

come programmi ho :
nod32, S&D , spywareblaster, ad-ware, hickajck.


p.s. scusate se non mi sono presentato , non so dove farlo Embarassed Embarassed Embarassed
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 30 Dic 2007 10:16    Oggetto: Rispondi citando
Ciao wertyu Smile
Salva questo file sul desktop.
Avvia il pc in modalità provvisoria.
Esegui il programma appena scaricato.
Al termine, riavvia il pc in modalità normale e posta qui il log generato.
Inoltre guarda questa discussione relativa a Combofix e fai la scansione del PC. Alla fine posta il risultato come indicato, insieme ad un nuovo log di HJT.
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 30 Dic 2007 13:33    Oggetto: Rispondi citando
Sante62 ha scritto:
Ciao wertyu Smile
Salva questo file sul desktop.


quando clicco per salvare quel file mi si apre l'alalrme di nod32 !!!

Rolling Eyes Rolling Eyes Rolling Eyes Rolling Eyes Rolling Eyes Rolling Eyes Rolling Eyes
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 30 Dic 2007 15:24    Oggetto: Rispondi citando
Si, ho dimenticato di dirti di disattivare momentaneamente il tuo antivirus, mantre fai questo tipo di scansioni. Laughing
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 30 Dic 2007 17:17    Oggetto: Rispondi citando
ma l'allarme parte appena clicco sul quel sito ke hai messo tu, ancora non l'ho scaricato.

nod mi individua un virus Win32\PrcView applicazione e quindi kiudo la pagina e non lo salva.

ma se mi dici ke è normale lo scarico.
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 30 Dic 2007 18:36    Oggetto: Rispondi citando
Si certo, scaricalo....muoversi! Laughing
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 31 Dic 2007 00:11    Oggetto: Rispondi citando
l'ho csaricato sul desktop, riavvio in modalità provvisoria e avvio il programma ma mi compare un messaggio di errore dicendomi ke non è un'applicazione di win32 valida.

non mi parte nemmeno combofix !!! stessa cosa: applicazione di win32 non valida


se utilizzo vundofix è lo stesso ??? Confused Confused Confused
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 31 Dic 2007 00:24    Oggetto: Rispondi citando
wertyu ha scritto:
se utilizzo vundofix è lo stesso ??? Confused Confused Confused
provaci, tanto male non fà.. Smile
Il messaggio "non è un'applicazione di win32 valida" potrebbe indicare che il file che hai scaricato non è completo... Prova a disattivare tutti i tuoi programmi di sicurezza e ripetere il download.
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 31 Dic 2007 01:15    Oggetto: Rispondi citando
ALLORA
stavolta sembra ke combofix l'abbia scaricato bene, per quanto riguarda virtumubegone ( o na cosa del genere . . . . Rolling Eyes Rolling Eyes quello del primo link per capirci ) la barra di download si carica tutta e poi mi compare la scritta : connessione al server interrotta in modo anomalo. Confused Confused Confused Confused Confused

cmq ho scaricato vundofix e adesso li avvio . . . . . vi posterò pressto i log.
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 31 Dic 2007 02:49    Oggetto: Rispondi citando
rieccomi dopo il lavoro . . . . . non ci capisco niente però il pc va + veloce Very Happy Very Happy Very Happy speriamo bene.

iniziamo col log di vundofix

Citazione:

VundoFix V6.7.7

Checking Java version...

Sun Java not detected
Scan started at 00.21.02 31/12/2007

Listing files found while scanning....

D:\WINDOWS\system32\opqss.ini
D:\WINDOWS\system32\opqss.ini2
D:\WINDOWS\system32\ssqpo.dll

Beginning removal...

Beginning removal...

Attempting to delete D:\WINDOWS\system32\opqss.ini
D:\WINDOWS\system32\opqss.ini Has been deleted!

Attempting to delete D:\WINDOWS\system32\opqss.ini2
D:\WINDOWS\system32\opqss.ini2 Has been deleted!

Attempting to delete D:\WINDOWS\system32\ssqpo.dll
D:\WINDOWS\system32\ssqpo.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...


qui il log di combofix
Citazione:
ComboFix 07-12-31.4 - Tiralongo 2007-12-31 1.30.12.1 - FAT32x86
Eseguito da: D:\Documents and Settings\Tiralongo.A102B79942F6477\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINDOWS\Downloaded Program Files\p4a5dl
D:\WINDOWS\system32\bjkptuox.ini
D:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((((( Files Creati Da 2007-11-28 al 2007-12-31 )))))))))))))))))))))))))))))))))))
.

2007-12-31 01:29 . 2000-08-31 08:00 51,200 --a------ D:\WINDOWS\NirCmd.exe
2007-12-30 00:47 . 2007-12-30 00:47 24,576 --a------ D:\WINDOWS\system32\VundoFixSVC.exe
2007-12-29 23:27 . 2007-12-29 23:27 <DIR> d-------- D:\VundoFix Backups
2007-12-27 14:58 . 2004-08-19 15:39 15,360 --a------ D:\WINDOWS\system32\dllcache\ctfmon.exe
2007-12-27 14:58 . 2004-08-19 15:39 15,360 --a------ D:\WINDOWS\system32\ctfmon.exe
2007-12-27 02:03 . 2007-12-27 03:01 4,212 ---h----- D:\WINDOWS\system32\zllictbl.dat
2007-12-27 01:59 . 2007-12-27 01:59 <DIR> d-------- D:\WINDOWS\Internet Logs
2007-12-26 22:43 . 2007-12-26 22:43 <DIR> d--hs---- D:\FOUND.000
2007-12-26 03:04 . 2007-12-26 03:04 <DIR> d-------- D:\Programmi\NOD32
2007-12-26 03:04 . 2007-12-26 03:04 512,096 --a------ D:\WINDOWS\system32\drivers\amon.sys
2007-12-26 03:04 . 2007-12-26 03:04 298,104 --a------ D:\WINDOWS\system32\imon.dll
2007-12-26 03:04 . 2007-12-26 03:04 15,424 --a------ D:\WINDOWS\system32\drivers\nod32drv.sys
2007-12-23 01:41 . 2007-12-23 01:41 <DIR> d-------- D:\WINDOWS\system32\Kaspersky Lab
2007-12-22 16:16 . 2007-12-22 16:16 <DIR> d-------- D:\HijackThis
2007-12-22 00:42 . 2007-10-11 00:49 6,065,664 --------- D:\WINDOWS\system32\dllcache\ieframe.dll
2007-12-22 00:42 . 2007-07-01 04:31 2,455,488 --------- D:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-12-22 00:42 . 2007-07-01 04:36 1,032,192 --------- D:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-12-22 00:42 . 2007-10-11 00:49 459,264 --------- D:\WINDOWS\system32\dllcache\msfeeds.dll
2007-12-22 00:42 . 2007-10-11 00:49 383,488 --------- D:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-12-22 00:42 . 2007-10-11 00:49 267,776 --------- D:\WINDOWS\system32\dllcache\iertutil.dll
2007-12-22 00:42 . 2007-10-11 00:49 63,488 --------- D:\WINDOWS\system32\dllcache\icardie.dll
2007-12-22 00:42 . 2007-10-11 00:49 52,224 --------- D:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-12-22 00:42 . 2007-10-10 11:59 13,824 --------- D:\WINDOWS\system32\dllcache\ieudinit.exe
2007-12-22 00:28 . 2007-12-22 00:28 <DIR> d-------- D:\WINDOWS\system32\it-it
2007-12-21 23:42 . 2007-08-13 18:54 33,792 --a------ D:\WINDOWS\system32\dllcache\custsat.dll
2007-12-21 22:58 . 2007-12-21 22:58 <DIR> d-------- D:\WINDOWS\ServicePackFiles
2007-12-21 22:57 . 2004-07-17 11:40 19,528 --a------ D:\WINDOWS\000001_.tmp
2007-12-21 20:30 . 2005-11-13 16:59 <DIR> d--h----- D:\Documents and Settings\Administrator\Risorse di stampa
2007-12-21 20:30 . 2005-11-13 16:59 <DIR> d--h----- D:\Documents and Settings\Administrator\Risorse di rete
2007-12-21 20:30 . 2005-11-13 16:59 <DIR> d-------- D:\Documents and Settings\Administrator\Preferiti
2007-12-21 20:30 . 2005-11-13 16:59 <DIR> d--h----- D:\Documents and Settings\Administrator\Modelli
2007-12-21 20:30 . 2005-11-13 16:59 <DIR> dr------- D:\Documents and Settings\Administrator\Menu Avvio
2007-12-21 20:30 . 2005-11-13 16:59 <DIR> d--h----- D:\Documents and Settings\Administrator\Impostazioni locali
2007-12-21 20:30 . 2005-11-13 16:59 <DIR> d-------- D:\Documents and Settings\Administrator\Documenti
2007-12-21 20:30 . 2005-11-13 16:59 <DIR> dr-h----- D:\Documents and Settings\Administrator\Dati applicazioni
2007-12-21 18:49 . 2007-12-28 12:10 155,648 --a------ D:\WINDOWS\system32\NeroCheck .exe
2007-12-21 18:49 . 2007-12-29 13:13 15,360 --a------ D:\WINDOWS\system32\ctfmon .exe
2007-12-21 18:48 . 2007-12-31 01:33 13,386 --a------ D:\WINDOWS\system32\OODBS.lor
2007-12-21 18:38 . 2007-12-21 18:38 <DIR> d-------- D:\WINDOWS\system32\NtmsData
2007-12-21 17:15 . 2007-12-21 17:16 <DIR> d-------- D:\Documents and Settings\Tiralongo.A102B79942F6477\Dati applicazioni\RegClean
2007-12-21 10:28 . 2007-12-21 10:28 <DIR> d-------- D:\WINDOWS\system32\oodag
2007-12-21 10:14 . 2007-12-21 10:14 <DIR> d-------- D:\Programmi\OO Software
2007-12-20 23:32 . 2007-12-20 23:32 1,682 --ahs---- D:\WINDOWS\system32\KGyGaAvL.sys
2007-12-20 23:32 . 2007-12-20 23:32 56 -r-hs---- D:\WINDOWS\system32\6A3CA5F08A.sys
2007-12-20 23:01 . 2007-12-20 23:01 <DIR> d-------- D:\Programmi\PcMedik
2007-12-14 01:05 . 2007-12-14 01:05 <DIR> d-------- D:\Documents and Settings\Tiralongo.A102B79942F6477\Dati applicazioni\Sports Interactive
2007-12-14 00:46 . 2007-12-14 00:46 <DIR> d--h----- D:\Documents and Settings\Tiralongo.A102B79942F6477\InstallAnywhere
2007-11-29 15:22 . 2007-11-29 15:22 74,752 --a------ D:\WINDOWS\temp.000
2007-11-29 15:22 . 2007-11-29 15:22 519 --a------ D:\WINDOWS\ST6UNST.002
2007-11-29 15:20 . 2007-11-29 15:22 7,237 --a------ D:\WINDOWS\ST6UNST.001
2007-11-26 10:57 . 2007-12-15 15:05 25 --a------ D:\WINDOWS\SIERRA.INI
2007-11-17 23:25 . 2007-11-17 23:25 <DIR> d-------- D:\Programmi\Alcohol Soft
2007-11-17 23:25 . 2004-08-23 13:20 158,720 --a------ D:\WINDOWS\system32\drivers\a347bus.sys
2007-11-17 23:25 . 2004-04-30 09:33 5,248 --a------ D:\WINDOWS\system32\drivers\a347scsi.sys
2007-11-17 11:04 . 2007-10-25 17:42 8,489,472 --------- D:\WINDOWS\system32\dllcache\shell32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-29 14:23 74,752 ----a-w D:\WINDOWS\ST6UNST.EXE
2007-11-29 14:23 253,952 ------w D:\WINDOWS\Setup1.exe
2007-10-31 03:53 3,590,656 ------w D:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-10 23:49 824,832 ------w D:\WINDOWS\system32\dllcache\wininet.dll
2007-10-10 23:49 671,232 ------w D:\WINDOWS\system32\dllcache\mstime.dll
2007-10-10 23:49 478,208 ------w D:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-10 23:49 44,544 ------w D:\WINDOWS\system32\dllcache\iernonce.dll
2007-10-10 23:49 384,512 ------w D:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-10-10 23:49 27,648 ------w D:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-10 23:49 232,960 ------w D:\WINDOWS\system32\dllcache\webcheck.dll
2007-10-10 23:49 230,400 ------w D:\WINDOWS\system32\dllcache\ieaksie.dll
2007-10-10 23:49 214,528 ------w D:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-10 23:49 193,024 ------w D:\WINDOWS\system32\dllcache\msrating.dll
2007-10-10 23:49 153,088 ------w D:\WINDOWS\system32\dllcache\ieakeng.dll
2007-10-10 23:49 132,608 ------w D:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-10 23:49 124,928 ------w D:\WINDOWS\system32\dllcache\advpack.dll
2007-10-10 23:49 105,984 ------w D:\WINDOWS\system32\dllcache\url.dll
2007-10-10 23:49 102,400 ------w D:\WINDOWS\system32\dllcache\occache.dll
2007-10-10 23:49 1,159,680 ------w D:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-10 11:01 70,656 ------w D:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-10-10 11:01 625,152 ------w D:\WINDOWS\system32\dllcache\iexplore.exe
2007-10-10 05:46 161,792 ------w D:\WINDOWS\system32\dllcache\ieakui.dll
.
Codice:

----a-w            15,360 2007-12-29 12:13:06  D:\WINDOWS\system32\ctfmon .exe
----a-w           155,648 2007-12-28 11:10:02  D:\WINDOWS\system32\NeroCheck .exe
----a-w            99,840 2007-12-28 11:10:02  D:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0T1 .EXE
----a-w         1,694,208 2007-12-22 00:56:50  D:\Programmi\Messenger\msmsgs .exe
----a-w           307,200 2007-12-25 01:24:42  D:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager .exe
----a-w           463,360 2007-12-28 11:10:06  D:\Programmi\SlySoft\AnyDVD\AnyDVD .exe
----a-w           949,376 2007-12-28 11:10:10  D:\Programmi\NOD32\nod32kui .exe
----a-w           171,448 2007-12-27 11:23:02  D:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier .exe



((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4D10C07E-1B9C-411F-805C-B32288DA654A}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2004-10-29 16:50 4620288]
"NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 16:50 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqqnnk]
urqqnnk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjet32]
winjet32.dll

.
Contenuto della cartella 'Scheduled Tasks'
"2007-12-29 02:30:02 D:\WINDOWS\Tasks\RegClean Scheduled Scan.job"
- D:\Programmi\RegClean\RegClean.ex
- D:\Programmi\RegClea
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 01:34:39
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: D:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> D:\Programmi\NOD32\pr_imon.dll
.
Ora fine scansione: 2007-12-31 1:36:06 - machine was rebooted
D:\qoobox\ComboFix-quarantined-files.txt 2007-12-31 00:36:02
.
2007-12-21 23:47:17 --- E O F ---



e per terminare il log di Hijackthis
Citazione:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.39.30, on 31/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTsvcCDA.EXE
D:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programmi\NOD32\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\oodag.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programmi\NOD32\nod32kui .exe
D:\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D10C07E-1B9C-411F-805C-B32288DA654A} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = D:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe (file missing)
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kasperskyitalia.it/servizi/kavscanner/kavwebscan_unicode.cab
O20 - Winlogon Notify: urqqnnk - urqqnnk.dll (file missing)
O20 - Winlogon Notify: winjet32 - winjet32.dll (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\NOD32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\system32\oodag.exe

--
End of file - 4478 bytes



grazie per gli aiuti . . . . . . adesso aspetto la vostra opinione Wink Wink Wink
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 31 Dic 2007 10:29    Oggetto: Rispondi citando
Pare sia rimasto ancora qualcosa che non riesco a inquadrare bene...
Avvia HjT e seleziona a sinistra queste righe:
Citazione:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe (file missing)
O20 - Winlogon Notify: urqqnnk - urqqnnk.dll (file missing)
O20 - Winlogon Notify: winjet32 - winjet32.dll (file missing)

Clicca fix Checked e rispondi si.
Fai anche questi passaggi:
Scansione con GMER
Ricorda che i log di GMER sono due: Autostart e Rootkit. Poi riavvia il PC e rifai il log di HjT.
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 31 Dic 2007 14:17    Oggetto: Rispondi citando
rieccomi

1° LOG

edit by bdoriano: log rimosso perché incompleto.
I logs vanno caricati su FreeFileHosting come indicato qui.
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 31 Dic 2007 14:28    Oggetto: Rispondi citando
scusa . . . . . troppo lungo il messaggio Laughing Laughing Laughing

li ho hostati e ti metto il diret link


1° LOG
link


2° LOG
link


e per finire HIJACKTHIS
link


a te la parola adesso Wink Wink Wink
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 31 Dic 2007 14:54    Oggetto: Rispondi citando
Bene, pare nulla di pericoloso nei log.
Nel frattempo metti anche un firewall sceglendone uno tramite questa discussione per maggiore protezione.
Collegati a Kaspersky online scanner
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus ed eventualmente anche il firewall. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato.
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 31 Dic 2007 15:20    Oggetto: Rispondi citando
non mi parte la scansione con kaspersky

guarda ---> link

ho controllato la sicurezza nelle opzioni internet ed è a livello medio-alto.

e quello ke uso è l'unico acocunt in windows xkè se vado in cambia utente non me ne compare un altro.

Confused Confused Confused Confused Confused Confused
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 31 Dic 2007 15:24    Oggetto: Rispondi citando
Imposta la sicurezza a livello medio, e riprova. Altrimenti la scansione falla con Panda Active Scan, la procedura e più o meno la stessa....
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 31 Dic 2007 15:37    Oggetto: Rispondi citando
ho messo a livello medio ma no mi parte ugualmente.

adesso provo con panda.


p.s. di firewall avevo zonealarm pro. l'avevo installato la settimana scorsa e disinstallato dopo 2 ore xkè mi kiedeva sempre cosa fare ( permetti o blocca ) ai processi ke si avviavano quando accendevo il pc e ( non conoscendo bene cosa erano ) spesso mi affidavo a ciò ke mi diceva e il pc si bloccava.
qualke suggerimento Rolling Eyes Rolling Eyes Rolling Eyes Rolling Eyes

edit: non mi fa collegare al sito di panda. mi dice impossibile visualizzare la pagina Sad Sad Sad
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 31 Dic 2007 16:12    Oggetto: Rispondi citando
Allora sicuramente dipende dal firewall. Ricorda che vanno configurati correttamente, altrimenti risulta impossibile navigare. Installati nuovamente Zone Alarm anche quello free. Sugli accessi dipende anche da quello che hai installato. Ovviamente devi conoscere tu stesso che cosa c'è nel tuo PC. Inizialmente i processi di sistema principali devono partire, solo in caso di forti dubbi negare l'accesso. Poi se spunti la casella Consenti sempre, non ti chiederà più l'autorizzazione all'accesso per quel programma.
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 31 Dic 2007 16:16    Oggetto: Rispondi citando
ma adesso ho solo il firewall di windows . . . . . non ne ho altri installati.

cmq ho trovato la scansiona online di panda a questo sito http://www.pandasecurity.com/homeusers/solutions/activescan/?
adesso la avvio e speriamo ke parta Wink
Top
Profilo Invia messaggio privato
wertyu
Semidio
Semidio


Registrato: 29/12/07 16:11
Messaggi: 426
Residenza: AVOLA
MessaggioInviato: 31 Dic 2007 16:46    Oggetto: Rispondi
non so + cosa provare . . . . . . ho perfino riavviato il pc, ma niente Sad Sad

panda mi dice questo ---> link
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi