| Precedente :: Successivo |
| Autore |
Messaggio |
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
 Inviato: 10 Feb 2008 11:29 Oggetto: tr/crypt.nspm.gen |
 |
|
salve a tutti so di chiedere l'impossibile (di domenica mattina  ) ma potreste darmi una mano con questo trojan?
| Citazione: | Logfile of HijackThis v1.99.1
Scan saved at 10.25.28, on 10/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Olivetti\ANY_WAY\olDvcStatus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\cisvc.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programmi\Olivetti\ANY_WAY\olMntrService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Documents and Settings\Davide\Desktop\davide\programmi\BitComet\tools\BitCometBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar3.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [OlStatusMon] "C:\Programmi\Olivetti\ANY_WAY\olDvcStatus.exe" dvcStatusMinimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Documents and Settings\Davide\Desktop\davide\programmi\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Documents and Settings\Davide\Desktop\davide\programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Documents and Settings\Davide\Desktop\davide\programmi\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://freezone14.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://freezone14.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar1.google.com/data/GoogleActivate.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: olMntrService - Olivetti - C:\Programmi\Olivetti\ANY_WAY\olMntrService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPBBCSvc - Adaptec, Inc. - (no file)
|
p.s. spero di aver rispettato le regole del buon postatore, se cosi non fosse mi scuso in anticipo |
|
| Top |
|
 |
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 10 Feb 2008 11:42 Oggetto: |
|
|
approfitto per dare altre info xp servicepack2 avevo avast, ho installato antivir, che però era fin troppo celere, e mi impallava il pc con 16 avvisi, quindi per ora l'ho disinstallato(dalla modalità provvisoria)
......
non so che fare... |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 10 Feb 2008 13:09 Oggetto: |
|
|
vi prego devo scriverci la tesi con sto pc, ditemi almeno quali altre info vi servono, giuro che collaboro in pieno |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 10 Feb 2008 15:46 Oggetto: |
|
|
| grazie mille per la risposta, mi metto all'opera (pranzo permettendo ) |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 10 Feb 2008 20:30 Oggetto: |
|
|
| vorrei solo sapere se ora il log è pulito o no, dai manca poco, l'ultimo aiutino chi me lo da? 8) |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Feb 2008 20:38 Oggetto: |
|
|
Qualcosa è stato eliminato...
Fai queste scansioni con GMER (sono 2: autostart e rootkit) e posta i logs su FreeFileHosting come indicato qui.
Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato. |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 11 Feb 2008 00:47 Oggetto: |
|
|
kaspersky results.html
ed ecco qui anche il risultato della scansione con kaspersky,
grazie aticipatamente per le prossime istruzioni |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 11 Feb 2008 09:59 Oggetto: |
|
|
allora, una news fresca fresca:
da un foglio di carta scritto a mano (scrittura di mio padre) sono venuto a conoscenza di un file cancellato da normanmalwarecleaner un tale c:\\apps\clickme\clickme.exe
praticamente mio padre ha per sbaglio fermato la scansione ma per fortuna ha almeno notato questo file.
per la cronaca, ora la cartella c:\\apps\clickme c'è ancora, e c'è un po di roba dentro, ha cancellato solo l'eseguibile |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 11 Feb 2008 10:33 Oggetto: |
|
|
ho cercato un po in giro, sul forum di antivir dicono che basta una scansione completa con antivir in modalità provvisoria per risolvere...
su un altro sito ho trovato una procedura del tipo: apri register editor, e visto che mi fido piu di voi che di me stesso  chiedo prima di agire, non so se posso postare il link, quindi casomai se qualcuno volesse darci un'occhiatina, magari segnalo il link in privato,
ultima soluzione, "anti-rogue sweep"
bah.... |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 11 Feb 2008 13:46 Oggetto: |
|
|
nessuno che abbia una minima idea su qualche altro tentativo da fare?
scusate se rompo, ma come ho gia detto, sono in tesi-time
p.s. il nome del topic voleva essere specifico per aiutare altri utenti con lo stesso problema, ma ho scoperto or ora che tr/crypt etc etc è un nome generico che da antivir a diverse infezioni, la mia si chiama psw.online games o qualcosa del genere
p.p.s. ho editato questo post per non esagerare  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 11 Feb 2008 14:35 Oggetto: |
|
|
Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | Files to delete:
C:\System Volume Information\_restore{98DF0744-E9D0-4D5D-BAFF-085C137ADB1B}\RP1\A0000004.exe
C:\System Volume Information\_restore{98DF0744-E9D0-4D5D-BAFF-085C137ADB1B}\RP1\A0000005.dll
C:\h.cmd
C:\autorun.inf
C:\Documents and Settings\Administrator\Impostazioni locali\Temp\fhf.dll |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis. |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 11 Feb 2008 23:28 Oggetto: |
|
|
Hijackthis sembra pulito (a parte una voce da verificare).
Fai le scansioni con GMER (sono 2: autostart e rootkit) e posta i logs su FreeFileHosting come indicato qui.
Riscontri ancora problemi? |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 12 Feb 2008 00:21 Oggetto: |
|
|
questi i log di gmer:
autoscan:
autostart log.txt
rootkit:
rootkit log.txt
sintomi non ne noto, ma ho fatto una scansione anche con antivir e ha trovato i soliti 4 file infetti |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 12 Feb 2008 00:55 Oggetto: |
|
|
i programmi che prima crashavano ora non crashano piu
ora resta un dilemma: durante "l'emergenza trojan" ho collegato non sapendo di essere infetto la chiavetta al pc, ora è infetta anche quella? come posso evitare di rinfettare il pc? |
|
| Top |
|
|
aitano
Eroe
Registrato: 10/02/08 11:19
Messaggi: 62
|
| Inviato: 12 Feb 2008 12:16 Oggetto: |
 |
|
grazie a bdoriano per l'aiuto, spero che questo post aiuti qualcun'altro, finalmente pc e penna usb pulite, peccato, mi ci stavo affezionando a quel simpatico trojan...ma anche no.
p.s. grazie di avermi iniziato ad antivir, il cui scanner si chiama "LUKE FILEWALKER" ...senza parole...
|
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
