Vai al contenuto

Aiiuto MALWARE


LucioFire

Messaggi Raccomandati:

i files ho controllato sono già in quarantena...ma il browser per navigare non vuole saperne di avviarsi

i virus sono sostanzialmente 2:

-cavallo di troia TR\Virtl.21504 (era residente già da un bel po'...e non m'ha mai fatto danni anche se non sono mai riuscito a debellarlo)purtroppo l'avevo beccato da un programma zippato...me ne segnala 3 tutti provenienti da file zippato che avevo poi eliminato

- Lo stronzone (passatemi il termine) è questo qua: TR/Rootkit.Gen che era in c:\windows\Temp\5B9.tmp ... avast me lo aveva rilevato ma non l'ha fermato (diciamo così)

la nuova scansione non ha trovato files nascosti...e io sono al punto di prima(in pratica navigo solo in modalità provvisoria)

Ma questi files in quarantena...che fine devo fargli fare?

PETIZIONE 125 in Superstrada e Autostrada

La Desmosedici è una moto difficile, quando dai gas vibra e si muove, ma è una sua prerogativa perchè se non ti fai spaventare vedi che tutto funziona. [Casey Stoner]

Link al commento
Condividi su altri Social

  • Risposte 76
  • Creato
  • Ultima Risposta

I più attivi nella discussione

I più attivi nella discussione

i files ho controllato sono già in quarantena...ma il browser per navigare non vuole saperne di avviarsi

i virus sono sostanzialmente 2:

-cavallo di troia TR\Virtl.21504 (era residente già da un bel po'...e non m'ha mai fatto danni anche se non sono mai riuscito a debellarlo)purtroppo l'avevo beccato da un programma zippato...me ne segnala 3 tutti provenienti da file zippato che avevo poi eliminato

- Lo stronzone (passatemi il termine) è questo qua: TR/Rootkit.Gen che era in c:\windows\Temp\5B9.tmp ... avast me lo aveva rilevato ma non l'ha fermato (diciamo così)

la nuova scansione non ha trovato files nascosti...e io sono al punto di prima(in pratica navigo solo in modalità provvisoria)

Ma questi files in quarantena...che fine devo fargli fare?

I file in quarantena possono essere lasciati lì.

Riavvia in modalità provvisoria e svuota "c:\windows\Temp\".

Sempre in modalità provvisoria ripeti la scansione con l'antivirus.

Se, in modalità non provvisoria, explorer non ti apre alcun sito (che errore ti dà?), con internet explorer in funzione ed in modalità NON provvisoria ripeti la scansione con hijackthis e posta i log qui.

Adesso permettimi un appunto senza che tu lo prenda nel verso sbagliato: tenere il tuo computer pulito (ed evitare comportamenti pericolosi tipo scaricare ed eseguire rumenta) è un comportamento virtuoso prima di tutto per te (spero che tu non usi il PC per home banking o roba del genere) ma anche per tutti gli altri. Computer infetti come il tuo sono usati per mille cose poco piacevoli tipo inviare spam, insozzare altri pc, attacchi di tipo DDoS, etc.

Alfiat Bravetta senza pomello con 170 cavalli asmatici che vanno a broda; pack "Terrone Protervo" (by Cosimo) contro lo sguardo da triglia. Questa è la "culona".

Link al commento
Condividi su altri Social

farò come hai detto.

L'appunto è giustissimo...il fatto è che io credevo di essere al sicuro e in genere non scarico file strani o pericolosi,non ho mai avuto problemi

Io uso il pc in genere per la postepay...il servizio home banking l'ha usato solo una volta mio molto tempo fa...credi che possano esserci problemi?ovviamente non userò alcun servizio fino a quando non sistemerò le cose.Volevo anche formattare(cosa che anni fa facevo più spesso...ero molto più bravo con queste cose...ora sono rimasto indietro alla grande)il solo pensiero di dover ricaricare tutti i driver,riconfigurere il router, far si che emule funzioni con le porte apere...permettere alla play3 di avere accesso al router ecc ecc mi fa venire il mal di pancia

Fortunatamente non scambio email ne condivido i miei files quindi l' "infezione" dovrebbe essere limitata...

grazie per l'aiuto...ora farò come mi hai consigliato e posterò il report

PETIZIONE 125 in Superstrada e Autostrada

La Desmosedici è una moto difficile, quando dai gas vibra e si muove, ma è una sua prerogativa perchè se non ti fai spaventare vedi che tutto funziona. [Casey Stoner]

Link al commento
Condividi su altri Social

ecco, usi emule....la spazzatura-trojan che hai raccolto molto probabilmente arriva da li.

oltre al fatto che usi xp sp2...almeno usa il sp3 che ha gli aggiornamenti di sicurezza...

Link al commento
Condividi su altri Social

Beh...purtroppo da utente medio non sono informato su moltissime cose (pensate che fra tutti quelli che conosco il "genio del pc" sono io :lol:....quando c'è qualche problema chiamano a me :-D )da emule ho preso quello che sopra ho indicato come virus residente (ovvero era li senza rompere le scatole).purtroppo era nel programma winrar che ho scaricato l'altro l'ho preso durante la navigazione nei siti di modellismo stranieri

Sp2 c'è perchè il tecnico informatico m'ha istallato quello tempo fa...il mio è più vecchio.

Comunque...ho fatto come mi ha detto loric...purtroppo explorer non è partito e ho dovuto chiudere la modalità normale di win (con diversi errori)era partito di nuovo antivir (come l'altra volta non trova nulla)

quindi sono tornato in modalità provvisoria ed ecco il report richiesto da loric:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15.52.01, on 02/11/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Avira\AntiVir Desktop\sched.exe

C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

C:\Programmi\Java\jre6\bin\jusched.exe

C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe

C:\Programmi\Avira\AntiVir Desktop\avguard.exe

C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.EXE

C:\Programmi\Conitech\WLAN\DAKOTA_Utility.exe

C:\Programmi\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Java\jre6\bin\jqs.exe

C:\Programmi\Microsoft ActiveSync\Wcescomm.exe

C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

C:\Programmi\HOTALBUMMyBOX\MediaChecker.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Alice ti aiuta\bin\mpbtn.exe

C:\Programmi\Conitech\WLAN\WBSECSVC.EXE

C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe

C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\dwwin.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Bing

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\ZyXEL\ADSL USB Modem\CnxDslTb.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [MBBalloon] C:\Programmi\HOTALBUMMyBOX\MBBalloon.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.EXE

O4 - HKLM\..\Run: [DAKOTA_Utility] C:\Programmi\Conitech\WLAN\DAKOTA_Utility.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe

O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: MediaChecker.lnk = C:\Programmi\HOTALBUMMyBOX\MediaChecker.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Add to AMV Converter... - C:\Programmi\MP3 Player Utilities 4.18\AMVConverter\grab.html

O8 - Extra context menu item: Add to Windows &Live Favorites - Sign In

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 4.09\MediaManager\grab.html

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: wbsecsvc - Winbond - C:\Programmi\Conitech\WLAN\WBSECSVC.EXE

--

End of file - 7668 bytes

altra cosa prima di arrestare win mi è venuto fuori un errore del genere:

"l'operazione non è riuscita perchè l'oggetto in finestra sta per essere chiuso)...sulla finestra c'è scritto che si riferisce a Dwwin dll (o roba simile...è sparita velocemente quindi non ho fatto in tempo ad annotarmela)

Modificato da LucioFire

PETIZIONE 125 in Superstrada e Autostrada

La Desmosedici è una moto difficile, quando dai gas vibra e si muove, ma è una sua prerogativa perchè se non ti fai spaventare vedi che tutto funziona. [Casey Stoner]

Link al commento
Condividi su altri Social

Scarica Malware Bytes' Antimalware da qui: Malwarebytes.org

Esegui una scansione completa e posta il log qui.

Ah, durante la scansione probabilmente avrai tutto il tempo di prepararti i pop-corn al microonde e guardarti un film.

Alfiat Bravetta senza pomello con 170 cavalli asmatici che vanno a broda; pack "Terrone Protervo" (by Cosimo) contro lo sguardo da triglia. Questa è la "culona".

Link al commento
Condividi su altri Social

ok loric...grazie...avevo provato come programma prevx 3.0...m'ha trovato un malware nel file epqf.dll...solo che per eliminarlo devo acquistare la licenza...che fregatura...scarico il programma e lo metto a girare il prima possibile

PETIZIONE 125 in Superstrada e Autostrada

La Desmosedici è una moto difficile, quando dai gas vibra e si muove, ma è una sua prerogativa perchè se non ti fai spaventare vedi che tutto funziona. [Casey Stoner]

Link al commento
Condividi su altri Social

ecco il rapporto:

Malwarebytes' Anti-Malware 1.41

Versione del database: 3089

Windows 5.1.2600 Service Pack 2 (Safe Mode)

02/11/2009 19.42.48

mbam-log-2009-11-02 (19-42-48).txt

Tipo di scansione: Scansione completa (C:\|)

Elementi scansionati: 169937

Tempo trascorso: 28 minute(s), 30 second(s)

Processi delle memoria infetti: 0

Moduli della memoria infetti: 0

Chiavi di registro infette: 0

Valori di registro infetti: 0

Elementi dato del registro infetti: 0

Cartelle infette: 0

File infetti: 0

Processi delle memoria infetti:

(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:

(Nessun elemento malevolo rilevato)

Chiavi di registro infette:

(Nessun elemento malevolo rilevato)

Valori di registro infetti:

(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:

(Nessun elemento malevolo rilevato)

Cartelle infette:

(Nessun elemento malevolo rilevato)

File infetti:

(Nessun elemento malevolo rilevato)

PETIZIONE 125 in Superstrada e Autostrada

La Desmosedici è una moto difficile, quando dai gas vibra e si muove, ma è una sua prerogativa perchè se non ti fai spaventare vedi che tutto funziona. [Casey Stoner]

Link al commento
Condividi su altri Social

Sia hijackthis che Anti-Malware dicono che tutto è a posto.

Ti direi di fare un ultimo tentativo con combofix, ma quest'ultimo è tanto potente quanto pericoloso.

Puoi descrivere esattamente cosa succede quando lanci explorer in modalità normale e ti si blocca?

Alfiat Bravetta senza pomello con 170 cavalli asmatici che vanno a broda; pack "Terrone Protervo" (by Cosimo) contro lo sguardo da triglia. Questa è la "culona".

Link al commento
Condividi su altri Social

quando faccio partire explorer il computer inizia a lavorare ininterrottamente ma la pagina del browser non compare mai e alla fine rimane impallato...dopo vari tentativi riesco a chiudere windows e mi escono delle finestre con scritto "termina programma"o cose del genere...su una c'era scritto DWWIN

perchè è pericoloso combofix?

Se proprio devo mi preparo per la formattazione (se magari mi dai un aiutino con questo "lavorone"mi fai un favore)

PETIZIONE 125 in Superstrada e Autostrada

La Desmosedici è una moto difficile, quando dai gas vibra e si muove, ma è una sua prerogativa perchè se non ti fai spaventare vedi che tutto funziona. [Casey Stoner]

Link al commento
Condividi su altri Social

Crea un account o accedi per lasciare un commento

Devi essere iscritto per commentare e visualizzare le sezioni protette!

Crea un account

Iscriviti nella nostra community. È facile!

Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.

Accedi Ora

×
×
  • Crea Nuovo...

 

Stiamo sperimentando dei banner pubblicitari a minima invasività: fai una prova e poi facci sapere come va!

Per accedere al forum, disabilita l'AdBlock per questo sito e poi clicca su accetta: ci sarai di grande aiuto! Grazie!

Se non sai come si fa, puoi pensarci più avanti, cliccando su "ci penso" per continuare temporaneamente a navigare. Periodicamente ricomparità questo avviso come promemoria.