ma che virus è?

di **Fred_gatsu** » 11/07/06 15:39

disperation :eeh:

salve a tutti...

prima di tutto sappiate che non so come si chiama il virus ma posso descriverlo oppure mettere una foto qui sempre che si puo...

moderatooooore...... posso?

non so proprio come fare.

mi appare una finestrella che mi da 1 minuto di tempo e poi mi fa riavviare il PC

un mio amico ha detto che è pure un virus abbastanza famoso ma non sappiamo ne il nome ne come distruggerlo....

ho provato di tutto: hijack stinger xsoftspy spybot avgfree edition

ma nulla da fare!!!!!

vi prego ditemi come fare che non riesco più nemmeno a scrivere sto topic con quel virus maledetto!!!

PS. se il moderatore me lo permette io metto la foto del virus(è l'unico indizio che posso dare!!!!)

grazie mille

FRED_GATSU :diavolo:

di **BilloKenobi** » 11/07/06 15:53

scarica hijackthis (clicca su "Download diretto" e posta un log

di **LUPO21** » 11/07/06 17:09

nn sono moderatore(magari lo fossi..per sentire il potere nelle mie mani...ok la smetto) ma cmq le foto si possono mettere!

cmq prova a fare una scansione in modalità provvisoria e vedi se risolvi e dai una passata di ewido!

di **Luke57** » 11/07/06 17:25

Ciao, di solito sono il Sasser e il Blaster (restano vittime sistemi non aggiornati e senza firewall), ma stinger li dovrebbe beccare.

Per fermare il conto alla rovescia:
start>esegui>Shutdown ra (con lo spazio prima di ra)>OK

Scarica questo per il Blaster sul desktop:
http://securityresponse.symantec.com/av ... xBlast.exe

Questo per il sasser sul desktop:
http://securityresponse.symantec.com/av ... Sasser.exe

Se hai XP, disattiva il ripristino configurazione di sistema così:
tasto dx su Risorse del computer>Proprietà>Ripristino configurazione di sistema, metti la spunta a Disattiva ripristino configurazione di sistema>OK

Esegui alternativamente i due tool scaricati in precedenza.

Se trovano qualcosa riattiva il ripristino di sistema seguendo le medesime procedure, ma deselezionando Disattiva ripristino configurazione di sistema

di **Fred_gatsu** » 11/07/06 20:58

Se hai XP, disattiva il ripristino configurazione di sistema così:
tasto dx su Risorse del computer>Proprietà>Ripristino configurazione di sistema, metti la spunta a Disattiva ripristino configurazione di sistema>OK
Se trovano qualcosa riattiva il ripristino di sistema seguendo le medesime procedure, ma deselezionando Disattiva ripristino configurazione di sistema[/quote]

e io dico:

allora vediamo se ho capito bene....

devo disattivare quella roba là poi scansionare il mio hd con gli anti virus e poi devo riattivare il tutto?

di **Fred_gatsu** » 11/07/06 21:00

tiè

Logfile of HijackThis v1.99.1
Scan saved at 21.59.24, on 11/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\netsec.exe
c:\dfndre_5.exe
c:\ac3_0010.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\explorer.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Fred\Desktop\hijackthis!\HijackThis.exe
C:\WINDOWS\system32\tftp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [defender] c:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] c:\\nwnme_5.exe
O4 - HKLM\..\Run: [nvqb7bb2] RUNDLL32.EXE w0e522d0.dll,n 001b7bb10000000a0e522d0
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DD420A7-CCFC-4140-8B99-8076F50E964F}: NameServer = 85.37.17.55 85.38.28.93
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\nzobjapi.dll
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\mwvidctl.dll
O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\mtwebdvd.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)
O23 - Service: Windows Security Center (WSCServ) - Unknown owner - C:\WINDOWS\system32\wscserv.exe (file missing)

di **andorra24** » 11/07/06 21:18

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\system32\netsec.exe
c:\dfndre_5.exe
c:\ac3_0010.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [defender] c:\\dfndre_5.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrde_5.exe
O4 - HKLM\..\Run: [newname] c:\\nwnme_5.exe
O4 - HKLM\..\Run: [nvqb7bb2] RUNDLL32.EXE w0e522d0.dll,n 001b7bb10000000a0e522d0
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\nzobjapi.dll
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\mwvidctl.dll
O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\mtwebdvd.dll
O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)
O23 - Service: Windows Security Center (WSCServ) - Unknown owner - C:\WINDOWS\system32\wscserv.exe (file missing)

scarica killbox da qui:
http://www.bleepingcomputer.com/files/killbox.php
con killbox assicurati di eliminare i seguenti files:

C:\WINDOWS\system32\netsec.exe
c:\dfndre_5.exe
c:\ac3_0010.exe
C:\WINDOWS\system32\nzobjapi.dll
C:\WINDOWS\system32\mwvidctl.dll
C:\WINDOWS\system32\mtwebdvd.dll

Fai qualche scansione online:
http://www.bitdefender.com/scan8/ie.html
http://www.ewido.net/en/onlinescan/

di **andorra24** » 11/07/06 21:31

Fred_gatsu ha scritto:O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)
O23 - Service: Windows Security Center (WSCServ) - Unknown owner - C:\WINDOWS\system32\wscserv.exe (file missing)

Se per caso non riesci ad eliminare queste voci con hijackthis puoi usare quest altro metodo:

start>esegui>sc stop NTDRV>OK
start>esegui>sc delete NTDRV>OK

start>esegui>sc stop windows security centre>OK
start>esegui>sc delete windows security centre>OK

start>esegui>sc stop wins>OK
start>esegui>sc delete wins>OK

start>esegui>sc stop winsck>OK
start>esegui>sc delete winsck>OK

start>esegui>sc stop WSCServ>OK
start>esegui>sc delete WSCServ>OK

di **Fred_gatsu** » 13/07/06 11:01

oooooooooooooo

ma perche hijack non mi killa quei tre virus?

e poi non mi fa nemmeno lo scan nella modalità che mi hai detto

ho provato a farmi scannare l'hard disk in quei siti e mi hanno trovato un bel po di schifezze.

alcuni virus non sono stati nemmeno disinfettati.

ma è mai possibile che la gente si diverte così male?

è possibile che uno non può farsi un giretto in internet che subito devi stare attento a questi maledetti!!!

LI ODIO DA MORIRE.

spero di diventare uno con due co####ni così e li becco tutti a sti spacciatori di virus!!!!

stanno malati nella testa!! :evil:

di **Fred_gatsu** » 13/07/06 11:04

e comunque è quel dnfre5 o come diavolo si chiama......

non si cancella non si disinfetta è mostruoso..

che angoscia.

non ce la faccio più

:aaah

di **andorra24** » 13/07/06 11:29

Ma hai seguito alla lettera il procedimento che ti ho descritto? Hai eliminato i files che ti ho indicato con killbox?
Fai una scansione con questo tool antivirus: ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

di **Fred_gatsu** » 17/07/06 18:07

argh!!!!

killbox è una grandissima sola....

i virus che uccido (uno ad uno è noiosissimo) poi quando riavvio tornano sempre e pure i trojan.

invece cureit è fantastico.

però non è completo vero?

bisogna acquistarlo?

posso crakkarlo?

ke dite?

PS cure it mi ha ripulito TUTTI i virus alla grande!!!!!

ke ficata!!!

grazie dell'aiuto e scusate per il ritardo delle risposte maa il lavoro....

ciao e alla prossima!!!!!

di **Fred_gatsu** » 17/07/06 19:32

alt fermi tutti!!!! :aaah

#)(&@*azz*#/

il VIRUS è TORNATO (non se n'è mai andato!)

io ora vi posto pure la foto non ce la faccio piùùùùùùù!!!!!!!!

ma mi dovete dire come diablo si fa!!!!

nn ci riesco

AIUTOOOOOOOOOOOOOOOOOO

di **andorra24** » 17/07/06 20:51

Il tuo ultimo log era dell' 11 luglio, posta un nuovo log di hijackthis per vedere la situazione.

di **Fred_gatsu** » 19/07/06 12:49

non riesco ad eliminare IDRIVER e altri due processi che sono sicuramente virus :aaah

nessuno dei miei anti virus e nemmeno cureit riescono ad eliminarli

ho provato pure con hijack ma niente da fare

dimmi come si fa a mettere un immagine qui nel topic cosi capirai mooolto meglio di cosa si tratta!!!

ecco il log di hijack:

Logfile of HijackThis v1.99.1
Scan saved at 13.44.13, on 19/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nlsys32.exe
C:\WINDOWS\system32\itdriver.exe
C:\WINDOWS\system32\ntfwup.exe
C:\Documents and Settings\Fred\Desktop\hijackthis!\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)
O23 - Service: Windows Security Center (WSCServ) - Unknown owner - C:\WINDOWS\system32\wscserv.exe (file missing)

:eeh:

aiuto!

di **andorra24** » 19/07/06 13:10

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\system32\nlsys32.exe
C:\WINDOWS\system32\itdriver.exe
C:\WINDOWS\system32\ntfwup.exe

Visualizza cartelle e file nascosti.

Con killbox elimina i seguenti files:
C:\WINDOWS\system32\nlsys32.exe
C:\WINDOWS\system32\itdriver.exe
C:\WINDOWS\system32\ntfwup.exe

Se non riesci ad eliminare quei files con killbox usa unlocker:
http://ccollomb.free.fr/unlocker/

Fai una scansione con questo programma:
http://info.prevx.com/downloadprevx1.asp

di **andorra24** » 19/07/06 13:13

andorra24 ha scritto:Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\system32\nlsys32.exe
C:\WINDOWS\system32\itdriver.exe
C:\WINDOWS\system32\ntfwup.exe

Visualizza cartelle e file nascosti.

Con killbox elimina i seguenti files:
C:\WINDOWS\system32\nlsys32.exe
C:\WINDOWS\system32\itdriver.exe
C:\WINDOWS\system32\ntfwup.exe

Se non riesci ad eliminare quei files con killbox usa unlocker:
http://ccollomb.free.fr/unlocker/

Ho dimenticato un pezzo. Con hijackthis fixa queste voci:

O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)
O23 - Service: wins(WINS) (wins) - Unknown owner - C:\WINDOWS\system32\winscntrl.exe (file missing)
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)
O23 - Service: Windows Security Center (WSCServ) - Unknown owner - C:\WINDOWS\system32\wscserv.exe (file missing)

Ti avevo indicato in precedenza il metodo da usare per eliminare le voci 023 ma vedo che non l'hai fatto.

di **Fred_gatsu** » 19/07/06 18:00

no non me li togle ugualmente

non lo so il motivo

ora provo pure con queste altre indicazioni che mi hai dato.

io ti ringrazio infinitamente per cio che fai

ora speriamo bene io ci provo..

ci sentiamo prossimamente

tencs

Fred :aaah

ma che virus è?

ma che virus è?

Topic correlati a "ma che virus è?":

Chi c’è in linea