Condividi:        

eccolo qui il log, c'è il verme

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

eccolo qui il log, c'è il verme

Postdi marinaseal » 16/12/05 12:08

Ciao
sto al buon cuore di chi può darmi un aiutino per cancellare i file malevoli, a parte il O15 - Trusted Zone: http://www.archiviosex.net che non so proprio come mi abbia azzannata e da eliminare senza ombra di dubbio, per gli altri file qualche dubbio ce l'ho...... Lukeeeee! non mi abbandonare in questo momento così tormentato....
ciao marinaseal


Logfile of HijackThis v1.99.1
Scan saved at 11.32.29, on 16/12/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
C:\WINDOWS\SYSTEM\INETSRV\INETINFO.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\MSDTCW.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\PWSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\A-DATA\USB FLASH DISK UTILITY\PLBKMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.arianna.it/perie/hometestie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Infostrada LIBERO
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [PWSTray] PwsTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\winagent.exe /i
O4 - HKLM\..\Run: [ADATA_PLUtil] C:\Programmi\A-DATA\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [HDAudio Driver 1.0] C:\WINAMP.EXE
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
O4 - HKLM\..\RunServices: [inetinfo.exe] C:\WINDOWS\SYSTEM\inetsrv\inetinfo.exe -e w3svc
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMMI\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - Startup: Vodafone Mobile Connect Card.lnk = C:\Programmi\Vodafone\VodafoneMobileConnectCard\VodafoneMobileConnectCard.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/viru ... ebscan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/r ... nPUpld.cab
O18 - Protocol: msell - {E90F00EC-3694-11D2-99FE-00104B2D62CC} - C:\PROGRA~1\FILECO~1\MICROS~1\REFERE~1\MSELL.DLL
marinaseal
Utente Junior
 
Post: 20
Iscritto il: 05/12/05 20:57

Sponsor
 

Postdi Luke57 » 16/12/05 13:10

Ciao, metti l'eseguibile di hjt in una cartella del disco fisso (nè temporanea nè desktop) in modo da poter fare un backup in caso di errori.
Lo fai girare, premendo "do a system scan only", cerchi e metti il segno di spunta alle seguenti voci:
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\winagent.exe /i
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
O18 - Protocol: msell - {E90F00EC-3694-11D2-99FE-00104B2D62CC} - C:\PROGRA~1\FILECO~1\MICROS~1\REFERE~1\MSELL.DLL
premi "fix checked".
Riavvii in modalità provvisoria
vai gestione risorse e imposta la visualizzazione completa dei files e cartelle in questo modo:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click Ok
cerchi e cancelli, se li trovi, i seguenti files,
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\winagent.exe /i
C:\PROGRA~1\FILECO~1\MICROS~1\REFERE~1\MSELL.DLL
vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato
cancella il contenuto di Windows\temp, windows\tmp
sulle opzioni Internet cancella la cache di IE, i cookies
svuota il cestino
riparti in modalità normale
fai girare HJT e posta di nuovo il log
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 16/12/05 13:22

A integrazione di quanto detto, dopo che hai tolto le voci di 015, portati in: C:\WINDOWS\SYSTEM32\DRIVERS\ETC
e con il BLOCCO NOTE apri il file hosts (senza estensione)
ed in fondo aggiungi:
127.0.0.1 http://www.redfunny.com
127.0.0.1 http://www.skymasters.biz
127.0.0.1 http://www.archiviosex.net
Salva il file ed impostalo "A sola Lettura".
Da quanto ho letto, questa manovra dovrebbe servire a evitare in seguito dirottamenti in tali siti, ciao
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 16/12/05 14:33

Per Hijack ricordo che c'è questa guida.
http://www.pc-facile.com/guida_hijackthis_t148946/

Che io sappai basta lui per eliminare le voci di Host senza passare dal blocco note.

Fra le voci che non mi piacciono c'è pure questa:
O4 - HKLM\..\Run: [HDAudio Driver 1.0] C:\WINAMP.EXE

Il player Winamp in genere NON sta in C:...
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 16/12/05 15:47

Dylan666 ha scritto:Che io sappai basta lui per eliminare le voci di Host senza passare dal blocco note.

Ciao Dylan, per eliminarle è vero, basta hijackthis, ma inserendo nel blocco note il nome di un sito anteponendovi il numero 127.0.0.1 si dovrebbe blocca successivamente l'accesso a quel sito.. è un ragionamento corretto o mi sbaglio?
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 16/12/05 16:18

Ah sì, quello è corretto ma non so se consigliarlo o no: nel senso che il nostro amico si è accorto dell'infezione anche grazie a quei siti che erano ricorrenti. Infondo sono un campanello dall'arme che ci indica la presenza di file intrusi.
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

ok, grazie!

Postdi marinaseal » 16/12/05 22:33

Ciao Luke, ciao Dylan
tento le manovre consigliate, grazie! :) poi magari vi riposto il log...
ciao marinaseal
ps: ma tutti quei file desktop.ini spanti nelle varie cartelle li posso cancellare?
marinaseal
Utente Junior
 
Post: 20
Iscritto il: 05/12/05 20:57

...ultima versione del log hijackthis

Postdi marinaseal » 17/12/05 01:45

Ciao
eccomi qui ;) , fatto tutto, anche la modifica al file host.sam (che ho trovato nella cartella di windows ma non in system32, spero sia quello giusto.. ). In rimuovi/installa applicazioni ho:
Internet explorer Q903235
e Microsoft Internet explorer 6 SP1 e accesso a internet
già che sto facendo le pulizie di Pasqua del pc, posso rimuovere la 1°?
ho anche l'applicazione:
Pubblicazione guidata sul web 1.6
che non ricordo di aver installato, se la rimuovo che succede? Dopo aver eliminato tutti i cookie e i file temp le prestazioni del pc sono di già molto molto migliorate, grazie davvero di cuore... vi offrirei un caffè
ciao marinaseally (...segue il log)

Logfile of HijackThis v1.99.1
Scan saved at 1.14.51, on 17/12/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
C:\WINDOWS\SYSTEM\INETSRV\INETINFO.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSDTCW.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\PWSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\A-DATA\USB FLASH DISK UTILITY\PLBKMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMMI\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\PROGRAMMI\VODAFONE\VODAFONEMOBILECONNECTCARD\VODAFONEMOBILECONNECTCARD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.arianna.it/perie/hometestie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Infostrada LIBERO
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [PWSTray] PwsTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ADATA_PLUtil] C:\Programmi\A-DATA\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
O4 - HKLM\..\RunServices: [inetinfo.exe] C:\WINDOWS\SYSTEM\inetsrv\inetinfo.exe -e w3svc
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMMI\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - Startup: Vodafone Mobile Connect Card.lnk = C:\Programmi\Vodafone\VodafoneMobileConnectCard\VodafoneMobileConnectCard.exe
O10 - Unknown file in Winsock LSP: c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/viru ... ebscan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/r ... nPUpld.cab
marinaseal
Utente Junior
 
Post: 20
Iscritto il: 05/12/05 20:57

Re: ...ultima versione del log hijackthis

Postdi Dylan666 » 17/12/05 01:54

marinaseal ha scritto: Internet explorer Q903235
e Microsoft Internet explorer 6 SP1 e accesso a internet
già che sto facendo le pulizie di Pasqua del pc, posso rimuovere la 1°?


Parliamo del SP1 di Explorer, NON di windows, se lo levi ti renderai vulnerabile a tutti i bug che andava a sanare. ;)

La pubblicazione guidata sul web non so seè questa, di XP, quindi non so se la togli e un giorno ti serve dove la vai a ripescare:

http://support.microsoft.com/default.as ... 0121120120

Ora il log mi pare pulito
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

grazie Dylan

Postdi marinaseal » 17/12/05 22:04

Ciao Dylan
ieri notte dovevo avere la massa cerebrale quasi allo stato gassoso... l'applic. Pubblicazione guidata c'è perchè tempo fa ho installato IIS Microsoft per pubblicare siti. Ok, grazie davvero di nuovo. Posso chiederti ancora una cosa? che razza di bestiaccia avevo preso? Ho il terrore di avere infestato mezza città inviando in allegato alle email il mio curriculum... e infatti nessuno mi ha mai contattata :D Che figurina da collezione! Meno male che c'è questo forum, l'avessi saputo prima...
ciao marinaseal
marinaseal
Utente Junior
 
Post: 20
Iscritto il: 05/12/05 20:57

Re: grazie Dylan

Postdi Dylan666 » 18/12/05 02:44

marinaseal ha scritto: Posso chiederti ancora una cosa? che razza di bestiaccia avevo preso? Ho il terrore di avere infestato mezza città inviando in allegato alle email il mio curriculum...


Mmmmm in teoria sembrano semplici malware per dirottare il tuo browser su alcuni siti o cose del genere, non per mandare mail o altro

E poi perché mai dovrebbero inviare proprio il tuo curriculum? Sospetti sia un virus creato da un impiegato del collocamento? :D
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

ho stanato il malware JS:Exploit-Bytverify-2 e -4

Postdi marinaseal » 19/12/05 00:11

Ciao Dylan
non ci crederai, ma ho appena subito un altro attacco, al riavvio dopo aver fatto tutto quel po' di lavoro mi ha riagganciata il sito archiviosex, mi sono ritrovata con parecchi file desktop.ini spanti ovunque e collegamenti a explorer che rimandavano ad archiosex (ma che vogliono da me?)quindi: ho rifatto tutto il ripulisti da capo e dato che avast non trovava niente sono entrata in modalità provvisoria da lì ho scansionato con l'antivirus che ha trovato i malware JS:Exploit-Bytverify-2 e JS:Exploit-Bytverify-4 nella cartella windows\temp, (cancellarli non è stato facile perchè mi dava errore di Server RPC non disponibile), dopodichè ho cancellato la modifica al file host.sam suggerita da Luke - dato che non ha funzionato - poi ho fatto girare di nuovo Hijack e ho eliminato i file come già mi avevi nelle risposte precedenti. Speriamo bene! :D All'ufficio di collocamento un virus grosso come un coniglio lo spedirei volentieri... :diavolo: ma non se puede far... Dicevo per i curriculum perchè i virus si propagano con gli allegati, tu dici che non ho infestato nessuno? posso avere la coscienza a posto?
marinaseal
Utente Junior
 
Post: 20
Iscritto il: 05/12/05 20:57

Postdi Dylan666 » 19/12/05 02:22

Ma perché dovresti aver spedito proprio quel file? E perché il malware secondo te spedisce posta?

Detto questo: se per farlo ha usato Outlook o Foxmail ecc. le mail le trovi in posta inviata. Se invece l'invio NON si appoggia al tuo programma di posta allora dovrebbe essere stato bloccato dal firewall (sperando che tu ne abbia uno)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Re: ho stanato il malware JS:Exploit-Bytverify-2 e -4

Postdi Luke57 » 19/12/05 10:28

marinaseal ha scritto:Ciao Dylan
non ci crederai, ma ho appena subito un altro attacco, al riavvio dopo aver fatto tutto quel po' di lavoro mi ha riagganciata il sito archiviosex, mi sono ritrovata con parecchi file desktop.ini spanti ovunque e collegamenti a explorer che rimandavano ad archiosex (ma che vogliono da me?)quindi: ho rifatto tutto il ripulisti da capo e dato che avast non trovava niente sono entrata in modalità provvisoria da lì ho scansionato con l'antivirus che ha trovato i malware JS:Exploit-Bytverify-2 e JS:Exploit-Bytverify-4 nella cartella windows\temp, (cancellarli non è stato facile perchè mi dava errore di Server RPC non disponibile), dopodichè ho cancellato la modifica al file host.sam suggerita da Luke - dato che non ha funzionato - poi ho fatto girare di nuovo Hijack e ho eliminato i file come già mi avevi nelle risposte precedenti. Speriamo bene! :D All'ufficio di collocamento un virus grosso come un coniglio lo spedirei volentieri... :diavolo: ma non se puede far... Dicevo per i curriculum perchè i virus si propagano con gli allegati, tu dici che non ho infestato nessuno? posso avere la coscienza a posto?

Ciao Marina, mi dispiace che la modifica non abbia avuto successo :oops:
Senti scarica Ewido, qui http://news.swzone.it/swznews-16006.php , di seguito alcune istruzioni d'uso:
Installallo, lancialo con doppio click sull'icona con una grande E sul desktop.
Il programma chiederà di fare l'update, click su OK
Apparirà la schermata principale del programma dove è necessario
aggiornare ewido alle ultime definizioni delle firme dei virus.
Sulla parte sinistra della schermata principale click su update
Click su Start
L' update partirà ed una barra mostrerà la progressione dell'aggiornamento.
Scarica anche CCleaner ultima versione da qui http://news.swzone.it/swznews-16590.php, è ottimo per la cancellazione di file temporanei di windows e IE.
Riparti in modalità provvisoria , avvii Ewido con un click su scanner Assicurandoti che le seguenti caselle siano spuntate:
Binder
Crypter
Archives
Click su Start Scan
Attendi la conclusione della scansione
Mentre la scansione è attiva può presentarsi la richiesta di fare il clean del primo file infetto che trova ( se lo trova). Scegli "clean"
e spunta la casella "Perform action on all infections" nell'angolo a sinistra della finestra in modo da far effettuare da Ewido
automaticamente l'operazione ad ogni file infetto, Click su ok.
Poi usi CCleaner e cancelli file temporanei di windows, cookies, cache di IE ( in pratica clicchi sul programma, si apre sulla voce windows e spunti tutte le caselline sotto la voce Internet Explorer e sotto Sistema, poi cloicchi analizza e avvia Cleaner che ti cancella la roba indicata nelle caselline). Posta poi un nuovo log di hijackthis.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: ho stanato il malware JS:Exploit-Bytverify-2 e -4

Postdi Luke57 » 19/12/05 11:03

Luke57 ha scritto:
marinaseal ha scritto:Ciao Dylan
non ci crederai, ma ho appena subito un altro attacco, al riavvio dopo aver fatto tutto quel po' di lavoro mi ha riagganciata il sito archiviosex, mi sono ritrovata con parecchi file desktop.ini spanti ovunque e collegamenti a explorer che rimandavano ad archiosex (ma che vogliono da me?)quindi: ho rifatto tutto il ripulisti da capo e dato che avast non trovava niente sono entrata in modalità provvisoria da lì ho scansionato con l'antivirus che ha trovato i malware JS:Exploit-Bytverify-2 e JS:Exploit-Bytverify-4 nella cartella windows\temp, (cancellarli non è stato facile perchè mi dava errore di Server RPC non disponibile), dopodichè ho cancellato la modifica al file host.sam suggerita da Luke - dato che non ha funzionato - poi ho fatto girare di nuovo Hijack e ho eliminato i file come già mi avevi nelle risposte precedenti. Speriamo bene! :D All'ufficio di collocamento un virus grosso come un coniglio lo spedirei volentieri... :diavolo: ma non se puede far... Dicevo per i curriculum perchè i virus si propagano con gli allegati, tu dici che non ho infestato nessuno? posso avere la coscienza a posto?

Ciao Marina, mi dispiace che la modifica non abbia avuto successo :oops:
Senti scarica Ewido, qui http://news.swzone.it/swznews-16006.php , di seguito alcune istruzioni d'uso:
Installallo, lancialo con doppio click sull'icona con una grande E sul desktop.
Il programma chiederà di fare l'update, click su OK
Apparirà la schermata principale del programma dove è necessario
aggiornare ewido alle ultime definizioni delle firme dei virus.
Sulla parte sinistra della schermata principale click su update
Click su Start
L' update partirà ed una barra mostrerà la progressione dell'aggiornamento.
Scarica anche CCleaner ultima versione da qui http://news.swzone.it/swznews-16590.php, è ottimo per la cancellazione di file temporanei di windows e IE.
Riparti in modalità provvisoria , avvii Ewido con un click su scanner Assicurandoti che le seguenti caselle siano spuntate:
Binder
Crypter
Archives
Click su Start Scan
Attendi la conclusione della scansione
Mentre la scansione è attiva può presentarsi la richiesta di fare il clean del primo file infetto che trova ( se lo trova). Scegli "clean"
e spunta la casella "Perform action on all infections" nell'angolo a sinistra della finestra in modo da far effettuare da Ewido
automaticamente l'operazione ad ogni file infetto, Click su ok.
Poi usi CCleaner e cancelli file temporanei di windows, cookies, cache di IE ( in pratica clicchi sul programma, si apre sulla voce windows e spunti tutte le caselline sotto la voce Internet Explorer e sotto Sistema, poi cloicchi analizza e avvia Cleaner che ti cancella la roba indicata nelle caselline). Posta poi un nuovo log di hijackthis.

Marina scusa ancora :cry: , ma Ewido non è supportato da windows 98, il discorso di CCleaner per i file temporanei invece è valido.
Inolre questa voce
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
mi sembra sospetta. Ne sai qualcosa?
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 19/12/05 17:08

Non quotate post interi, solo la parte che vi interessa ;)
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

ciao Luke, ciao Dylan

Postdi marinaseal » 19/12/05 22:29

:( Come si dice qui a Firenze, sono nelle pesti... è la 3° volta che cerco di postarvi ma dopo poco il pc mi va in blocco o mi impedisce di scrivere. Dunque l'ultima manovra è stata quella di cancellare tutti gli eseguibili strani e i relativi collegamenti che ho trovato, in modalità provvisoria, prima di eliminarli definitivamente ho riavviato e fatto il controllo dei file di sistema da microsoft information system, caso mai li ripristino. Ora tento il suggerimento di Luke e scarico ewan, anche se ho già ripulito gnicosa in mod. provvisoria... grazie!
X Dylan, a proposito delle email :oops: , so che ci sono dei virus che catturano gli indirizzi email e si autoreplicano, per quello avevo il timore che ai destinatari del mio curriculum seguissero email con allegati virali :D .
Quando ho fatto, vi riposto il log, non abbandonatemi ora! :D ..............E' Natale! siate buoni...
ciao Marinaseal
Ps non riesco neanche a leggere la posta su Virgilio, non riesco più a fare il login
marinaseal
Utente Junior
 
Post: 20
Iscritto il: 05/12/05 20:57

l'ultimo log...

Postdi marinaseal » 22/12/05 13:23

Ciao,
scusate se non ho postato prima ma ho dei problemi... :D . Prima di ogni altra cosa vi mando tanti auguri per un Buonissimo Natale e un ottimo 2006 ;) . Allora... ho scaricato CCleaner che è ottimo (grazie Luke!) ma non riesce a togliermi due file .dat (neanche da modalità provv.) ecco il risultato:

ANALISI COMPLETATA - (0,108 sec)
--------------------------------------------------------------------------------------
0 bytes da rimuovere. (circa)

Dettaglio dei file da cancellare (NB: Non è ancora stato cancellato nessun file)
--------------------------------------------------------------------------------------
Contrassegnato per la cancellazione: C:\WINDOWS\Temporary Internet Files\Content.IE5\index.dat
Contrassegnato per la cancellazione: C:\WINDOWS\Cookies\index.dat
-----------------------------------------------------------------------------------

Questo è l'ultimo log di hijackthis: (ci vedete qualcosa che non va bene? io ho ancora i soliti problemi di connessione lentissima, non riesco a leggere e inviare la posta da virgilio webmail ( :evil: ma da hotmail si... mah!)

Logfile of HijackThis v1.99.1
Scan saved at 10.57.37, on 22/12/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
C:\WINDOWS\SYSTEM\INETSRV\INETINFO.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSDTCW.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\PWSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\A-DATA\USB FLASH DISK UTILITY\PLBKMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\PROGRAMMI\VODAFONE\VODAFONEMOBILECONNECTCARD\VODAFONEMOBILECONNECTCARD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Infostrada LIBERO
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = abbonati.libero.it;
http://www.libero.it;
*.libero.it;
*.iol.it;
;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [PWSTray] PwsTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ADATA_PLUtil] C:\Programmi\A-DATA\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
O4 - HKLM\..\RunServices: [inetinfo.exe] C:\WINDOWS\SYSTEM\inetsrv\inetinfo.exe -e w3svc
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMMI\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - Startup: Vodafone Mobile Connect Card.lnk = C:\Programmi\Vodafone\VodafoneMobileConnectCard\VodafoneMobileConnectCard.exe
O10 - Broken Internet access because of LSP provider 'c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/r ... nPUpld.cab
marinaseal
Utente Junior
 
Post: 20
Iscritto il: 05/12/05 20:57

Postdi Luke57 » 22/12/05 13:55

Ciao Marina, ricambio gli auguri
cancella con hijackthis questa voce, con le solite procedure adottate per le altre eliminate:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = abbonati.libero.it;
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 24/12/05 14:21

sai cosa sia sla.exe?
Avatar utente
Dylan666
Moderatore
 
Post: 40118
Iscritto il: 18/11/03 16:46

Prossimo

Torna a Sicurezza e Privacy

Chi c’è in linea

Visitano il forum: Nessuno e 25 ospiti

cron