Sto impazzendo...

[forzanapoli185]

ciao luke questi sn i file

bxD.exe
cEq.exe
EnC.exe
KJg.exe
tim.exe
vym.exe
wfB.exe

volevo anke kiederti in ke modo posso verificare se questo maledetto virus è stato tolto del tutto visto ke ho applicato tutti i procedimenti ke hai suggerito tu?

[forzanapoli185]

ciao luke ecco i file

bxD.exe
cEq.exe
EnC.exe
KJg.exe
tim.exe
vym.exe
wfB.exe

in ke modo posso verificare se questo maledetto virus è stato tolto del tutto visto ke ho applicato tutti i procedimenti ke hai suggerito tu?

[forzanapoli185]

ciao luke scusa ancora ti posto di nuovo il log di avenger perke noto dei passaggi in cui sembra essere fallito la canzellazione di quei file infetti potresti riguardarla e dirmi se è positivo quel e se avenger ha fatto il suo lavoro?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mdnrvljp

*******************

Script file located at: \??\C:\Documents and Settings\laonrblb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKLM\SYSTEM\CurrentControlSet\Services\NetRqh not found!
Deletion of registry key HKLM\SYSTEM\CurrentControlSet\Services\NetRqh failed!

Could not process line:
HKLM\SYSTEM\CurrentControlSet\Services\NetRqh
Status: 0xc0000034



File C:\WINDOWS\ylwvx1.dll not found!
Deletion of file C:\WINDOWS\ylwvx1.dll failed!

Could not process line:
C:\WINDOWS\ylwvx1.dll
Status: 0xc0000034



File C:\Programmi\File comuni\Microsoft Shared\lmkXMo.exe not found!
Deletion of file C:\Programmi\File comuni\Microsoft Shared\lmkXMo.exe failed!

Could not process line:
C:\Programmi\File comuni\Microsoft Shared\lmkXMo.exe
Status: 0xc0000034



File C:\WINDOWS\Temp\yylb1.exe not found!
Deletion of file C:\WINDOWS\Temp\yylb1.exe failed!

Could not process line:
C:\WINDOWS\Temp\yylb1.exe
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.


Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {92D8B666-1C89-5191-5D7B-C4B9B6F3B9BF} not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {92D8B666-1C89-5191-5D7B-C4B9B6F3B9BF} failed!
Status: 0xc0000034



Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yylb1.exe not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yylb1.exe failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

un'altra cosa ancora vorrei kiederti.. in un altro sito consigliano di scaricare la patch per evitare di prendere di nuovo questo virus.. tu cosa consigli di farmi?

[Luke57]

Ciao, sembra che avenger non l’abbia trovati. Pobabilemnete erano già stati cancellati. Se non ti senti tranquillo, riposta i due log di Gmer.
Inoltre da qui:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
scarica il tool per la rimozione del worm.
E’ un cleaner non uno scanner, per cui va indicato quale file ripulire
Dopo averlo scaricato, lo lanci, premi AGVPfix.exe, nella finestra che si apre premi start, cliccando su menu ad albero, trovi il percorso dei file verdi
C:\Programmi\file comuni\System
E uno alla volta li evidenzi e premi ok. Saranno eliminati bellamente.

[forzanapoli185]

ciao luke ecco i due log

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-24 22:28:10
Windows 5.1.2600 Service Pack 2


---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{3760FE19-BACB-4F99-8FA2-356313F76C85}

---- EOF - GMER 1.0.10 ----


e quello in autostart

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-24 22:28:42
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent@DLLName = Ati2evxx.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Ati HotKey Poller@ = %SystemRoot%\system32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = C:\WINDOWS\system32\ati2sgag.exe
Avg7Alrt /*AVG7 Alert Manager Server*/@ = C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
Avg7UpdSvc /*AVG7 Update Service*/@ = C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE"
NetUzq /*NetUzq*/@ = "C:\Programmi\File comuni\System\wfB.exe"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
WinDefend /*Windows Defender Service*/@ = "C:\Programmi\Windows Defender\MsMpEng.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ /*file not found*/ = /*file not found*/
@NVIDIA nTune"C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear = "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
@mmtaskc:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe /*file not found*/ = c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe /*file not found*/
@SunJavaUpdateSchedC:\Programmi\Java\jre1.5.0_04\bin\jusched.exe = C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
@OpwareSE2"C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" = "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
@CnxDslTaskBar"C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe" = "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
@MessengerPlus3"C:\Programmi\MessengerPlus! 3\MsgPlus.exe" = "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
@AVG7_CCC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP = C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
@Windows Defender"C:\Programmi\Windows Defender\MSASCui.exe" -hide = "C:\Programmi\Windows Defender\MSASCui.exe" -hide

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} = C:\PROGRA~1\WIFD1F~1\MpShHook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{00020D75-0000-0000-C000-000000000046} /*Microsoft Office Outlook Desktop Icon Handler*/C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL = C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Office Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} /*AVG7 Shell Extension*/C:\Programmi\Grisoft\AVG Free\avgse.dll = C:\Programmi\Grisoft\AVG Free\avgse.dll
@{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} /*AVG7 Find Extension*/C:\Programmi\Grisoft\AVG Free\avgse.dll = C:\Programmi\Grisoft\AVG Free\avgse.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0792.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0792.00.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG Free\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG Free\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar2.dll = c:\programmi\google\googletoolbar2.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.yahoo.com/ = http://www.yahoo.com/
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\msitss.dll
msero@CLSID = C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\MSERO.DLL
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0941B23F-F75C-4006-9982-D5464EB623CE} /*Connessione alla rete locale (LAN) 3*/ >>>
@IPAddress192.168.0.1 = 192.168.0.1
@NameServer =
@DefaultGateway =
@Domain =

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Logitech SetPoint.lnk

---- EOF - GMER 1.0.10 ----


dimmi quale è il loro esito.. quei file verdi in c\programmi\file comuni\system li posso cancellare tranquillamente, nn servono a niente, nn da nessun problema la loro eliminazione?

senti ho scaricato anke la patch della falla si winsows ke ha causato sto virus.. è sicura mi dici con sicurezza se testata ha dato esito positivo?

grazie

[forzanapoli185]

ciao luke scusa ancora ma volevo anke dirti ke in un altro sito ho letto ke alla fine bisogna cancellare la cartella di avenger contenente i backup.. ke faccio la posso cancellare?

infine dai un'okkiata http://www.microsoft.com/technet/securi ... 6-001.mspx
e mi dici se è con certezza questa la patch contro il linkoptimizer

grazie ancora

[Luke57]

Ciao, Avvia di nuovo il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\NetUzq


Files to delete:
C:\Programmi\File comuni\System\wfB.exe
C:\Programmi\File comuni\System\bxD.exe
C:\Programmi\File comuni\System\cEq.exe
C:\Programmi\File comuni\System\EnC.exe
C:\Programmi\File comuni\System\KJg.exe
C:\Programmi\File comuni\System\tim.exe
C:\Programmi\File comuni\System\vym.exe


Clicca sul pulsante Done
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes o Sì
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Posta il log di Avenger (C:/avenger.txt) con l´esito dello script

La patch è quella, ma anche chi l'ha scaricata pare che si sia infettato nuovamente.

I backups di avenger puoi cancellarli.

[forzanapoli185]

ciao luke ecco il log di avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cycyuigq

*******************

Script file located at: \??\C:\WINDOWS\axiyskxf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\CurrentControlSet\Services\NetUzq deleted successfully.
File C:\Programmi\File comuni\System\wfB.exe deleted successfully.
File C:\Programmi\File comuni\System\bxD.exe deleted successfully.
File C:\Programmi\File comuni\System\cEq.exe deleted successfully.
File C:\Programmi\File comuni\System\EnC.exe deleted successfully.
File C:\Programmi\File comuni\System\KJg.exe deleted successfully.
File C:\Programmi\File comuni\System\tim.exe deleted successfully.
File C:\Programmi\File comuni\System\vym.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

e se questa patch nn è efficace sapresti indicarmi qualke sistema o ke siti evitare per nn beccare di nuovo sto maledetto virus?
e poi volevo dirti anke ke ho ancora il problema con l'icona di C cambiata.. nn ce nessun modo per riempostare l'originale?

grazie ciao

[Luke57]

Ciao, prova a vedere questi link:
http://groups.google.it/group/it.comp.o ... fcb598a841

[forzanapoli185]

ciao luke ho seguito le indicazioni del sito ke mi hai dato..
ma il problema nn sn riuscito a risolverlo perke io ho trovato il file autoran.inf e lo cancellato senza ottenere nessun risultato allora ho navigato in regedit ma nn ci sn quelle cartelle in cui devo cancellare <drive>...

ma se rimane cosi l'icona puo creare danni col tempo?

poi credo ke la patch nn da buon esito perke in pratica anke sembra installarsi poi vado a vedere nel pannello e nn cè quindi mi sa ke nn è buona

riguardo ai siti da evitare per nn beccare piu sto virus nn mi sai dire niente?

grazie ciao

[forzanapoli185]

ciao luke, anke il problema icona è risolto, grazie mille..
senti mentre ti scrivo questo mess sto sl connesso e navigando in questo pagina e ho dato un'okkiata ai processi e volevo kiederti se questi valori qui sotto sn normali

explorer.exe 38.000
svchost.exe 26.000
IEXPLORER:EXE 21.700
MsMpEng.exe 12.600

grazie ciao

[Luke57]

Ciao, mi puoi dire come hai risolto il problema dell'icona?

I valori mi sembrano normali.

[forzanapoli185]

ciao luke, ho trovato quel file autoran.inf in C lo cancellato e poi al riavvio ho ritrovato l'icona ripristinata..

senti ci sn qualke programma di difesa contro ste minacce?
io uso avg come antivirus
ad-aware 6.0
windows defender beta 2
e hijackthis
e windows firewall attivato

ovviamente faccio continue scansioni
ci sn altri modi per proteggermi?
ciao grazie