Virus, trojan roba che non riesco propio a rimuovere...

di **Marco5003** » 02/02/06 15:22

Ok, ripetero la procedura che mi hai postato in più disattivando gli antivirus...
Ma ricordo che insieme al DLL c'è anche quel:
- Service: Controllo account locale (ctrlacclc) - Unknown owner - C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe (file missing)

A tra poco, spero con buone notizie...

di **Luke57** » 02/02/06 15:38

Quello per ora, trascuralo è un file missing, dopo scansiona con ewido e pandascan.

di **Marco5003** » 02/02/06 15:43

Con ewido scansiono sempre

. Pandascan ora vedo su google.
Cmq scusa, i vari firewall ecc mi dicono in mod provvisoria che non funge la protazione in tempo reale... non vengo disattivati automaticamente?

di **Marco5003** » 02/02/06 15:46

Tra l'altro non funziona neanche il link per la scansione online sul sito panda software ne nel sito in italiano ne in quello in inglese

di **Marco5003** » 02/02/06 15:57

Cmq, nel task manager non ci sono processi di firewell ecc attivi mentre sono in mod provvisoria.
Non so come disattivarli cmq...
I vari SpyBot, Ad-Adware, Ewido, Agv, Kaspersky, VIRIT-LT, CCleaner, cwshredder... ammesso che siano attivi.

di **Luke57** » 02/02/06 16:02

Prova qui per panda, mi sembra che vada
http://www.toscanet.it/scan.htm
E' vero in modalità provvisoria l'antivirus e il firewall non sono in esecuzione automatica. Semmai per quella online con panda, io comunque a questo apsetto non mi ci fossilizzerei.

di **Marco5003** » 02/02/06 16:50

No, non va.
Vi ringrazio ragazzi ma mi arrendo, formattero.

Cmq
VundoFix V2.15 by Atri
--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.
--------------------------------------------------------------------------------------

killvundo.bat
process.exe
ReadMe.txt
vundo.reg
vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered
--------------------------------------------------------------------------------------

The filepath entered was C:\WINDOWS\System32\mlljh.dll

The second filepath entered was *C:\WINDOWS\System32\mlljh.dll

--------------------------------------------------------------------------------------

Log from Process
--------------------------------------------------------------------------------------

Killing PID 376 'smss.exe'
Error 0x6 : Handle non valido.

Killing PID 1208 'explorer.exe'
Killing PID 1208 'explorer.exe'

Killing PID 448 'winlogon.exe'
Error 0x6 : Handle non valido.

--------------------------------------------------------------------------------------

Could not delete C:\WINDOWS\System32\mlljh.dll.
*C:\WINDOWS\System32\mlljh.dll Deleted sucessfully.

Fixing Registry
--------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 16.49.31, on 02/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\Documents and Settings\Marco\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O20 - Winlogon Notify: RunServicesOnce - C:\WINDOWS\system32\e2202cfmgf2a2.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Controllo account locale (ctrlacclc) - Unknown owner - C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

Tutto questo dopo aver provato svariate volte il tuo metodo senza putroppo successo ed avere usato ewido.
Pazienza, alla prossima ragazzi.

di **Luke57** » 02/02/06 17:13

Mi dispiace, sembra che si sia aggiunta una sovrainfezione di look2me, fai un altro tentativo dai tanto ormai è diventato un lavoro

Scarica Unlocker è uno strumento che consente di sbloccare o eliminare gli oggetti in uso dal sistema operativo o da altre applicazioni.
Download:[168 KB]
http://ccollomb.free.fr/unlocker/unlocker1.7.8.exe
Poi apri il registro di sistema Start>esegui>regedt32>OK poi sul registro di sistema>modifica>trova>digiti sul campo bianco 4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23 ( è il numero CLSID della schifosa dll) , la voce che trova la evidenzi, clicchi col destro e scegli elimina, poi premi il tasto f3 (trova successivo) e se trova lo stesso numero lo elimini. Poi con unlocker cancelli il file
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
Poi guarda qui
http://forum.swzone.it/showthread.php?t=62137&page=14
ultimo post e istruzioni di Ste.

di **fabrizius** » 02/02/06 17:36

Fai cosi:

1/scarica VundoFix.exe e mettilo sul desktop.

2/doppio click su vundofix.exe
Questo crea un dossier Vundo

3/Riavvia in modalità provvisoria,(F8 all'avvio del PC)

Poi apri il dossier Vundo e fai doppio click su Killvundo.bat
Avrai questa avvertenza:
Citation:

VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....
Clicca Enter e avrai quets'altra notifica:
Citation:

Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.

Scrivi esattamente:C:\WINDOWS\System32\mlljh.dll
clicca [ENTER], poi F6 e poi di nuovo [ENTER],avrai questa citazione:
Citation:

Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.

Scrivi esattamente questo:C:\WINDOWS\SYSTEM32\hjllm,clicca ENTER,
poi F6 e poi di nuovo ENTER.

Si aprirà hijack e fixa queste due voci:
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\mlljh.dll

O20 - Winlogon Notify: mlljh - C:\WINDOWS\SYSTEM32\mlljh.dll

Chiudi tutto riavvia in modalità normale e posta un log

di **Marco5003** » 03/02/06 18:34

Ragazzi ho provato a seguire il consiglio di ste, e provando e riprovando a utilizzare quel vundo i dll non me li trova più

Però boh la situazione non mi sembra cambiata anche perchè hj è testardo e non me lo leva...

di **Marco5003** » 03/02/06 18:37

x fabrizius

Ho già provato svariate volte, anche schiacciando f6 invece che del ma mi dice che è impossibile accedere al file.

Luke, l'ultimo programmino che mi hai dato una volta installato non riesco a utilizzarlo!

di **Luke57** » 03/02/06 22:20

Ciao marco, guarda qui:
http://punto-informatico.it/download/scheda.asp?i=809

di **Marco5003** » 04/02/06 13:22

Dunque, ho provato a eliminare mlljh.dll in System 32... solito messaggio d'errore...
Clicco col destro... e... nuovo messaggio d'errore

"Si è verificato un errore poichè non si dispone dei privilegi di debug.
Per ulteriori dettagli, leggere le domande frequenti all'indirizzo http://ccolomb.free.fr/unlocker/

Comunque vada a finire, non ti finiro mai di ringraziare Luke...

di **Marco5003** » 04/02/06 13:24

[quote="Marco5003"]indirizzo correttohttp://ccollomb.free.fr/unlocker/

quote]

di **Luke57** » 04/02/06 13:34

Ciao Marco di nuovo, mi posti un log di hijackthis? tanto sai come si fa

Questa pagina, te l'avevo mai suggerita?
http://blogs.dotnethell.it/vincent/Post_1504.aspx
Molte cose del post ( tutto in inglese,mannaggia) l'abbiamo già tentate, però guardalo, mi sembra impossibile non riuscire a eliminarlo :evil:

di **Marco5003** » 05/02/06 09:56

Certo Luke ecco qui:
Logfile of HijackThis v1.99.1
Scan saved at 9.55.07, on 05/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\KONAMI\Pro Evolution Soccer 5\pes5.exe
C:\Documents and Settings\Marco\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [MsWindows SysDate] sysmsvc.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l0p20a7oed.dll
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFyY28\command.exe (file missing)
O23 - Service: Controllo account locale (ctrlacclc) - Unknown owner - C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

di **Luke57** » 05/02/06 14:11

Ciao marco, prova spysweeper da qui:
http://www.antispyware.ws
è in versione trial, dovrebbe ancora rimuovere gli spyware.

di **lucas/s** » 05/02/06 14:56

Luke57 ha scritto:Ciao marco, prova spysweeper da qui:
http://www.antispyware.ws
è in versione trial, dovrebbe ancora rimuovere gli spyware.

Già l'ha installato,almeno dal log pare così
Prova in questo modo
Scarica il tool da qui http://www.atribune.org/ccount/click.php?id=4
doppio click su VundoFix.exe
Metti la spunta nella casella "Run VundoFix as a task"
Adesso riceverai un messaggio che Vundo Fix si chiuderà e aprirà(da solo)in un minuto o anche meno clicca su OK
Una volta che si è riaperto clicca su "Scan for Vundo" finita la scansione clicca su "Remove Vundo"
Riceverai il messaggio se vuoi eliminare i files clicca su Yes
Il desktop scomparirà o diventerà bianco è normale
Finito ti chiederà di riavviare clicca su OK

Apri Hijackthis ed elimina queste voci
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll

O4 - HKLM\..\Run: [MsWindows SysDate] sysmsvc.exe

O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l0p20a7oed.dll

O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFyY28\command.exe (file missing)

O23 - Service: Controllo account locale (ctrlacclc) - Unknown owner - C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe (file missing)

Start>esegui
copia e incolla queste scritte
sc delete cmdService --------------->>Invio
sc delete ctrlacclc --------------->>Invio

Elimina queste cartella(in rosso)
C:\WINDOWS\TWFyY28
C:\WINDOWS\downlo~1\fcoomxt

apri C:\ e dovresti trovare il file vundofix.txt posta il contenuto qui nel forum
ciao

di **Marco5003** » 05/02/06 17:53

VundoFix V4.2.16
Scan started at 15.21.59 29/01/2006

Listing files found while scanning....

C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.bak2

VundoFix V4.2.16
Scan started at 16.31.41 29/01/2006

Listing files found while scanning....

C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.bak2

Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\hjllm.bak2
C:\WINDOWS\System32\hjllm.bak2 Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V4.2.16
Scan started at 17.23.43 29/01/2006

Listing files found while scanning....

C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.bak1

C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\mlljh.dll
Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Could not be deleted.

Attempting to delete C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\hjllm.bak1
C:\WINDOWS\System32\hjllm.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\mlljh.dll
C:\WINDOWS\system32\mlljh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V4.2.1
Scan started at 16.01.39 03/02/2006

Listing files found while scanning....

C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\hjllm.bak2
C:\WINDOWS\system32\hjllm.tmp
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\mlljh.dll
Attempting to delete C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\hjllm.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\hjllm.bak2
C:\WINDOWS\system32\hjllm.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\hjllm.tmp
C:\WINDOWS\system32\hjllm.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\hjllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\hjllm.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\mlljh.dll
C:\WINDOWS\system32\mlljh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V4.2.1
Scan started at 16.07.59 03/02/2006

Listing files found while scanning....

VundoFix V4.2.1
Scan started at 17.18.36 03/02/2006

Listing files found while scanning....

VundoFix V4.2.1
Scan started at 18.32.52 03/02/2006

Listing files found while scanning....

VundoFix V4.2.1
Scan started at 19.02.24 03/02/2006

Listing files found while scanning....

VundoFix V4.2.21
Scan started at 17.11.14 05/02/2006

Listing files found while scanning....
Some files may be listed more then once

C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.bak2
C:\WINDOWS\System32\hjllm.ini2

C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\hjllm.bak2
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\mlljh.dll
Attempting to delete C:\WINDOWS\System32\mlljh.dll
C:\WINDOWS\System32\mlljh.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\hjllm.ini
C:\WINDOWS\System32\hjllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\System32\hjllm.bak2
C:\WINDOWS\System32\hjllm.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\System32\hjllm.ini2
C:\WINDOWS\System32\hjllm.ini2 Has been deleted!

Performing Repairs to the registry.
Done!

Ecco un nuovo log di Hijack

Logfile of HijackThis v1.99.1
Scan saved at 17.49.53, on 05/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Marco\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [MsWindows SysDate] sysmsvc.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\l0p20a7oed.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe

di **lucas/s** » 05/02/06 18:08

ciao,una cosa è risolta,adesso bisogna risolvere l'altra!!!
Apri il block notes di windows,all'interno copia e incolla le scritta in rosso

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsWindows SysDate"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"MsWindows SysDate"=-

File>salva con nome(desktop)
Salvalo come "tutti i files"(è importantissimo)
Chiamalo del.reg

Avvia in provvisoria
Portati sul desktop
Doppio click sul file del.reg
alla domanda se vuoi unirlo al registro rispondi di SI
Aspetta il messaggio di avvenuta unione nel registro

Imposta la visualizzazione di tutti i files e cartelle,ed elimina i files in rosso(se presenti)
C.:\Windows\sysmsvc.exe
C:\Windows\System32\sysmsvc.exe

Riavvia in modalità normale
Scarica questo programma http://www.atribune.org/downloads/l2mfix.exe
Salvalo sul desktop,avvia l'eseguibile,a fine estrazioni si creerà una nuova cartella(l2mfix)
Apri la cartella,doppio click su l2mfix.bat,si apre la finestra prompt
Dove lampeggia il cursore digita 1
Attendi un po e si aprirà il block notes,per piacere posta il contenuto del block notes nella tua riposta
ciao

Virus, trojan roba che non riesco propio a rimuovere...

Topic correlati a "Virus, trojan roba che non riesco propio a rimuovere...":

Chi c’è in linea