Condividi:        

W32/Sober.AH

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

W32/Sober.AH

Postdi Mi fuma il pc » 22/11/05 22:32

Salve a tutti/e

Purtroppo aprendo una mail considerata molto affidabile ho avuto la jella di beccarmi il W32/Sober.AH :(

ho girato un po' in pokino in internet per cercare la soluzione come eliminare il maledetto "verme" ma nulla da fare.

ho dovuto eliminare anche norton antivirus 2005 xchè mi usciva una finestra con l'avviso di reinstallarlo.

L'ho disinstallato e poi ho cercato di rinstallarlo ma nulla da fare mi è uscito un errore e praticamente non ho potuto piu' continuare l'operazione :cry:

Avreste voi la soluzione su come eliminare sto maledetto worm dal mio pc??

ho provato a togliere anche la chiave C:\WINDOWS\Winsecurity\service.exe da

HKEY_CURRENT_USER_SOFTWARE_MICROSOFT_WINDOWS_RUN e da
HKEY_LOCAL_MACHINE_USER_SOFTWARE_MICROSOFT_WINDOWS_RUN
ma nulla da fare,se chiudo le cartelle e poi le riapro mi riappaiono :(

Un grazie anticipato

Mi fuma il pc
Mi fuma il pc
Utente Junior
 
Post: 21
Iscritto il: 22/09/04 17:54
Località: Zurigo

Sponsor
 

Postdi Mi fuma il pc » 22/11/05 22:41

OPSSSS dimenticavo l'errore che mi da Il Norton Antivirus per la nuova installazione è :arrow: ERRORE INTERNO 2349



Saluti
Mi fuma il pc
Mi fuma il pc
Utente Junior
 
Post: 21
Iscritto il: 22/09/04 17:54
Località: Zurigo

Postdi dudy70 » 22/11/05 23:12

Se pretendi perfezione dagli altri.....
Devi essere pefetto!
dudy70
Utente Senior
 
Post: 161
Iscritto il: 27/10/04 22:31

Postdi Mi fuma il pc » 23/11/05 02:03

Ciao dudi70, prima di tutto grazie per la pronta risposta ;) ho provato a fare un salto sul link ke hai scritto, ho fatto la scansione al pc come indicato e in effetti mi ha rilevato ed eliminato un bel po' di virus.

Riavviato il pc e fatto la scansione con HijackThis ( anche se come ci clicco sopra mi esce una finestrella con scritto "No virus.no worm.no infect file") e poi ho mandato il tutto a http://hijackthis.de/index.php?langselect=italian e mi risulta che ho ancora in

C:\WINDOWS\WinSecurity\services.exe

C:\WINDOWS\WinSecurity\smss.exe

C:\WINDOWS\WinSecurity\csrss.exe


Poi ho provato a reinstallare il NortonAntivirus ma nulla da fare mi esce sempre il fatidico errore 2349 :cry:

Cos'altro potrei provare??

Grazie
Mi fuma il pc
Mi fuma il pc
Utente Junior
 
Post: 21
Iscritto il: 22/09/04 17:54
Località: Zurigo

Postdi Mi fuma il pc » 23/11/05 02:12

gia ke ci sono ti mando il log



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\MXOALDR.EXE
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\WinSecurity\services.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\WinSecurity\smss.exe
C:\WINDOWS\WinSecurity\csrss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Windows NT\Accessori\WORDPAD.EXE
C:\Documents and Settings\mauro\Desktop\virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.kkguawxtsqkmmnn.us/vRSqkCiEm ... nFkeg.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\DOCUME~1\mauro\IMPOST~1\Temp\Rar$EX30.104\HijackThis.exe /startupscan
O8 - Extra context menu item: &Google-Suche - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programmi\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programmi\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/052e8712b23 ... 601_it.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsup ... mAData.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\RealVNC\WinVNC\WinVNC.exe" -service (file missing)


Siccome che anche mia figlia usa questo pc e scarica programmi a tutto spiano, non so con precissione quali file eliminare

Ancora grazie

Mi fuma il pc
Mi fuma il pc
Utente Junior
 
Post: 21
Iscritto il: 22/09/04 17:54
Località: Zurigo

Postdi Luke9792005 » 23/11/05 15:10

Ciao.

Devi postare il log completo di HijackThis, mentre prima hai omesso la prima parte.

Riposta, dunque! ;)

Ciao
Luke9792005
Guide Writer
 
Post: 1454
Iscritto il: 31/08/05 15:10

Postdi Mi fuma il pc » 23/11/05 17:54

risalve!

Eccoil log completo



Logfile of HijackThis v1.99.1
Scan saved at 17:50:02, on 23.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\MXOALDR.EXE
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\WinSecurity\services.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\WinSecurity\smss.exe
C:\WINDOWS\WinSecurity\csrss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\mauro\Desktop\virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.kkguawxtsqkmmnn.us/vRSqkCiEm ... nFkeg.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/free
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\DOCUME~1\mauro\IMPOST~1\Temp\Rar$EX30.104\HijackThis.exe /startupscan
O8 - Extra context menu item: &Google-Suche - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programmi\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programmi\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/052e8712b23 ... 601_it.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsup ... mAData.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\RealVNC\WinVNC\WinVNC.exe" -service (file missing)


E mi sono anche accorto che ogni volta che riavvio il pc il firewall di xp mi si disattiva :cry:
Mi fuma il pc
Utente Junior
 
Post: 21
Iscritto il: 22/09/04 17:54
Località: Zurigo

Postdi Luke57 » 23/11/05 18:36

Ciao, cancella dalla modalità provvisoria i tre file:
C:\WINDOWS\WinSecurity\smss.exe
C:\WINDOWS\WinSecurity\csrss.exe
C:\WINDOWS\WinSecurity\services.exe
oppure cancellali con Hijackthis, dopo averlo lanciato click su "do a system scan only" poi config>Misc tools>delete a file on reboot
andare nella finestra di ricerca che compare fino a trovare il file da cancellare , selezionare e click su "open"
rispondere "yes" alla richiesta se cancellare il file al reboot se si vuole riavviare subito, oppure no se si vogliono cancellare altri files, inserendo gli altri.
Per andare in modalità provvisoria premer eripetutamente il tasto f8 all'accensione del computer e poi da lì scegliere la modalità provvisoria spostandosi con le freccette, per poter visualizzare i file da esplora risorse click su strumenti>opzioni cartella>visualizzazione> togliere il segno di spunta a nascondi estensione file per i tipi di file conoscitu, nascondi le estensioni per i file protetti, mettere il segno di spunta a visualizza cartelle e file nascosti.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Mi fuma il pc » 23/11/05 20:39

Luke57 sei un grande ;)

Finalmente son riuscito ad eliminare Il Worm.

Ho provato direttamente con Hijackthis e mi ha eliminato tutto, poi per sicurezza son andato in modalità provvisoria e li non ho trovatonulla dei 3 maledetti file!

Adesso mi rimane solo di provare a reinstallare il Norton Antivirus, cmq ti faro' sapere se si sarò riuscito anche con quello.

Un enorme GRAZIE per l'aiuto a tutto lo staff da

Mi fuma il pc
Mi fuma il pc
Utente Junior
 
Post: 21
Iscritto il: 22/09/04 17:54
Località: Zurigo

Postdi Mi fuma il pc » 23/11/05 23:29

Rieccomi di nuovo qui.

Purtroppo nulla da fare, non riesco a installare il Norton, ogni volta che parte il cd dopo pochi secondi esce una minuscola finestrella con scritto

"Internal error 2349"


La mia domanda è

Meglio cambiare antivirus o sbattere la testa contro il muro?


Grazie

Mi fuma il pc
Mi fuma il pc
Utente Junior
 
Post: 21
Iscritto il: 22/09/04 17:54
Località: Zurigo

Postdi Luke57 » 24/11/05 09:07

Grazie del complmento, troppo buono, Norton spesso con problemi di virus diventa un problema nel problema! Penso che ti conviene disinstallarlo con questa procedura della Symantec. Poi, se vuoi, provare a reinstallarlo o a cambiare antivirus ( ve ne sono anche gratuiti in rete, tipo Antivir e AGV, basta cercare nel forum)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 24/11/05 09:18

Volevo aggiungere che per completare la procedura di rimozione del norton , se vuoi cambiare antivirus, deve essere ripulito il registro di sistema, procedura da fare manualmente o con programmi appositi tipo RegSeeker
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Mi fuma il pc » 24/11/05 23:18

Ciao Luke57


ho fatto come mi hai consigliato, ho disinstallato Norton con la procedura da te linkata, poi ho ripulito il registro di sistema con RegSeeker alla meglio ( xchè non so come funzioni esattamente) riprovato a reinstallare il Norton ma che ti vedo spuntare sul monitor??

eeeeeeeesatto, la solita minuscola finestrella con scritto

Internal error 2349 :(

Adesso mi sorge un dubbio, non è che si è rotto qualche file nel cd???

Mi sa che installo proprio un'altro antivirus ;)

Cmq Luke57 ancora 1000 grazie per l'aiuto che mi hai dato.

Salutoni
Mi fuma il pc
Mi fuma il pc
Utente Junior
 
Post: 21
Iscritto il: 22/09/04 17:54
Località: Zurigo

Postdi AlmaVenus80 » 05/12/05 00:57

Dunque dunque dunque! Anch'io credo di essere affetta dal virus Worm sober. Il Mio MSN Messenger ed Hotmail, infatti, non funzionano da giorni, credo che il tutto sia dovuto a W32/Sober@Z.mmm o qalcosa del genere. Ho fatto anch'io la scansione con quel programma ed ecco il risultato:

Logfile of HijackThis v1.99.1
Scan saved at 15.11.47, on 04/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Winamp\winampa.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\TextBridge Pro 8.0\Ereg\REMIND32.EXE
C:\Programmi\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Venera\IMPOST~1\Temp\Rar$EX00.766\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: reminder-Registrazione del prodotto Scansoft.lnk = C:\Programmi\TextBridge Pro 8.0\Ereg\REMIND32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesit.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3472081515
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/downloa ... ctiveX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72C27890-B77C-4ECE-9939-11835AAC6B0B}: NameServer = 85.37.17.39 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

[/url][/code]

Mi aiutate? Sto impazzendo! Come posso eliminare i worm senza ricorrere alla modalità provvisoria? Sono un'autodidatta, non vorrei combinare danni
AlmaVenus80
Newbie
 
Post: 6
Iscritto il: 05/12/05 00:53

Postdi AlmaVenus80 » 05/12/05 01:12

Devo eliminare anch'io quei tre file? Premetto che l'smss.exe si trova su Windows/system32, la posisione è la stessa? Si tratta dello stesso file? Posso eliminarlo senza danneggiare alcunchè?
AlmaVenus80
Newbie
 
Post: 6
Iscritto il: 05/12/05 00:53

Postdi AlmaVenus80 » 05/12/05 01:13

Una piccola correzione: il virus è Win32/Sober.Z@mm
AlmaVenus80
Newbie
 
Post: 6
Iscritto il: 05/12/05 00:53

Postdi Luke57 » 05/12/05 10:53

Ciao, il log esaminato qui risulta pulito, segnala come sospetta solo la voce 016 (Virgilio Community) , ma sicuramente è un sito che conosci. Ma quel virus che pensi di avere nel computer chi te l'ha segnalato?
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi AlmaVenus80 » 05/12/05 18:06

Ho letto su altri forum e su varie pagine interbet che questo virus è la causa principale del blocco di hotmail e messenger. L'errore che mi si dà all'avvio del programma è l'80048820. Ho provato tutte le soluzioni possibili e immaginabili, ma non hanno dato alcun successo, quindi credo che la presenza del Worm sia la causa del mio problema. Come posso rimuoverlo dal pc?
AlmaVenus80
Newbie
 
Post: 6
Iscritto il: 05/12/05 00:53

Postdi Luke57 » 05/12/05 20:24

AlmaVenus80 ha scritto: Come posso rimuoverlo dal pc?

Verifica la presenza del virus, guardando queste istruzioni
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi AlmaVenus80 » 05/12/05 20:59

Ho dato 1 occhiata alla pagina e credo di avere alcuni di quei file sospetti. E' necessario che avvii la modalità provvisoria per eliminarli, oppure posso toglierli andando su cerca file? E poi, non riesco ad effettuare la scansione antivirus consigliata nel sito che mi hai dato...come mai?
AlmaVenus80
Newbie
 
Post: 6
Iscritto il: 05/12/05 00:53

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "W32/Sober.AH":


Chi c’è in linea

Visitano il forum: Nessuno e 24 ospiti

cron