Condividi:        

Virus, trojan roba che non riesco propio a rimuovere...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Virus, trojan roba che non riesco propio a rimuovere...

Postdi Marco5003 » 26/01/06 18:45

Allora ragazzi ho diversa roba che mi è entrata nel pc e non riesco propio a eliminare... Formattare propio non vorrei, dato che ho moooolta roba sul pc e non ho nemmeno il masterizzatore dvd xcui sarebbe abbastanza un dramma la cosa...
Premetto che nel pc, ho installato e tengo aggiornati:
Spybot - Search & Destroy
Ad-Aware SE Personal
AVG Free
Kaspersky Anti-Virus Personal

I virus ci sono, non so se li ho presi ma comunque è oramai da un bel pò che ci convivo. Gli antivirus trovano rimuovono ecc ma appena si ri-accende ci sono di nuovo si recreano ecc.
Tra l'altro uno è molto sgradevole... mi apre continuamente pagine web... con roba a pagamento da installare ecc...
Poi un programma tale

-riavvio per problemi tra un pò continuo :mmmh:
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Sponsor
 

Postdi Marco5003 » 26/01/06 18:52

Che bello constatare che in questo forum non si possono modificare i messaggi!
Cmq, c'è un programma, tale Command che penso sia la causa di tutto che non riesco a disinstallare e che mi manda a questo http://command.adservs.com/uninstall.php inutile va beh.
Cmq ora posto il log di HijackThis:



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Marco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\ennml1511.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFyY28\command.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe



Tale NdivdGuidV2 penso sia il virus che fu la causa di tutto qualche tempo... e anche altri.(come command appunto) Fatto sta che non riesco a levarli.
Qualcuno, saprebbe molto gentilmente aiutarmi?
Che devo fare?
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Postdi Luke57 » 26/01/06 19:50

Ciao Marco, hai incollato male il log, non si vede il sistema operativo, ma presumo che tu abbia Xp.Penso anche che tu abbia un'infezione da look2me. Qui
http://www.pc-facile.com/forum/viewtopic.php?t=41394
trovi le istruzioni d'uso e il link per scaricare ewido seurity suite ( è un programma shareware-freeware, nel senso che dopo 14 gg. perde la protezione in real time, ma si può ugualmente aggiornare e utilizzare per fare scansioni). Disattiva il ripristino configurazione di sistema Riavvia in modalità provvisoria, fai una scansione con ewido. Salva il report sul desktop e postalo, assieme a un altro log di hijackthis fatto in modalità normale.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Marco5003 » 26/01/06 21:25

Ciao Luke e grazie per la tua assistenza ;)
Ho fatto ciò che hai detto, in più quando ero in mod provvisoria ho fatto la scansione anche con tutti gli altri antivirus mentre il modem era staccato..
La situazione nonostante tutto non mi sembra migliorata...
Cmd service-comand service o come si chiama non riesco a eliminarlo, è tipo una chiave di non so cosa e non so come rimuoverla.
Questo è comunque il Log aggiornato.
Che devo fare? :(

Logfile of HijackThis v1.99.1
Scan saved at 21.22.47, on 26/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\ewido anti-malware\SecuritySuite.exe
C:\Documents and Settings\Marco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\vtstu.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\irr6l59s1.dll
O20 - Winlogon Notify: vtstu - C:\WINDOWS\SYSTEM32\vtstu.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Dimenticavo la scansione del nuovo antivirus

Postdi Marco5003 » 26/01/06 21:42

---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 20.55.02, 26/01/2006
+ Report-Checksum: 248C57BB

+ Risultati scansione:

[1116] C:\WINDOWS\system32\mgnetobj.dll -> Spyware.Look2Me : Pulito con Backup
C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me : Pulito con Backup
C:\WINDOWS\system32\mgnetobj.dll -> Spyware.Look2Me : Pulito con Backup


::Fine Rapporto
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Postdi Alexsandra » 26/01/06 22:18

Riavvia dalla provvisoria con il ripristino di configurazione disabilitato ,visualizza file e cartelle nascoste ,lancia Hijacthis e fixa queste voci

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\vtstu.dll
O20 - Winlogon Notify: vtstu - C:\WINDOWS\SYSTEM32\vtstu.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\irr6l59s1.dll
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)

Inoltre questo processo C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe non mi risulta in nessun database,se non sei certo della provenienza apri il task manager e lo selezioni e premi termina processo

vedo che hai Webroot fai una scansione con quello ed eventualmente dalla provvisoria vai in C:\Windows\System32 e rimuovi le dll sopracitate manualmente (te le dovrebbe togliere Webroot,ma fai un controllo)
- Il primo fondamento della sicurezza non e' la tecnologia, ma l'attitudine mentale.

Win7 + Office 2003 Ita
Avatar utente
Alexsandra
Utente Senior
 
Post: 2358
Iscritto il: 09/01/06 20:31

Postdi Luke57 » 26/01/06 22:20

Allora, Look2me è stato intercettato da ewido, ma adesso c’è un’infezione da Trojan vundo, difficile da rimuovere.
Proviamo : scarica FixVundo e tienilo sul desktop
Dalla modalità provvisoria, cerchi con il task manager, se lo trovi, il processo
C:\WINDOWS\nvidGUIv.exe e lo termini
apri hijackthis, premi “do a system scan only” cerchi e spunti le seguenti voci:
C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe ( non ho trovato niente su google, ma il nome non dice niente di buono, se lo vuoi far analizzare prima di agire qui http://www.virustotal.com/flash/index_en.html)
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\vtstu.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\irr6l59s1.dll
O20 - Winlogon Notify: vtstu - C:\WINDOWS\SYSTEM32\vtstu.dll
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)
Premi ”fix checked”
Fai girare Fixvundo scaricato prima
Rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema " e deseleziona "nascondi file protetti e di sistema". Clicca su OK., cerchi ed elimini i seguenti file:
C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe ( se considerato infetto)
C:\WINDOWS\system32\irr6l59s1.dll
C:\WINDOWS\SYSTEM32\vtstu.dll
C:\WINDOWS\nvidGUIv.exe
Cacnella il contenuto di windows\temp e di windows\tmp, i file temporanei di IE, cookies, svuota cestino. Dalla modalità normale posta nuovo log di hijackthis.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Alexsandra » 26/01/06 22:26

Scusa Luke57 ma ci siamo sovrapposti,hai postato mentre preparavo il mio post. Ho appena trovato anche questo link con un tools per la rimozione
http://translate.google.com/translate?h ... s%26sa%3DG
- Il primo fondamento della sicurezza non e' la tecnologia, ma l'attitudine mentale.

Win7 + Office 2003 Ita
Avatar utente
Alexsandra
Utente Senior
 
Post: 2358
Iscritto il: 09/01/06 20:31

Postdi Marco5003 » 27/01/06 11:25

Dunque, ragazzi, ho fatto tutto ciò che mi avete detto, ma nulla... ho pure dato un occhiata a quel tools ma nulla :(
Secondo me il virus number one, che ri-crea tutto e che è "indistruttibile da qualsiasi antivirus" è il Command Service" che è appunto credo una chiave che vada rimossa manualmente...
Adware.Look2Me. fa parte dello stesso virus?
Ragazzi ma possibile che non si può far nulla? :(

Ecco Spy-Bot in che chiave di registro mi segna command service:
Command Service: Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

Command Service: Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService

DoubleClick: Cookie tracciante (Internet Explorer: Marco) (Cookie, nothing done)


Avenue A, Inc.: Cookie tracciante (Internet Explorer: Marco) (Cookie, nothing done)


MediaPlex: Cookie tracciante (Internet Explorer: Marco) (Cookie, nothing done)
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Postdi Luke57 » 27/01/06 11:28

Ciao, posta un nuovo log di hijackthis, è fondamentale per vedere le voci 02 e 020
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Marco5003 » 27/01/06 12:26

Ciao, si eccotelo... molti cosi non me li fixa mi da errore :( e quei file k m hai detto in system 32 non ci sono...

Cmq ecco:

Logfile of HijackThis v1.99.1
Scan saved at 12.24.00, on 27/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Documents and Settings\Marco\Desktop\HijackThis.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\imapi.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\n4p40e7qeh.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Postdi Luke57 » 27/01/06 12:42

Ciao,in effetti non è facle: esegui queste operazioni
Scarica VundoFix.exe sul desktop
http://www.atribune.org/ccount/click.php?id=4
Doppio click su VundoFix.exe
Clicca su Scan for Vundo
Quando la scansione è finita clicca su Remove Vundo
Riceverai un messaggio se vuoi eliminare i files clicca su Yes
Una volta che clicchi su Yes il desktop diventerà bianco e la rimozione andrà avanti
Una volta finito ti chiederà di riavviare clicca su OK
Una volta che il pc si riavvierà posta il contenuto del file C:\vundofix.txt
Fammi sapere, in caso negativo tenteremo altre strade.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Marco5003 » 27/01/06 13:06

Symantec Trojan.Vundo Removal Tool 1.5.0
The process "IEXPLORE.EXE" might be affected by the threat. It has been suspended.
The process "explorer.exe" contained a viral thread (00000604). The thread was terminated.
The process "explorer.exe" contained a viral thread (00000608). The thread was terminated.
The process "IEXPLORE.EXE" might be affected by the threat. It has been terminated.

C:\System Volume Information: (not scanned)

Trojan.Vundo has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 18594
The number of deleted files: 0
The number of viral processes terminated: 1
The number of viral processes suspended: 1
The number of viral threads terminated: 2
The number of registry entries fixed: 0


Non mi ha chiesto di rimovere nulla alla fine...
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Postdi Luke57 » 27/01/06 13:24

Ciao, posta un log di hijackthis dalla modalità normale.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Marco5003 » 27/01/06 13:52

Logfile of HijackThis v1.99.1
Scan saved at 13.52.26, on 27/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.exe
C:\Documents and Settings\Marco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\n4p40e7qeh.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Postdi Luke57 » 27/01/06 15:48

Ciao, le cose sono esattamente le stesse ( vundo removal non ha funzionato). Esegui quel Vundofix segnalato nel link sopra, rifai una scansione con ewido dalla modalità provvisoria, posti nuovo log, referto di ewido e di c\vunfofix.txt. A domani.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Marco5003 » 27/01/06 21:48

---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 21.42.32, 27/01/2006
+ Report-Checksum: 246A240E

+ Risultati scansione:

[1120] C:\WINDOWS\system32\lpcalspl.dll -> Spyware.Look2Me : Errore durante la pulizia
[1440] C:\WINDOWS\system32\lpcalspl.dll -> Spyware.Look2Me : Errore durante la pulizia
C:\Documents and Settings\Marco\Cookies\marco@atdmt[1].txt -> Spyware.Cookie.Atdmt : Pulito con Backup
C:\Documents and Settings\Marco\Cookies\marco@overture[1].txt -> Spyware.Cookie.Overture : Pulito con Backup
C:\Documents and Settings\Marco\Impostazioni locali\Temporary Internet Files\Content.IE5\1V37HX0E\script-34[1].htm -> Not-A-Virus.Exploit.HTML.CodeBaseExec : Pulito con Backup
C:\WINDOWS\system32\kydpo.dll -> Spyware.Look2Me : Pulito con Backup
C:\WINDOWS\system32\__delete_on_reboot__lpcalspl.dll -> Spyware.Look2Me : Pulito con Backup


::Fine Rapporto


Symantec Trojan.Vundo Removal Tool 1.5.0
The process "IEXPLORE.EXE" might be affected by the threat. It cannot be terminated.
The process "explorer.exe" contained a viral thread (00000634). The thread was terminated.
The process "explorer.exe" contained a viral thread (00000638). The thread was terminated.
The process "IEXPLORE.EXE" might be affected by the threat. It has been terminated.

C:\System Volume Information: (not scanned)

Trojan.Vundo has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 23649
The number of deleted files: 0
The number of viral processes terminated: 1
The number of viral threads terminated: 2
The number of registry entries fixed: 0
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Postdi Luke57 » 27/01/06 22:18

Ciao di nuovo, hai rifatto una scansione con il removal della symantec, devi farla con questo VundoFix.exe http://www.atribune.org/ccount/click.php?id=4
Scaricalo sul desktop Doppio click su VundoFix.exe
Clicca su Scan for Vundo
Quando la scansione è finita clicca su Remove Vundo
Riceverai un messaggio se vuoi eliminare i files clicca su Yes
Una volta che clicchi su Yes il desktop diventerà bianco e la rimozione andrà avanti
Una volta finito ti chiederà di riavviare clicca su OK
Una volta che il pc si riavvierà posta il contenuto del file C:\vundofix.txt
Posta anche un altro log di hijackthislo
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi Marco5003 » 28/01/06 10:45

Ecco qua:
VundoFix V4.0

Listing files found while scanning....


VundoFix V4.0

Listing files found while scanning....



VundoFix V4.2.14
Scan started at 0.58.14 28/01/2006

Listing files found while scanning....


C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\hjllm.tmp
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\mlljh.dll

VundoFix V4.2.14
Scan started at 0.58.40 28/01/2006

Listing files found while scanning....


C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\hjllm.tmp
C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\mlljh.dll
Attempting to delete C:\WINDOWS\system32\hjllm.bak1
C:\WINDOWS\system32\hjllm.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\hjllm.tmp
C:\WINDOWS\system32\hjllm.tmp Has been deleted!

Attempting to delete C:\WINDOWS\system32\hjllm.ini
C:\WINDOWS\system32\hjllm.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\hjllm.ini2
C:\WINDOWS\system32\hjllm.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\mlljh.dll
C:\WINDOWS\system32\mlljh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

_____________________________________________________________


Logfile of HijackThis v1.99.1
Scan saved at 10.44.20, on 28/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\StartupMonitor.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmi\ewido anti-malware\SecuritySuite.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Marco\Desktop\HijackThis.exe
C:\Programmi\Windows Media Player\wmplayer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Windows Update] update32.exe
O4 - HKLM\..\RunServices: [Windows Update] update32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Watch.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\gp44l3hq1.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programmi\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
Marco5003
Utente Junior
 
Post: 49
Iscritto il: 26/01/06 18:34

Postdi Luke57 » 28/01/06 11:54

Ciao, si è aggiunta una nuova infezione (secure32) non sarà facile ricondurre il computer a sistema funzionante. Esegui queste operazioni per come descritte di seguito, alla lettera, stampando la pagina :
scarica CwShredder da qui: http://www.ilsoftware.it/querydl.asp?ID=750
scarica CCleaner ultima versione da qui http://news.swzone.it/swznews-16590.php,
Disattiva il ripristino configurazione di sistema, avvia in modalità provvisoria, apri hijackthis, cerca le seguenti voci e metti il segno di spunta:
C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: ATLDistrib Object - {4A85F02A-CCD3-4E96-9BB1-7ACE7D0B9C23} - C:\WINDOWS\System32\mlljh.dll
O4 - HKLM\..\Run: [Windows Update] update32.exe
O4 - HKLM\..\RunServices: [Windows Update] update32.exe
O20 - Winlogon Notify: mlljh - C:\WINDOWS\System32\mlljh.dll
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\gp44l3hq1.dll
O23 - Service: nvidGUIv (nvidGUIv2) - Unknown owner - C:\WINDOWS\nvidGUIv.exe (file missing
Premi “fix checked”
Lancia il tool removal fundo della Symantec e poi l’altro tool (vundofix)
Rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deseleziona "nascondi file protetti e di sistema". Clicca su OK., cerchi ed elimini i seguenti file ( se ci sono):
c:\secure32.html
C:\WINDOWS\downlo~1\fcoomxt\xtzkig2m.exe
C:\WINDOWS\System32\mlljh.dll
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\gp44l3hq1.dll
Utilizza CCleaner ( lo lasci impostato com’è di default, devi solo in opzioni>avanzate, lasciare la spunta a backup a “chiedi backup delle voci di registro” e toglierla a “cancella file windows solo se più vecchi di 48 ore) per eliminare i file temporanei di windows, quelli di IE, cookies, cestino.
Su pannello di controllo, installazioni\applicazioni, rimuovi tutti i programmi, se ci sono, non installati da te
Esegui CwShredder, lanciandolo e premendo fix ( non scan only).
Fai un’altra scansione del sistema con ewido.
Posta nuovo log di hijackthis
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Virus, trojan roba che non riesco propio a rimuovere...":


Chi c’è in linea

Visitano il forum: Nessuno e 26 ospiti