Virusssssssss......

di **Symon86** » 06/11/06 22:03

Ragazzi, chiedo aiuto a voi perche da solo sto impazzendo....
E' da una sett che sto combattendo con un virus o qualcosa di simile che si è infilato nel mio pc. maledetto!

In pratica dopo aver trovato sotto risorse di rete una connessione sconosciuta che chiamava 899 etc.etc. ho cominciato a scannerizzare quà e là il pc e ho trovato sempre ogni giorno qualcosa in più che non quadrava.

1 - Prima cosa ogni tanto sotto esecuzione automatica compare qualche file del cavolo .exe che cerca di connettersi a Internet (uso Zone alarm, quindi li ho sempre bloccati)

2 - Poi mi si creano strane cartelle con nomi assurdi (tipo: AdsAd_fdfes) sotto C:\documents and settings

3 - Ho trovato sotto Gruppi\Administrator un nome di amministratore strano che ho tolto immediatamente.

4 - Non mi si aprono più pagine tipo hijackthis etc.etc. Cioè che riguardano software anti-spyware e altre pagine di questo genere.

Ho scansionato tutto con AVG, Ad-aware, Spybot....Ma questi problemi persistono...VI PREGO AIUTATEMI! :aaah

Ho fatto anche una scansione su bit-defender che qualcosina ha trovato e cancellato.
Ora tutti i prog non trovano più niente ma i probl ci sono invece!!! :evil:

A proposito, spybot non riesce ad eliminare 3 chiavi di reg perchè "usate dalla memoria". Ho provato anche in mod provvisoria ma niente.
Sono delle chiavi che sembrano appartenere ad Download Accelerator.

Che altro posso fare? Non ditemi che non ci sono speranze.... :cry:

grazie!

di **Luke57** » 07/11/06 08:32

Ciao, scarica runanalyzer da qui (rilascia un rapporto stile hijackthis, anche se non propriamente uguale):
http://www.safer-networking.org/files/runalyz.exe
lasciagli caricare le informazioni, poi vai su "Rapporti" e clicca su "Crea Rapporto stile HJT",salvalo cliccando sull'icona apposita.
Poi lo incolli in un post.

di **Symon86** » 07/11/06 19:30

ciao, non posso aprire il link perchè questo cavolo di spy o virus che sia mi blocca...

cosa posso fare?

di **Symon86** » 07/11/06 23:29

help ragazzi......!!!! :-?

di **Symon86** » 08/11/06 22:04

UP!....

HELP!!! :aaah

di **Luke57** » 08/11/06 22:37

Ciao, apri il registro di sistema
da START\ESEGUI digita regedit>OK
Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon, controlla sulla parte destra accanto alla voce
Userinit=che cosa hai e fammelo sapere.

Controlla anche questa voce:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run, click su quest'ultima cartella, fai sapere cosa trovi al suo interno.

di **Symon86** » 11/11/06 10:18

Accanto alla voce Userinit c'è scritto "C:\WINDOWS\system32\userinit.exe,"

Invece sotto policies non ho Explorer\Run, ma ho HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run

e lì ho:

AVG7_CC C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
iTunesHelper "C:\Programmi\QuickTime\iTunesHelper.exe"
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
nwiz nwiz.exe /install
QuickTime Task "C:\Programmi\QuickTime\qttask.exe" -atboottime
RemoteControl C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
SoundMan SOUNDMAN.EXE
SunJavaUpdateSched C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
Zone Labs Client "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"

Io penso che il computer sia pulito da eventuali dialer, virus, o spyware; solo che i problemi rimasti sono sempre che mi a appaiono strane cartelle all'avvio sotto Documents and Settings, e non mi apre più pagine di Internet che possono essermi utili.

Ho dato un occhiata anche a msconfig ma mi sembra tutto ok....

di **Luke57** » 11/11/06 12:55

Ciao, ma nel percorso dopo CurrentVersion non hai la cartella Policies, poi Explorer e Run?

di **BilloKenobi** » 11/11/06 13:16

quella chiave non esiste di default, viene aggiunta dall'eventuale clicker

o altri virus chene possono fare uso

di **Symon86** » 12/11/06 10:54

no, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run non cel'ho...

Ho solo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run

:evil:

di **Symon86** » 13/11/06 18:54

ragazzi ho scaricato alcuni programmi che penso possano essermi utili...L'ho fatto da lavoro e li ho portati a casa con un HD esterno.

Volevo consigli e suggerimenti su come usarli.

Ho: Avenger
Dustbusterxp
Gmer
RegSeek
Smitfraudfix
RegCleaner
RunAlyz
CCleaner
HijackThis

Mi consigliate di usarli un mod provvisoria o no?

Grazie per l'aiuto!

di **Symon86** » 14/11/06 21:44

UP! HELP!!!... :cry:

di **Luke57** » 15/11/06 16:06

Ciao, per adesso lascia da parte i programmi scaricati e prova qui con questi due tools:
http://www.mytempdir.com/1035021
(i files sono già stati rinominati per bypassare il controllo che il gromozon ha sui Fix)

Lancia per primo quello contrassegnato dal numero "1" , che si riferisce al tool della prevx
(disattiva l'antivirus durante la scansione. Il programma fa riavviare il computer e al riavvio termina la scansione. Rilascia un report che trovi in C:\Gromzon_Removal.log.
e poi, esegui quello contrassegnato con il numero "2" (symantec)
lo scan va eseguito dalla modalità provvisoria (riavvii il computer, premi il tasto F8 ripetutamente all'accensione del computer e prima che si carichi windows, nella schermata che appare scegli modalità provvisoria spostandoti con le freccette e confermi la scelta premendo invio. Segui poi le istruzioni a schermo).
Anch’esso rilascia un report nella stessa cartella dove hai sistemato il file (FixLinkopt.log).

Incolla in un post ambedue i report.

di **Symon86** » 16/11/06 18:44

Grazie Luke! Ora mi apre tutti i siti!!!.....

Sai, da modalità con il tasto dx su Risorse del computer\ gestione ho tolto 2 user che mi sembravano "strani" e così ogni volta all'avvio sotto Document and settigs non appare più nulla di strano. Sembra che ho risolto così...ma non sò se basta.

Cmq il mio antivirus ogni tanto mi trova qualche .dll che risulta infetta. Mah...

Ecco le log:

Gromozon:

Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: C:\WINDOWS\system32\alsndmgy.wav
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\Services\yOuiic.exe
Removing protected file: C:\Programmi\File comuni\Services\zcuDhKe.exe
Removing protected file: C:\Programmi\File comuni\Services\ZGA.exe
Removing protected file: C:\Programmi\File comuni\System\CDB.exe
Removing protected file: C:\Programmi\File comuni\System\JEu.exe
Removing protected file: C:\Programmi\File comuni\System\lhmYYg.exe
Removing protected file: C:\Programmi\File comuni\System\OmZ.exe
Removing protected file: C:\Programmi\File comuni\System\QotYTVP.exe
Removing protected file: C:\Programmi\File comuni\System\RdjYFAy.exe
Removing protected file: C:\Programmi\File comuni\System\sZO.exe
Removing protected file: C:\Programmi\File comuni\System\xVm.exe

Trojan.Gromozon Removed!

e Symantec:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group
service: UpdGpl (logon as: .\xnSwItSRGLIXM, passed filters)

Trojan.Linkoptimizer has not been found on your computer.

Ora che mi consigli?

Grazie 1000 per l'aiuto che mi stai dando!

di **Luke57** » 16/11/06 19:30

Ciao, visto che hai Gmer, lo apri, premi il tab >>>> per entrare in Avanzate, premi il tab Rootkit (spunta la casella ADS), finita la scansione premi il tasto copy, incolli il report dello scan in un file di testo.
Poi, sempre con Gmer, premi il tab Autostart, premi Scan, finita la scansione premi il tasto copy, incolli il report nel medesimo file di testo.
Poi copi e incolli i due report in un post nel forum.

di **Symon86** » 16/11/06 20:19

ma da mod provv o no?

di **Luke57** » 16/11/06 20:53

Symon86 ha scritto:ma da mod provv o no?

Ciao, dalla modalità normale.

di **Symon86** » 16/11/06 22:29

eccoli:

Rootkit:

MER 1.0.12.11889 - http://www.gmer.net
Rootkit scan 2006-11-16 22:22:39
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.12 ----

SSDT 86D782C0 ZwAlertResumeThread
SSDT 86D78138 ZwAlertThread
SSDT 86EFEBD0 ZwAllocateVirtualMemory
SSDT 86CA6E78 ZwConnectPort
SSDT 86D78958 ZwCreateMutant
SSDT 86EFE588 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey
SSDT \??\C:\Programmi\Symantec\SYMEVENT.SYS ZwDeleteValueKey
SSDT 86D774E0 ZwFreeVirtualMemory
SSDT 86D787E0 ZwImpersonateAnonymousToken
SSDT 86D78468 ZwImpersonateThread
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey
SSDT 86E51738 ZwMapViewOfSection
SSDT 86D78AD0 ZwOpenEvent
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenProcess
SSDT 86D77348 ZwOpenProcessToken
SSDT 86D77988 ZwOpenThreadToken
SSDT 86EF9258 ZwQueryValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey
SSDT 86897290 ZwResumeThread
SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort
SSDT 86D77AF8 ZwSetContextThread
SSDT 86D77800 ZwSetInformationProcess
SSDT 86D77C78 ZwSetInformationThread
SSDT \??\C:\Programmi\Symantec\SYMEVENT.SYS ZwSetValueKey
SSDT 86D78C48 ZwSuspendProcess
SSDT 86D78100 ZwSuspendThread
SSDT 86D771B0 ZwTerminateProcess
SSDT 86D780C8 ZwTerminateThread
SSDT 86D77668 ZwUnmapViewOfSection
SSDT 86ECA7A8 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.12 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 235C 80501074 8 Bytes
.text ntkrnlpa.exe!ZwCallbackReturn + 2514 8050122C 8 Bytes
.text ntkrnlpa.exe!ZwCallbackReturn + 26BC 805013D4 8 Bytes
.text ntkrnlpa.exe!ZwCallbackReturn + 2720 80501438 8 Bytes
.text ntkrnlpa.exe!ZwCallbackReturn + 2730 80501448 8 Bytes

---- Devices - GMER 1.0.12 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F413D3D0] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [F413D3D0] vsdatant.sys

---- Files - GMER 1.0.12 ----

ADS C:\Documents and Settings\All Users\Dati applicazioni\TEMP:2A81F9CE

---- EOF - GMER 1.0.12 ----

Autostart

GMER 1.0.12.11889 - http://www.gmer.net
Autostart scan 2006-11-16 22:26:13
Windows 5.1.2600 Service Pack 2

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\NavLogon@DLLName = C:\WINDOWS\system32\NavLogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
ccEvtMgr /*Symantec Event Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
ccSetMgr /*Symantec Settings Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
DefWatch /*Symantec AntiVirus Definition Watcher*/@ = "C:\Programmi\Symantec AntiVirus\DefWatch.exe"
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE"
NetMdq /*NetMdq*/@ = "C:\Programmi\File comuni\System\QotYTVP.exe" /*file not found*/
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\system32\nvsvc32.exe
SPBBCSvc /*Symantec SPBBCSvc*/@ = "C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
Symantec AntiVirus /*Symantec AntiVirus*/@ = "C:\Programmi\Symantec AntiVirus\Rtvscan.exe"
UpdGpl /*UpdGpl*/@ = "C:\Programmi\Windows NT\ueV.exe"
vsmon /*TrueVector Internet Monitor*/@ = C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@SoundManSOUNDMAN.EXE = SOUNDMAN.EXE
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@nwiznwiz.exe /install = nwiz.exe /install
@NvMediaCenterRUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@RemoteControlC:\Programmi\CyberLink\PowerDVD\PDVDServ.exe = C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
@Zone Labs Client"C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" = "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
@SunJavaUpdateSchedC:\Programmi\Java\jre1.5.0_07\bin\jusched.exe = C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
@iTunesHelper"C:\Programmi\QuickTime\iTunesHelper.exe" = "C:\Programmi\QuickTime\iTunesHelper.exe"
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@ccApp"C:\Programmi\File comuni\Symantec Shared\ccApp.exe" = "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
@vptrayC:\PROGRA~1\SYMANT~1\VPTray.exe = C:\PROGRA~1\SYMANT~1\VPTray.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@H/PC Connection Agent"C:\Programmi\Microsoft ActiveSync\wcescomm.exe" = "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{49BF5420-FA7F-11cf-8011-00A0C90A8F78} /*Mobile Device*/C:\PROGRA~1\MI3AA1~1\Wcesview.dll = C:\PROGRA~1\MI3AA1~1\Wcesview.dll
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Programmi\QuickTime\iTunesMiniPlayer.dll = C:\Programmi\QuickTime\iTunesMiniPlayer.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll
@{BDA77241-42F6-11d0-85E2-00AA001FE28C} /*LDVP Shell Extensions*/C:\Programmi\File comuni\Symantec Shared\SSC\vpshell2.dll = C:\Programmi\File comuni\Symantec Shared\SSC\vpshell2.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
LDVPMenu@{BDA77241-42F6-11d0-85E2-00AA001FE28C} = C:\Programmi\File comuni\Symantec Shared\SSC\vpshell2.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
LDVPMenu@{BDA77241-42F6-11d0-85E2-00AA001FE28C} = C:\Programmi\File comuni\Symantec Shared\SSC\vpshell2.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll = C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.yahoo.it/ = http://www.yahoo.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

---- EOF - GMER 1.0.12 ----

Che ne pensi?

di **Luke57** » 17/11/06 09:09

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\NetMdq
HKLM\SYSTEM\CurrentControlSet\Services\UpdGpl

files to delete:
C:\Programmi\Windows NT\ueV.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.

Inoltre, lancia questo comando:
start>esegui>cmd (lo copi nello spazio)>OK
Aperto il prompt dei comandi, nella posizione del cursore digiti letteralmente
cd C:\programmi\windows nt---------- >Invio
dir > C:\files.txt-------------- >Invio.
Chiudi il prompt e in C dovresti trovare il files.txt. Copia il contenuto e incollalo in un post.

di **Symon86** » 17/11/06 23:05

AVENGER

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iirpnqmt

*******************

Script file located at: \??\C:\Program Files\axbqybrv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\CurrentControlSet\Services\NetMdq deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\UpdGpl deleted successfully.
File C:\Programmi\Windows NT\ueV.exe deleted successfully.

Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////

FILES.TXT

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D01F-3289

Directory di C:\Programmi\Windows NT

17/11/2006 22.52 <DIR> .
17/11/2006 22.52 <DIR> ..
07/02/2006 18.49 <DIR> Accessori
19/08/2004 14.39 547.328 dialer.exe
31/08/2001 12.00 13.312 htrn_jis.dll
31/08/2001 12.00 28.160 hypertrm.exe
07/02/2006 18.49 <DIR> Pinball
19/08/2004 14.39 144.896 pSp.exe
4 File 733.696 byte
4 Directory 209.653.587.968 byte disponibili

La scritta pSp.exe è in verde...Come mai?
Posso cancellare la cartella Avenger con i backup dentro?

Grazie!

Virusssssssss......

Virusssssssss......

Chi c’è in linea