Condividi:        

Virus che ostacola la connessione

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Virus che ostacola la connessione

Postdi palombainfiamme » 10/05/09 18:16

Salve a tutti, potresti controllare se c'è qualcosa di strano nel rapporto di hijackthis?
Da alcuni giorno ho problemi di connessione e non vorrei aver preso qualche virus...
Codice: Seleziona tutto
Logfile of HijackThis v1.99.1
Scan saved at 18.58.59, on 10/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ArpanTECH\iKill\iKill.exe
C:\Programmi\Creative\Creative Media Lite\CTZDetec.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Creative\Shared Files\CTDevSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programmi\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Windows Live Safety Center\wlscUploader.exe
D:\Documenti\Installazioni programmi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.live.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programmi\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programmi\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: sarpbho Class - {222B8372-1556-430c-BB5E-0AFF73775229} - C:\WINDOWS\system32\SARP32.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programmi\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BFC71653-E565-46EF-B7E3-16EC4EF09E9B} - C:\WINDOWS\system32\atl(3.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programmi\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: (no name) - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - (no file)
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iKill] "C:\Programmi\ArpanTECH\iKill\iKill.exe" -s
O4 - HKCU\..\Run: [CTZDetec.exe] C:\Programmi\Creative\Creative Media Lite\CTZDetec.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programmi\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Libro dei ritagli HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Selezione intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmi\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{733A32C6-9F31-4F13-8665-F2FED82AC9B9}: NameServer = 85.255.112.108,85.255.112.211
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.108,85.255.112.211
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.108,85.255.112.211
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTDevSrv.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programmi\Java\jre6\bin\jqs.exe" -service -config "C:\Programmi\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
palombainfiamme
Newbie
 
Post: 1
Iscritto il: 10/05/09 18:06

Sponsor
 

Re: Virus che ostacola la connessione

Postdi hydra » 11/05/09 07:11

Ciao, visto che sei nuovo ti invito a leggere questo topic.

Sposto inoltre in una sezione idonea.
Avatar utente
hydra
Moderatore
 
Post: 7007
Iscritto il: 19/07/04 08:06
Località: Vallis Duplavis

Re: Virus che ostacola la connessione

Postdi Luke57 » 11/05/09 18:17

Ciao, la versione di hiajckthis da te utilizzata è ormai stravecchia, vai qui:
viewtopic.php?f=25&t=80228&p=456204#p456204

segui le istruzioni di Frate Aurelio relativamente all'utilizzo e presentazione report di hijackthis.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus che ostacola la connessione

Postdi Frate Aurelio » 12/05/09 12:57

@palombainfiamme
Ciao e benvenuta nella comunità del forum.

Esegui al più presto la procedura sotto elencata e solo dopo posta un nuovo log di Hijacthis con la nuova versione come suggerito da Luke57:

Pulizia Malaware
Scarica MalwareBytes
http://www.download.com/Malwarebytes-An ... d=10997763
● aggiornalo
Importante:
se non si riesce ad aggiornarlo:
● Scaricare l’Aggiornamento DataBase (mbanìm-rules.exe:) da:
http://www.gt500.org/malwarebytes/database.jsp
- cliccare sul programma scaricato
- eseguire una scansione completa .
Importante::
Al termine della scansione cliccare sul pulsante:
- Mostra Risultati:
- Selezionare tutti i file infetti eventualmente trovati ed eliminali.
- Postare nel topic, il log di fine scansione che crea, eseguendo la seguente procedura:
viewtopic.php?f=4&t=79679

Frate Aurelio
:oops:
Ora et Labora
Avatar utente
Frate Aurelio
Moderatore
 
Post: 251
Iscritto il: 16/01/09 00:01

Re: Virus che ostacola la connessione

Postdi klama » 20/05/09 22:10

Ciao a tutti,
scusate se mi accodo qui ma ho un problema simile, se ho sbagliato spostatemi o non so...
Allora, ho problemi con la connessione, devo ricaricare più volte (tante) la pagina prima che mi si apra (sempre che si apra).
Il mio antivirus (AVG) da un po' di tempo mi segnala abbastanza spesso virus che dice di togliere, ma poi non li trova; ho analizzato automaticamente il mio log di Hijackthis ed ho trovato un programma strano che ho eliminato.
I problemi erano rimasti, poi ho fatto una scansione con bitdefender ed ho tolto un po' di roba, tutto sembrava tornato alla normalità e poi oggi di nuovo non riuscivo ad aprire quasi per niente le pagine.
Ho fatto una scansione con Malwarebytes e questo è il log (riscusate ma non ho capito come usare il bbcode...lo devo mettere come citazione il log?!):

Malwarebytes' Anti-Malware 1.36
Versione del database: 2159
Windows 5.1.2600 Service Pack 2

20/05/2009 22.49.58
mbam-log-2009-05-20 (22-49-58).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 77417
Tempo trascorso: 6 minute(s), 56 second(s)

Processi delle memoria infetti: 3
Moduli della memoria infetti: 0
Chiavi di registro infette: 9
Valori di registro infetti: 2
Elementi dato del registro infetti: 0
Cartelle infette: 11
File infetti: 15

Processi delle memoria infetti:
C:\WINDOWS\system32\spooIsv.exe (Backdoor.Bot) -> Failed to unload process.
C:\WINDOWS\system32\snsuoniz.exe (Backdoor.Bot) -> Unloaded process successfully.
C:\WINDOWS\system\mysmas.exe (Backdoor.Bot) -> Unloaded process successfully.

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MYS Mutex Algorithm Service (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mys mutex algorithm service (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mys mutex algorithm service (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWay (Adware.MyWay) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MYS Mutex Algorithm Service (Backdoor.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MYS Mutex Algorithm Service (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\spooler subsystem app (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg (Trojan.Agent) -> Quarantined and deleted successfully.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
C:\Programmi\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\FunWebProducts\PopSwatr (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\FunWebProducts\PopSwatr\History (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWay (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\myBar (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\myBar\History (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\myBar\Settings (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\SrchAstt (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\SrchAstt\1.bin (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\SrchAstt\Cache (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\SrchAstt\Settings (Adware.MyWay) -> Quarantined and deleted successfully.

File infetti:
C:\WINDOWS\system32\spooIsv.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\snsuoniz.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvhro.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\umhrxqj.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TMP2.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Programmi\FunWebProducts\PopSwatr\History\allowed (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\FunWebProducts\PopSwatr\History\notallow (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\myBar\History\search (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\SrchAstt\1.bin\PARTNER.DAT (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\SrchAstt\Cache\00043303 (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\SrchAstt\Cache\files.ini (Adware.MyWay) -> Quarantined and deleted successfully.
C:\Programmi\MyWay\SrchAstt\Settings\prevcfg.htm (Adware.MyWay) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jqxshi.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system\mysmas.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Re: Virus che ostacola la connessione

Postdi -> EleKtrA <- » 21/05/09 09:32

Ciao klama, malwarebytes ha cancellato un pò di file infetti, ma ti consiglio di eseguire combofix per avere un quadro completo della situazione.

Disattiva momentaneamente l'antivirus
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.
“Ieri è storia, domani è mistero, ma oggi è un dono... per questo si chiama presente!”.
Avatar utente
-> EleKtrA <-
Moderatore
 
Post: 436
Iscritto il: 11/12/08 12:50

Re: Virus che ostacola la connessione

Postdi klama » 21/05/09 22:12

Scusate, ho visto almeno come allegare i file.
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Re: Virus che ostacola la connessione

Postdi -> EleKtrA <- » 23/05/09 09:36

Ciao,
salva il documento che ti allego CFScript
con il mouse trascina il file CFScript.txt sull'icona rossa di Combofix
http://img155.imageshack.us/img155/4837/cfscriptop0.gif
lascia lavorare il programma
verrà creato un nuovo log combofix.txt
allega il rapporto per un controllo.
Allegati

[L’estensione txt è stata disattivata e non puó essere visualizzata.]

“Ieri è storia, domani è mistero, ma oggi è un dono... per questo si chiama presente!”.
Avatar utente
-> EleKtrA <-
Moderatore
 
Post: 436
Iscritto il: 11/12/08 12:50

Re: Virus che ostacola la connessione

Postdi klama » 23/05/09 20:17

Ciao Elektra, intanto di nuovo grazie...
ho fatto come hai detto e cercavo di allegarti il log ma dopo che lo carico mi si dice che "il limite massimo di allegati è stato raggiunto". Che faccio?
Inoltre, dandoci un'occhiata ho visto un vecchio processo che qualche giorno fa avevo eliminato pensando fosse un virus, si trova nella cartella system ed è dllcache.exe
E' un virus?

grazie
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Re: Virus che ostacola la connessione

Postdi -> EleKtrA <- » 23/05/09 20:19

Puoi ricorrere ai Servizi Hosting:
http://freefilehosting.net/
http://wikisend.com/
http://www.wikifortio.com/
Una volta caricato il file, ricorda di riportare il Direct Link per poterlo scaricare.
http://img175.imageshack.us/img175/1577 ... acopia.jpg
“Ieri è storia, domani è mistero, ma oggi è un dono... per questo si chiama presente!”.
Avatar utente
-> EleKtrA <-
Moderatore
 
Post: 436
Iscritto il: 11/12/08 12:50

Re: Virus che ostacola la connessione

Postdi klama » 24/05/09 07:39

klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Re: Virus che ostacola la connessione

Postdi Luke57 » 24/05/09 09:50

Ciao, adesso prendi il file di testo CFScript.txt , inserisci il seguente script al suo interno al posto dell'altro, salvando poi le modifiche:

Codice: Seleziona tutto
Driver::
sysdrv32

File::
c:\windows\system\dllcache.exe
c:\windows\system32\drivers\sysdrv32.sys

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"netmon"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MYS Mutex Algorithm Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\netmon]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system\\dllcache.exe"=-


solito trascinamento su combofix e nuova scansione. Al termine allega il nuovo report.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus che ostacola la connessione

Postdi klama » 25/05/09 07:51

klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Re: Virus che ostacola la connessione

Postdi Luke57 » 25/05/09 08:04

Ciao, è spuntata una nuova infezione, adesso nel file CFScript.txt inserisci il seguente testo, salvando le modifiche

Codice: Seleziona tutto
File::
c:\windows\system32\2680f7.exe
c:\windows\system32\msvcrt2.dll

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft(R) System Manager"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MYS Mutex Algorithm Service]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\netmon]


Fatto ciò, esegui la solita procedura di trascinamento del file su combofix. Poi aggiorna malwarebytes e fa una scansione profonda, Al termina di essa posta il report dello scan, senza rimuovere niente per adesso.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus che ostacola la connessione

Postdi klama » 25/05/09 17:49

Ho fatto partire Combofix con il nuovo CFscript ed ecco il log della scansione:

http://wikisend.com/download/595294/ComboFix.txt

ed ho fatto la scansione profonda con Malwarebytes:

http://wikisend.com/download/505436/mbam-log-2009-05-25%20(18-41-23).txt

c'è sempre roba!! :-?
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Re: Virus che ostacola la connessione

Postdi klama » 25/05/09 17:50

Dimenticavo...non ho rimosso niente con malwarebytes...
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Re: Virus che ostacola la connessione

Postdi Luke57 » 26/05/09 12:02

Ciao, elimina le voci trovate con malwarebytes, poi dovresti essere a posto.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus che ostacola la connessione

Postdi klama » 28/05/09 10:47

Ciao, ho tolto le cose che malwarebytes mi diceva di togliere ma purtroppo non sono a posto. Nel senso che ho fatto un'altra scansione stamattina (sotto c'è il link) e mal mi ha trovato i soliti 15/20 elementi infetti, tra cui il famoso dllcache.exe che avevo anche tolto diverse volte con hijackthis. Che fare?
Grazie

http://wikisend.com/download/506030/mbam-log-2009-05-28%20(11-37-02).txt
klama
Utente Junior
 
Post: 42
Iscritto il: 27/09/06 08:34
Località: Messina

Re: Virus che ostacola la connessione

Postdi Luke57 » 28/05/09 12:35

Ciao, ma ti reinfetti usando dispositivi esterni?
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus che ostacola la connessione

Postdi -> EleKtrA <- » 28/05/09 15:07

Ciao Klama, ciao Luke
facciamo un'analisi completa con Systemscan?

Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now".
http://www.suspectfile.com/systemscan
Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.
http://www.savefile.com/
Nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata, ovviamente non lo è.
“Ieri è storia, domani è mistero, ma oggi è un dono... per questo si chiama presente!”.
Avatar utente
-> EleKtrA <-
Moderatore
 
Post: 436
Iscritto il: 11/12/08 12:50

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Virus che ostacola la connessione":


Chi c’è in linea

Visitano il forum: Nessuno e 42 ospiti