Condividi:        

Virus infetta NDIS.sys

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 06/07/09 14:49

me lo rilevava come virus perciò non l'ho usato, in ogni caso cercherò di farlo passare tra l'eccezioni di nod perchè me lo blocca proprio quando lo scarico!
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Sponsor
 

Re: Virus infetta NDIS.sys

Postdi Luke57 » 06/07/09 14:55

Ma non è un virus, te lo avevo già spiegato, serve a scandagliare il sistema alla ricerca di infezioni.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 06/07/09 15:11

certo che non è un virus, lo sò benissimo...però me lo metteva in quarantena in automatico...perciò non riuscivo...e mi dava un errore. Se mi consigliassi di scaricare virus, staremmo tutti belli freschi.. :lol: Cmq tenterò di far girare sytem scan e di postare quì il log. grazie ancora...
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 06/07/09 18:13

sono riuscisto a far girare systemscan. Questo è il log che mi ha dato:

http://www.savefile.com/files/2146487
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Re: Virus infetta NDIS.sys

Postdi Luke57 » 07/07/09 07:56

Ciao, Riesegui Systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

Files to delete:
C:\WINDOWS\LD12.EXE
C:\WINDOWS\system32\qwxf


Clicca su "Proceed with removal" (vai avanti finchè non si avvia) e il pc si riavviera' per eseguire lo script.
Al riavvio troverai la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito (C:\avenger.txt) e incollalo in un post.

Poi apr hijacktis, premi "do a system scan only",cerca e spunta le voci seguenti:
O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com

premi fix checked
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 07/07/09 11:45

ho incollato lo script in removal script clicco ok quando mi chiede che riavvierà alla fine ma esce una finestra di errore che dice:
"Integrity check failed! The File has been modified. Reason might be a possible virus infection"

ho provato a riscaricare system scan ma sempre solito problema....! :evil:
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Re: Virus infetta NDIS.sys

Postdi Luke57 » 07/07/09 12:35

Ciao, Scarica the Avenger
http://swandog46.geekstogo.com/avenger.zip
Lo salvi in una cartella, scompatti il file .zip
Individua avenger.exe, lo avvii
Inserisci lo script nel box bianco

Files to delete:
C:\WINDOWS\LD12.EXE
C:\WINDOWS\system32\qwxf




Clicca su Execute
Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 07/07/09 13:45

E' andato tutto liscio, questo è il log che mi ha dato avenger dopo il riavvio:

Codice: Seleziona tutto
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\LD12.EXE" deleted successfully.
File "C:\WINDOWS\system32\qwxf" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.


Per scrupolo sto controllando i processi attivi al riavvio nel task manager e ci sono i soliti processi sospetti tipo reader_s.exe, services.exe, reader_sl.exe...
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Re: Virus infetta NDIS.sys

Postdi shel » 07/07/09 14:53

reader_s.exe devi terminarlo

services.exe se e' nella cartella system 32 e' legittimo
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: Virus infetta NDIS.sys

Postdi Luke57 » 07/07/09 15:10

Ciao, nel report di systemscan il file reader_s.exe non era presente, mi sembra strano che sia nei processi, apri hijackthis, premi "config", "misc tools", metti la spunta a sulla destra a "List also minor section(full)", premi il tasto "generate startuplist log", lascia lavorare il programma, allega a un post il log che sarà generato in un file di testo.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 07/07/09 15:51

ho fatto quanto suggerito luke ecco il report:

Codice: Seleziona tutto
StartupList report, 07/07/2009, 16.48.50
StartupList version: 1.52.2
Started from : C:\Programmi\Trend Micro\HijackThis\HIJACKTHIS.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v8.00 (8.00.6001.18702)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Visicom Media\AceFTP 3\aceftp3.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Trend Micro\HijackThis\HIJACKTHIS.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RTHDCPL = RTHDCPL.EXE
Alcmtr = ALCMTR.EXE
Six Engine = "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
egui = "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
EPSON Stylus C64 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
Adobe Reader Speed Launcher = "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
GrooveMonitor = "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
reader_s = C:\WINDOWS\System32\reader_s.exe
services = C:\WINDOWS\services.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
DAEMON Tools Lite = C:\Programmi\DAEMON Tools Lite\daemon.exe -autorun
MSMSGS = "C:\Programmi\Messenger\msmsgs.exe" /background
Uniblue RegistryBooster 2009 = C:\Programmi\Uniblue\RegistryBooster\RegistryBooster.exe /S
reader_s = C:\Documents and Settings\Gigi\reader_s.exe

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
 =

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] *
StubPath = C:\WINDOWS\system32\ieudinit.exe

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] *
StubPath = "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = C:\WINDOWS\system32\ie4uinit.exe -BaseSettings

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

btorbit.com - C:\Programmi\Orbitdownloader\orbitcth.dll - {000123B4-9B42-4900-B3F7-F4B073EFC214}
(no name) - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll - {72853161-30C5-4D22-B7F9-0BBC1D38A37E}
(no name) - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}

--------------------------------------------------

Enumerating Task Scheduler jobs:

OGADaily.job
OGALogon.job
{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
{783AF354-B514-42d6-970E-3E8BF0A5279C}.job

--------------------------------------------------

Enumerating Download Program Files:

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\legitcheckcontrol.dll
CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204

[{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]
CODEBASE = http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Audio Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Browser di computer: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Servizi di crittografia: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Utilità di avvio processo server DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
Client DHCP: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Gestione dischi logici: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Client DNS: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)
EAMON: system32\DRIVERS\eamon.sys (autostart)
Eset Service: "C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe" (autostart)
Servizio di segnalazione errori: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Registro eventi: %SystemRoot%\system32\services.exe (autostart)
Guida in linea e supporto tecnico: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Server: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Workstation: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Helper NetBIOS di TCP/IP: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Machine Debug Manager: "C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE" (autostart)
Nero BackItUp Scheduler 4.0: C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe (autostart)
Eset Nod32 Boot: C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\nod32fixtemdono.reg (autostart)
NVIDIA Display Driver Service: %SystemRoot%\system32\nvsvc32.exe (autostart)
Plug and Play: %SystemRoot%\system32\services.exe (autostart)
Servizi IPSEC: %SystemRoot%\system32\lsass.exe (autostart)
Cycling Manager 2007 Drivers Auto Removal (pr2akt6c): %SystemRoot%\system32\pr2akt6c.exe svc (autostart)
Archiviazione protetta: %SystemRoot%\system32\lsass.exe (autostart)
Registro di sistema remoto: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
RPC (Remote Procedure Call): %SystemRoot%\system32\svchost -k rpcss (autostart)
Gestione account di protezione (SAM): %SystemRoot%\system32\lsass.exe (autostart)
Utilità di pianificazione: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: system32\DRIVERS\secdrv.sys (autostart)
Accesso secondario: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Notifica eventi di sistema: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Rilevamento hardware shell: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Spooler di stampa: %SystemRoot%\system32\spoolsv.exe (autostart)
Servizio Ripristino configurazione di sistema: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Acquisizione di immagini di Windows (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (autostart)
Temi: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Manutenzione collegamenti distribuiti client: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Ora di Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
WebClient: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Strumentazione gestione Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Aggiornamenti automatici: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Zero Configuration reti senza fili: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 11.774 bytes
Report generated in 0,078 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Re: Virus infetta NDIS.sys

Postdi Luke57 » 07/07/09 16:08

Ciao, hai ragione ma ti sei reinfettato perchè nel report di systemscan non erano più presenti.
Apri hijackthis, disconnesso da internet e con le applicazioni chiuse, premi "do a system scan only", cerca e spunta le voci seguenti:
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

premi fix checked.

Riavvia in mod.provvisoria come già suggerito:

cerca ed elimina i seguenti file, se presenti:
C:\WINDOWS\services.exe
C:\WINDOWS\System32\reader_s.exe

svuota il cestino.

Riavvia in mod.normale
Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
disconnettiti da internet e disattiva il tuo antivirus
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
(rispondi di no alla richiesta di installare la recovery console)
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC (non muovere il mouse) e attendere pazientemente la fine delle operazioni.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 07/07/09 17:08

niente da fare combofix non me lo fà usare...anche se lo metto tra l'eccezioni dell'antivirus, lo faccio partire con rete staccata ed antivirus spento ma ritorna sempre lo stesso errore, postato in precedenza!
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Re: Virus infetta NDIS.sys

Postdi Luke57 » 07/07/09 20:22

Ciao, ma hai fatto l'operazione preliminare dalla modalità provvisoria?
scarica Malwarebytes http://www.malwarebytes.org/mbam/program/mbam-setup.exe
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare per ora le ventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 07/07/09 20:30

si le ho fatte e mi era riuscito tutto...solo che mi sà ke li ho ripresi di nuovo. Vedo il processo iexplore.exe che utilizza il 30, 40 % dell'utilizzo cpu...cmq non mi apre la pagina, mi dice che è inesistente non vorrei fosse bloccata come succede per i siti microsoft, antivirus ecc....
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Re: Virus infetta NDIS.sys

Postdi Luke57 » 07/07/09 20:35

Ciao, scusa ma dove li riprendi? Riparti dalla mod.provvisoria e usa sdfix come spiegato nel post precedente. Posta il suo report, poi.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 07/07/09 20:51

Allora i file in questione al momento non sono più presenti sia c:\windows\services.exe che c:\windows\system32\reader_s.exe però ogni tanto si attiva il processo iexplore.exe e ho comunque sempre bloccati tutti i siti "sicurezza". Cosa Faccio? in questo caso i file da eliminare non ci sono più...probabilmente c'è altro o sbaglio?
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Re: Virus infetta NDIS.sys

Postdi Luke57 » 07/07/09 21:09

Riesci a fare una scansione con hijackthis e a postare il suo log?
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: Virus infetta NDIS.sys

Postdi Cancro87 » 07/07/09 21:21

ecco il log di hijackthis
Codice: Seleziona tutto
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.20.51, on 07/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Adobe\Reader 9.0\Reader\AcroRd32Info.exe
C:\Programmi\Trend Micro\HijackThis\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Programmi\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Programmi\DAEMON Tools Lite\daemon.exe -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programmi\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Servizio Gateway di livello applicazione (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programmi\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe

--
End of file - 6420 bytes
Cancro87
Utente Junior
 
Post: 22
Iscritto il: 05/07/09 10:51

Re: Virus infetta NDIS.sys

Postdi Luke57 » 07/07/09 21:35

Ciao, dal report non appare niente, scarica gmer da qui:
http://www2.gmer.net/gmer.zip

scompattalo, avvia gmer.exe, dopo una scanione preliminare, scegli il tab Rootkit e premi scan.
Al termine dello scan, premi Copy , apri un file di testo e incolla il report .
Allega il file salvato in un post.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Virus infetta NDIS.sys":


Chi c’è in linea

Visitano il forum: Nessuno e 68 ospiti