www.MegaLab.it

da **crazy.cat** » gio ago 30, 2007 2:39 pm

g8g6 ha scritto:Il problema permane...che devo fare?

Fai analizzare questo file sul sito www.virustotal.com e vediamo di cosa si tratta
- c:\windows\system32\mssrv32.exe

alla fine non hai poi detto se nei valori dei dns c'erano anche i valori sbagliati o solo quelli presi via tcp/ip

Il problema del monitor che non si accende potrebbe essere dovuto alla scheda video, però apri una discussione nella sezione hardware.

da **g8g6** » gio ago 30, 2007 3:25 pm

Ciao
Come faccio ad analizzare un file nel mio pc su un altro (questo dal quale scrivo) che ha connessione internet? pensavo di copiarlo, seguendo il percorso, su un penna usb e lo faccio analizzare su quella. Ok?
Per quanto riguarda i parametri DNS li ho controllati seguendo il percorso datomi in precedenza e risultano quelli del mio operatore da me reinseriti.
Grazie ciao

da **crazy.cat** » gio ago 30, 2007 3:35 pm

g8g6 ha scritto:Come faccio ad analizzare un file nel mio pc su un altro (questo dal quale scrivo) che ha connessione internet? pensavo di copiarlo, seguendo il percorso, su un penna usb e lo faccio analizzare su quella. Ok?

si fai in questo modo.

da **g8g6** » ven ago 31, 2007 2:19 pm

Ciao
Purtroppo non ho trovato nessun file dal nome “mssrv32.exe” in “c:\windows\system32”. Come mai? [8)]

PS: ho ricontrollato a casa i parametri della connessione remota del mio modem: i parametri DNS sono quelli da me reinseriti ed è attiva l’opzione “Ottieni automaticamente un indirizzo IP” come mi pare di ricordare fosse anche prima che il virus cambiasse i parametri DNS.
Grazie ciao

da **g8g6** » sab set 01, 2007 2:09 pm

che faccio? [cry]

da **crazy.cat** » sab set 01, 2007 2:15 pm

g8g6 ha scritto:che faccio?

Non lo so......

da **g8g6** » sab set 01, 2007 2:19 pm

bene...

ma dove hai visto quel file sul mio pc? ho controllato anche sulla scansione di HiJackYhis, ma non risulta nessun processo con questo file...
In pratica non si sa come risolvere il mo problema? [cry+]

da **crazy.cat** » sab set 01, 2007 2:25 pm

Nell'ultimo log che avevi postato.

g8g6 ha scritto:O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

da **g8g6** » sab set 01, 2007 2:31 pm

Scusa, hai ragione, dalla scansione risulta, ma non l'ho trovato su C, seguendo quel percorso...che sia un file nascosto???

da **crazy.cat** » sab set 01, 2007 4:37 pm

Può essere, abilita la visione dei file nascosti e di sistema.
Dovrebbe esserci, perché altrimenti darebbe la voce file missing.

Prova a fare una scansione online sul sito della kaspersy
http://www.kaspersky.com/virusscanner
per capire se ci sono altri virus.

da **g8g6** » lun set 03, 2007 2:53 pm

Ciao
A casa ho già provato a casa ad abilitare i file nascosti…non c’è nulla!!! Ma è possibile che il programma individui un file che a quanto pare non esiste??? [cry]

Come faccio a fare una scansione sul mio pc se non ho connessione ad internet?? [8)]

da **crazy.cat** » lun set 03, 2007 3:39 pm

O ti stacchi il disco e lo metti su un altro pc come slave, oppure ti prepari il MegLabcd utility che trovi in home page, aggiorni tutti gli antivirus e scansioni con quello.
Rimane sempre il buon format che risolve tutti i problemi del mondo.

da **g8g6** » lun set 03, 2007 4:04 pm

ok, ho scaricato il programma. ora vedo come fare a casa. grazie

da **g8g6** » mar set 04, 2007 2:10 pm

Ciao
Ho trovato il celeberrimo file “mssr32”!!!! [:)]

Il problema ora è che non mi consente la copia sulla penna ma mi appare la finestra: “errore durante la copia del file o della cartella: Impossibile copiare mssrv32: file già in uso da un altro utente o programma.” Come posso farlo analizzare sul sito?
PS. Avendo trovato il file non ho seguito il tuo ultimo consiglio riguardante il cd di utility.
Ciao grazie

da **Amantide** » mar set 04, 2007 5:07 pm

Quasi sicuramente il file mssr32.exe appartiene ad un trojan, prova a fare la scansione dalla modalità provvisoria con AVG Antispyware, dovrebbe rimuoverlo.

da **g8g6** » gio set 06, 2007 1:50 pm

ciao
Alla fine ho deciso di risolvere il problema una volte per tutte: mi sono rivolto ad un tecnico per formattare il pc.
Grazie comunque per la disponibilità. [^]

da **g8g6** » ven set 14, 2007 9:02 pm

ciao ragazzi
volevo dirvi che forse il problema di connessione ad internet non era causato da Zlob.DNSChanger, che comunque spybot individuava, ma...ho scoperto che il mio ISP mi aveva cambiato username senza avvisarmi!!! molto probabilmente era dovuto a questo visto che non si connetteva neanche dopo la formattazione!!
ecco risolti molti misteri allora.
grazie ancora

da **kap** » sab set 15, 2007 12:39 am

da **Kaladze** » mar gen 06, 2009 10:47 am

Ciao, complimenti per il forum,
anch'io sono stato infettato da questo trojan, ora posto il mio report con Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.47.55, on 06/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Documents and Settings\Proprietario\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programmi\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nTrayFw] C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdfzt.exe] C:\WINDOWS\system32\kdfzt.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 1770654015
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B81618A0-8B0A-459C-8136-73E9ED5DE8D6}: NameServer = 85.255.112.70;85.255.112.201
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 8472 bytes

qualcuno sa trovarmi dei file dubbi?
Grazie in anticipo

da **crazy.cat** » mar gen 06, 2009 11:09 am

Kaladze ha scritto:qualcuno sa trovarmi dei file dubbi?

Sicuramente questo
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdfzt.exe] C:\WINDOWS\system32\kdfzt.exe
Per quelli che non si vedono consiglio scansioni con combofix, malwarebytes o superantispyware.
Uno dei tre programmi risolve sicuramente.

www.MegaLab.it

credo di esser infettato da Trojan ZLOB, come lo elimino??

nessun file "mssrv32.exe"

Re: credo di esser infettato da Trojan ZLOB, come lo elimino??

Re: credo di esser infettato da Trojan ZLOB, come lo elimino??

Chi c’è in linea