MegaLab.it

Help ad ogni avvio del pc il sistema riscontra una modifica di registro che blocco ogni volta... subito dopo l'antivirus mi dice di aver riscontrato ed eliminato un virus e così avviene ad ogni avvio... Vi metto il mio log. Vi prego di dirmi cosa devo fixare... grazie.

Logfile of HijackThis v1.99.1
Scan saved at 18.31.22, on 20/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FILECO~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programmi\McAfee\MPF\MPFSrv.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programmi\mcafee\virusscan\scriptcl.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 5783615200
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7C77CEF-AF04-4EAA-995B-5414BB3659A6}: NameServer = 85.37.17.5 85.38.28.77
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FILECO~1\McAfee\EmProxy\emproxy.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programmi\File comuni\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programmi\file comuni\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FILECO~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programmi\McAfee\MPF\MPFSrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

il log è pulito. proviamo a fare uno scan più approfondito

Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)

non me lo scarica... da cosa dipende?
Mi dà questo messaggio
Warning! You should have already downloaded the last Systemscan version (sys95178.exe).
If you can't download it probably your browser is blocking popups.
Please enable popup on your PC and try again.

Systemscan will be available within 81 seconds. Please reload this page after that time.

Come faccio per sbloccare i popups se è da questo che dipende?

Ho sbloccato i popups dal menù strumenti ma non me lo scarica lo stesso....

Mi dà sempre questo messaggio

Warning! You should have already downloaded the last Systemscan version (sys95178.exe).
If you can't download it probably your browser is blocking popups.
Please enable popup on your PC and try again.

Systemscan will be available within 143 seconds. Please reload this page after that time.

Sarebbe bene anche sapere che modifiche blocca e che virus ti ha rilevato.

anche a me dice che ho già l'ultima versione. tu aspetta un po' e poi riprova

Mi rileva ogni volta questa modifica

Processo: C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
Elementi interessati: HKEY_USERS\S-1-5-21-1454471165-73586283-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\me\

Non riesco a scaricare system scan... c'è un altra alternativa??

dovresti essere infetto da zonebac. leggi qui, è un file che ho analizzato relativo allo zonebac, e presenta le stesse modifiche di cui parli. inoltre, il file interessato pare il classico obiettivo dello zonebac

http://www.suspectfile.com/forum/viewtopic.php?t=1056

controlla la presenza di questi files

C:\Documents and Settings\User\Impostazioni locali\Temp\1175000276.dat (potrebbe avere un nome composto da numeri casuali)
C:\Documents and Settings\User\Impostazioni locali\Temp\abc123.pid

scarica findawf, avvialo e poi posta qui sul forum il log che comparirà nel blocco note

Ciao, te l'ho allegato systemscan

Ciao

Grazie...... appena torno a casa provo e vi informo così che possiate aiutarmi... grazie ancora...

Ecco cosa ha trovato findawf... il virus che mi rileva ad ogni avvio è VBS-Psyme. Cosa devo fare? Help! Grazie

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: C84D-C7FA

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 70.839.070.720 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: C84D-C7FA

Directory di C:\PROGRA~1\SPYWAR~1\BAK

27/02/2007 18.17 2.903.040 SpywareTerminatorShield.exe
1 File 2.903.040 byte
2 Directory 70.839.070.720 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: C84D-C7FA

Directory di C:\PROGRA~1\TASKSW~1\BAK

05/08/2006 00.29 62.976 TaskSwitchXP.exe
1 File 62.976 byte
2 Directory 70.839.066.624 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: C84D-C7FA

Directory di C:\PROGRA~1\UNLOCKER\BAK

07/09/2006 19.19 15.872 UnlockerAssistant.exe
1 File 15.872 byte
2 Directory 70.839.066.624 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: C84D-C7FA

Directory di C:\WINDOWS\SYSTEM32\BAK

31/08/2001 14.00 28.160 ctfmon.exe
1 File 28.160 byte
2 Directory 70.839.066.624 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: C84D-C7FA

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

12/01/2006 17.40 155.648 NeroCheck.exe
21/04/2006 18.03 94.208 NMBgMonitor.exe
2 File 249.856 byte
2 Directory 70.839.066.624 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

2566736 30 Jan 2007 "C:\Installer\spywareblastersetup351.exe"
8329840 25 Jan 2007 "C:\Programmi\Spyware Terminator\SpywareTerminator.exe"
995328 1 Jan 2006 "C:\Programmi\SpywareBlaster\spywareblaster.exe"
2903040 27 Feb 2007 "C:\Programmi\Spyware Terminator\bak\SpywareTerminatorShield.exe"
23564 2 Mar 2007 "C:\Programmi\TaskSwitchXP\TaskSwitchXP.exe"
62976 5 Aug 2006 "C:\Programmi\TaskSwitchXP\bak\TaskSwitchXP.exe"
195645 28 Feb 2007 "C:\Installer\unlocker1.8.5.exe"
23564 2 Mar 2007 "C:\Programmi\Unlocker\UnlockerAssistant.exe"
15872 7 Sep 2006 "C:\Programmi\Unlocker\bak\UnlockerAssistant.exe"
15360 20 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
28160 31 Aug 2001 "C:\WINDOWS\system32\bak\ctfmon.exe"
13312 31 Aug 2001 "C:\WINDOWS\XPize\Backup\ctfmon.exe"
23564 2 Mar 2007 "C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe"
155648 12 Jan 2006 "C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe"
23564 2 Mar 2007 "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
94208 21 Apr 2006 "C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe"


end of report

Dai questo script in pasto ad avenger e poi consiglio una scansione con Virit aggiornato.

Codice: Seleziona tutto

Files to move:

C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\SPYWAR~1\BAK\SpywareTerminatorShield.exe | C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe

C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK\NeroCheck.exe | C:\PROGRA~1\FILECO~1\AHEAD\LIB\NeroCheck.exe

C:\PROGRA~1\TASKSW~1\BAK\TaskSwitchXP.exe | C:\PROGRA~1\TASKSW~1\TaskSwitchXP.exe

C:\PROGRA~1\UNLOCKER\BAK\UnlockerAssistant.exe | C:\PROGRA~1\UNLOCKER\UnlockerAssistant.exe

C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK\NMBgMonitor.exe | C:\PROGRA~1\FILECO~1\AHEAD\LIB\NMBgMonitor.exe



Premetto che non conosco avenger ma se do questo testo mi dice che non è nell'estensione giusta.... come procedere?

The avenger
http://www.MegaLab.it/2656
devi fare solo un copia e incolla del testo in avenger

Dopo il reboot mi dà questo msg....
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- invalid file move request. Line will be ignored.
Error code: 0
Line: C:\PROGRA~1\SPYWAR~1\BAK\SpywareTerminatorShield.exe


Syntax error in line. Line will be ignored.
Error code: 0
Line: | C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe


Syntax error in line. Line will be ignored.
Error code: 0
Line: C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK\NMBgMonitor.exe |


Syntax error in line --- invalid file move request. Line will be ignored.
Error code: 0
Line: C:\PROGRA~1\FILECO~1\AHEAD\LIB\NMBgMonitor.exe


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\raqoiivc

*******************

Script file located at: \??\C:\WINDOWS\btljvjwc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.


File C:\WINDOWS\system32\bak\NeroCheck.exe not found!
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe failed!

Could not process line:
C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe
Status: 0xc0000034

File move operation C:\PROGRA~1\TASKSW~1\BAK\TaskSwitchXP.exe|C:\PROGRA~1\TASKSW~1\TaskSwitchXP.exe completed successfully.
File move operation C:\PROGRA~1\UNLOCKER\BAK\UnlockerAssistant.exe|C:\PROGRA~1\UNLOCKER\UnlockerAssistant.exe completed successfully.

Completed script processing.

*******************

Finished! Terminate.

ci sono moltissimi siti dove poter scaricare vir.it quale mi consigliate... dopo averlo installato devo disattivare/disinstallare mcafee o possono fiunzionare contemporaneamente?

sissifra ha scritto:ci sono moltissimi siti dove poter scaricare vir.it quale mi consigliate... dopo averlo installato devo disattivare/disinstallare mcafee o possono fiunzionare contemporaneamente?

Li puoi anche tene insieme mentre fai la scansione con virit, alla fine della scansione lo puoi anche rimuovere.
http://www.tgsoft.it/italy/index_ita.html

Avevo fatto qualche pasticcio io.
La prima e seconda coppia di comandi devono stare su un unica riga, qui nel post non riesco a metterli, quando vai ad incollarli in avenger controlla che siano vicine le righe.

Codice: Seleziona tutto

Files to move:

C:\PROGRA~1\SPYWAR~1\BAK\SpywareTerminatorShield.exe | C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe

C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK\NMBgMonitor.exe | C:\PROGRA~1\FILECO~1\AHEAD\LIB\NMBgMonitor.exe

C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK\NeroCheck.exe | C:\PROGRA~1\FILECO~1\AHEAD\LIB\NeroCheck.exe