Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Credo di aver preso un virus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Credo di aver preso un virus

Messaggioda Sabrina1988 » ven gen 26, 2007 7:04 pm

[cry+] questo è il log di hijackthis credo si chiami così, se volete aiutatemi!grazie
Logfile of HijackThis v1.99.1
Scan saved at 17.27.11, on 26/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hldrrr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\IVANO\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/indexbb.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [Uniblue Registry Booster] C:\Programmi\Uniblue\Registry Booster\RegistryBooster.exe /S
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?8069e86b1c1c414dad0384382fab3993
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?8069e86b1c1c414dad0384382fab3993
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 5233593140
O17 - HKLM\System\CCS\Services\Tcpip\..\{232BD322-52F3-4E63-AFF1-3CC8EE72DCB4}: NameServer = 85.37.17.16 85.38.28.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{232BD322-52F3-4E63-AFF1-3CC8EE72DCB4}: NameServer = 85.37.17.16 85.38.28.68
O17 - HKLM\System\CS2\Services\Tcpip\..\{232BD322-52F3-4E63-AFF1-3CC8EE72DCB4}: NameServer = 85.37.17.16 85.38.28.68
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sistema Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe
Avatar utente
Sabrina1988
Aficionado
Aficionado
 
Messaggi: 126
Iscritto il: ven gen 26, 2007 2:15 am
Località: Roma

Messaggioda sleeping » ven gen 26, 2007 7:38 pm

Prova a correggere questa voce:
C:\WINDOWS\system32\hldrrr.exe

Ma che problema hai??
Avatar utente
sleeping
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2255
Iscritto il: sab ago 26, 2006 1:16 pm
Località: Verona & Trieste

Messaggioda crazy.cat » ven gen 26, 2007 7:47 pm

sleeping ha scritto:Ma che problema hai??

Deve sparire proprio il fle hldrrr.exe.
L'antivirus è disabilitato da quello che si può vedere.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda Amantide » ven gen 26, 2007 8:06 pm

La fate troppo facile la cosa, ragazzi. Il Bagle non si fa sconfiggere cosi facilmente [;)]

Intanto leggi questo articolo
http://www.MegaLab.it/2657

Mi dovresti dire anche il nome dell'tuo utente sul pc, è il nome che vedi in cima alla finestra cliccando sul tasto START (fai attenzione alle lettere maiuscole, il nome me lo devi trascrivere cosi com'è), cosi potrò prepararti lo script da eseguire con Avenger.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Amantide » ven gen 26, 2007 8:11 pm

Alt!
L'ho scoperto da sola [:)]

Leggi bene l'articolo ed esegui con Avenger questo scipt:

Files to delete:
C:\Documents and Settings\IVANO\Dati applicazioni\hidires\m_hook.sys
C:\Documents and Settings\IVANO\Dati applicazioni\hidires\hidr.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe

folders to delete:
C:\Documents and Settings\IVANO\Dati applicazioni\hidires
C:\WINDOWS\exefld

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr


Al riavvio del computer ti apparirà il log di Avenger, copia il suo contenuto ed incollalo qui.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Sabrina1988 » ven gen 26, 2007 9:22 pm

ciao nn so se è rivato il msg e mi scuso in anticipo per l'ignoranza nell'utilizzare il pc ma volevo chiederti se devo disattivare il rispristino conf di sistema prima di scaricare ed installare the avenger
Avatar utente
Sabrina1988
Aficionado
Aficionado
 
Messaggi: 126
Iscritto il: ven gen 26, 2007 2:15 am
Località: Roma

Messaggioda Amantide » ven gen 26, 2007 9:24 pm

Si, mi pare di averlo scritto anche nell'articolo. In questo modo eviti di reinfettarti ripristinando un punto di ripristino infetto.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda thomas » ven gen 26, 2007 9:24 pm

Sabrina1988 ha scritto:Ciao grazie per aver risp subito!ho letto l'articolo che mi hai mandato e quindi scarico the avenger,lo devo disabilitare il ripristino di configurazione di sistema prima di scaricarlo?


Avevi sbagliato a mandarlo Sabry
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda Sabrina1988 » ven gen 26, 2007 9:28 pm

k adesso lo scarico allora!!ti faccio sapere però probabilmente mi servirà una mano perché nn credo di saperlo usare quel programma!
Avatar utente
Sabrina1988
Aficionado
Aficionado
 
Messaggi: 126
Iscritto il: ven gen 26, 2007 2:15 am
Località: Roma

Messaggioda Amantide » ven gen 26, 2007 9:30 pm

Basta che leggi bene la guida, non è difficile [;)]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Sabrina1988 » ven gen 26, 2007 9:40 pm

k ti ringrazio, comunque odio il mio fratellaccio
Avatar utente
Sabrina1988
Aficionado
Aficionado
 
Messaggi: 126
Iscritto il: ven gen 26, 2007 2:15 am
Località: Roma

Messaggioda Sabrina1988 » ven gen 26, 2007 9:46 pm

allora sono andata sull'opzione input script manually, poi sulla lente e compare una finestra bianca con in basso done, nn dovrebbe comparire qualkosa dentro la finestra?
Avatar utente
Sabrina1988
Aficionado
Aficionado
 
Messaggi: 126
Iscritto il: ven gen 26, 2007 2:15 am
Località: Roma

Messaggioda Amantide » ven gen 26, 2007 9:48 pm

Ma non la leggi la guida? [acc2]
Dentro alla finestra devi incollare lo script che ti avevo preparato, dopodiche premi su Done.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Sabrina1988 » ven gen 26, 2007 9:53 pm

scusami, k faccio copia e incolla
Avatar utente
Sabrina1988
Aficionado
Aficionado
 
Messaggi: 126
Iscritto il: ven gen 26, 2007 2:15 am
Località: Roma

Messaggioda Sabrina1988 » ven gen 26, 2007 9:57 pm

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\clvhjcle

*******************

Script file located at: \??\C:\WINDOWS\cvbvufrk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\IVANO\Dati applicazioni\hidires\m_hook.sys deleted successfully.
File C:\Documents and Settings\IVANO\Dati applicazioni\hidires\hidr.exe deleted successfully.
File C:\WINDOWS\system32\wintems.exe deleted successfully.
File C:\WINDOWS\system32\hldrrr.exe deleted successfully.
Folder C:\Documents and Settings\IVANO\Dati applicazioni\hidires deleted successfully.
Folder C:\WINDOWS\exefld deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\m_hook deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|hldrrr deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
Sabrina1988
Aficionado
Aficionado
 
Messaggi: 126
Iscritto il: ven gen 26, 2007 2:15 am
Località: Roma

Messaggioda Amantide » ven gen 26, 2007 10:03 pm

Ottimo, è stato eliminato tutto, o quasi [^]
Vedi che sei stata bravissima?!! [:)]

Ora dovresti seguire la guida ed eliminare i restanti valori del registro a mano. Poi ripristina il funzionamento della modalità provvisoria, degli servizi terminati e reinstalla i programmi di sicurezza.
Ti consiglio queste accopiate Active Virus Shield + Zone Alarm oppure Antivir Pe + Comodo Firewall, in più installa anche Spyware Terminator per la protezione in tempo reale.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Sabrina1988 » ven gen 26, 2007 10:07 pm

ok ti ringrazio!!Adesso ci provo :P ti posso chiedere come ti chiami?
Avatar utente
Sabrina1988
Aficionado
Aficionado
 
Messaggi: 126
Iscritto il: ven gen 26, 2007 2:15 am
Località: Roma

Messaggioda Amantide » ven gen 26, 2007 10:13 pm

Sabrina1988 ha scritto: ti posso chiedere come ti chiami?

http://www.MegaLab.itstaff/Amantide
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Sabrina1988 » ven gen 26, 2007 10:17 pm

HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun.
di questi elimino la cartella o sl le cose a destra??
Avatar utente
Sabrina1988
Aficionado
Aficionado
 
Messaggi: 126
Iscritto il: ven gen 26, 2007 2:15 am
Località: Roma

Messaggioda Amantide » ven gen 26, 2007 10:18 pm

Sabrina1988 ha scritto:HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun.
di questi elimino la cartella o sl le cose a destra??

La "cartella", tutta la parte che ho indicato in rosso.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising