www.MegaLab.it

da **crazy.cat** » mer gen 16, 2008 6:12 pm

Il trial va benissimo per fare la pulizia adesso.
Quelli che ti ho suggerito io sono per il dopo.

Nod potrebbe andare bene, ma deve essere settato per bene seguendo quella guida altrimenti è come non averlo.
Antivir è molto più semplice e pronto all'uso appena installato.

Io ho antivir.

da **ste_95** » mer gen 16, 2008 6:15 pm

crazy.cat ha scritto:Se avessi avuto il tuo pc sotto mano mi avrebbe fatto felice ed avrei incrementato la mia raccolta di vermicelli.

Lol, non è una brutta idea...

Richiedo cortesemente a pucioletta di caricare il file C:\Avenger\backup.zip a questo indirizzo.

da **pucioletta** » mer gen 16, 2008 6:22 pm

grazie, grazie e ancora grazie per tutto il supporto anche se solo virtuale.
Stavo già dirigendomi a formattare il pc in preda alla virus-disperation! [acc2]

Speriamo ora possa andare tutto bene. Nella scansione del triali di kaspersky mi compaiono -x ora- 8 virus di cui uno solo "untreated".
è grave? Gli altri sembra averli cancellati.
Ora comunque posso navigare tranquilla? Avevo smesso anche di aprire il messenger MSN perché temevo fosse una fonte vermicelli ihih [rotfl]

da **ste_95** » mer gen 16, 2008 6:25 pm

Qual è il file non cancellato?

Cortesemente, potresti eseguire le istruzioni del mio precedente post?

da **pucioletta** » mer gen 16, 2008 6:28 pm

scusami ste non l'avevo minimamente letto! Provvederei subito, ma dal link che mi hai dato mi dice che la pagina non è accessibile, lo riscrivi?

da **ste_95** » mer gen 16, 2008 6:31 pm

Ho editato il post, riprova.

da **pucioletta** » mer gen 16, 2008 6:33 pm

esattamene compare su nella barra blu della finestra HTTP400 RICHIESTA NON VALIDA...

ups che significa ?
Il file che sembra essere stato non cancellato è:
Infected: Trojan program Trojan-Dropper.Win32.Agent.dgo c:\windows\system32\ddcya.exe 3,5 KB
grave?

da **pucioletta** » mer gen 16, 2008 6:37 pm

ecco l'upload servito di avenger:

http://w14.easy-share.com/15091161/del_j7haszmwe69s9ue6

download

<a target="_blank" href="http://w14.easy-share.com/15091161.html">download</a>

http://w14.easy-share.com/15091161.html

TI HO LINKATO TUTTO, NON SO QUALE DEI 4 URL VOLESSI

del file untreated cosa pensi?

da **pucioletta** » mer gen 16, 2008 6:41 pm

comunque conviene aspettare perché ho appena letto che ora i files untreated sono 2... [...]

buh...vi aggiorno quando kaspersky finisce tutto.

da **ste_95** » mer gen 16, 2008 6:52 pm

pucioletta ha scritto:ecco l'upload servito di avenger:

http://w14.easy-share.com/15091161/del_j7haszmwe69s9ue6

download

<a target="_blank" href="http://w14.easy-share.com/15091161.html">download</a>

http://w14.easy-share.com/15091161.html

TI HO LINKATO TUTTO, NON SO QUALE DEI 4 URL VOLESSI

del file untreated cosa pensi?

Mi dice che il file è stato eliminato, potresti irfarlo...?

da **pucioletta** » mer gen 16, 2008 6:59 pm

http://w14.easy-share.com/15092561.html

<a target="_blank" href="http://w14.easy-share.com/15092561.html">download</a>

download

http://w14.easy-share.com/15092561/del_n8vu7q0jpd6r3zm5

fammi sapere se ora sei riuscito ad accedervi!

da **ste_95** » mer gen 16, 2008 7:02 pm

Continuiamo in privato [;)]

da **pucioletta** » mer gen 16, 2008 7:02 pm

purtroppo compare ancora qualche pop up di assurdi casinò [cry]

la scansione con kaspersky è al 50%, attendo fiduciosa e vi aggiorno.

da **ste_95** » gio gen 17, 2008 9:28 am

Ti consiglierei un ulteriore scansione con hijackthis:

Scarica HiJackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.

da **pucioletta** » gio gen 17, 2008 9:33 am

ecco il log della scansione con hijackthis...illuminatemi [^]

Logfile of HijackThis v1.99.1
Scan saved at 9.30.05, on 17/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\Programmi\Windows Desktop Search\WindowsSearch.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\chiara\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [umzaca.exe] C:\WINDOWS\TEMP\umzaca.exe
O4 - HKLM\..\Run: [umzaca .exe] C:\WINDOWS\TEMP\umzaca .exe
O4 - HKLM\..\Run: [axis love poll lite] C:\Documents and Settings\All Users\Dati applicazioni\each new axis love\Kind dumb.exe
O4 - HKLM\..\Run: [tuqsea.exe] C:\WINDOWS\TEMP\tuqsea.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [tuqsea .exe] C:\WINDOWS\TEMP\tuqsea .exe
O4 - HKLM\..\Run: [320d18a1] rundll32.exe "C:\WINDOWS\system32\tiwueutk.dll",b
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\chiara\DATIAP~1\ELSEPL~1\AXISNEW.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://briciola83.spaces.msn.com//Photo ... nPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se9602.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://briciola83.spaces.live.com/Photo ... 10,0,916,0
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67056E87-840F-4244-B0A4-3FDE21C1732C}: NameServer = 85.37.17.9 85.38.28.75
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programmi\Windows Live\Mail\mailcomm.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\cwckubwm.exe (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

da **ste_95** » gio gen 17, 2008 9:34 am

Seleziona a sinistra queste voci e premi fix checked:

O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [umzaca.exe] C:\WINDOWS\TEMP\umzaca.exe
O4 - HKLM\..\Run: [umzaca .exe] C:\WINDOWS\TEMP\umzaca .exe
O4 - HKLM\..\Run: [axis love poll lite] C:\Documents and Settings\All Users\Dati applicazioni\each new axis love\Kind dumb.exe
O4 - HKLM\..\Run: [tuqsea.exe] C:\WINDOWS\TEMP\tuqsea.exe
O4 - HKLM\..\Run: [tuqsea .exe] C:\WINDOWS\TEMP\tuqsea .exe
O4 - HKLM\..\Run: [320d18a1] rundll32.exe "C:\WINDOWS\system32\tiwueutk.dll",b
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\chiara\DATIAP~1\ELSEPL~1\AXISNEW.exe

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\tiwueutk.dll
C:\DOCUME~1\chiara\DATIAP~1\ELSEPL~1\AXISNEW.exe

Folders to delete:
C:\Documents and Settings\All Users\Dati applicazioni\each new axis love
C:\WINDOWS\TEMP

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

da **pucioletta** » gio gen 17, 2008 9:50 am

ste al riavvio del pc non è comparso alcun blocco note, solo un avviso che diceva C:\Documentsandsettings...l'immagine non è valida.

Alla riconessione, non appena ho aperto una pagina we subito è comparso in basso a destra lì dove dicevo il messaggio:AD SERVED BY BWOSWING ADVISER per poi defluire verso il basso, ed è magicamente comparso un pop di un casino svizzero.

Kaspersky intanto mi avvisa sempre cc'è lo stesso trojan e me lo fa cancellare, ma poi lo vedo col punto esclamativo giallo accanto.

da **ste_95** » gio gen 17, 2008 9:53 am

Dove trova il trojan?

Verifica se le seguenti cartelle sono presenti:

C:\Documents and Settings\All Users\Dati applicazioni\each new axis love
C:\DOCUME~1\chiara\DATIAP~1\ELSEPL~1

da **nennyge** » gio gen 17, 2008 9:55 am

Buongiorno a tutti. Nuovo utente...

Ho letto con attenzione questo forum poiché anche io ho avuto lo stesso problema di Pucioletta, alla quale chiedo scusa per l'intromissione.

Ho riscontrato peró queste differenze:

il virus o trojan ha eliminato la connessione interne wireless. non trova piú reti (ora mi appoggio ad un altro computer)

ha disinstallato l'antivirus "avast", e non mi permette di installarne altri.
ha disinstallato il firewere

ho eseguito tutti i comandi:
KASPERSKY dice che non é un file di system 32
VundoFix non trova niente
VirtumundoBeGone dice che non é un file di system 32
ComboFix stessa cosa

sono riuscita ad installare avenger che ha eliminato diversi file tra cui mdelk
Il problema rimane perché non mi permette di installare nessun antivirus, se cerco di entrare in modalitá provvisoia si spegne.

Cosa posso fare... confido nella vostra gentilezza.
ps io ho un hd esterno hche ho spento quando mi sono resa conto che c'erano dei problemi... é possibile che sia stato infettato?
grazie tante

da **ste_95** » gio gen 17, 2008 9:59 am

Apri una nuova discussione ed esponi lì il tuo problema, allegando una scansione online effettuata con kaspersky.

www.MegaLab.it

AIUTO VIRUS CHE NON RIESCO A DEBELLARE!!

stesso problema

Chi c’è in linea