Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

AIUTO ! Win32/Banwor.NAS

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

AIUTO ! Win32/Banwor.NAS

Messaggioda linkyn » dom apr 06, 2008 12:45 pm

Salve a tutti, il mio NOD32 mi trova 4 virus, e la causa sembra essere questo: Win32/Banwor.NAS
come devo fare?? ho riaperto nod32, ma mi dice collegamento mancante...mi sa che me lo ha disinstallato il virus....
grazie in anticipo
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda H.J » dom apr 06, 2008 1:26 pm

Scarica Combofix
http://subs.geekstogo.com/ComboFix.exe
Salvalo sul desktop.
- Doppio click su combofix.exe, comparirà la seguente videata:
http://img293.imageshack.us/img293/8500 ... fn6zj1.jpg

- Digita 1, premi Invio e segui le indicazioni.
- Al termine, verrà creato un file log chiamato C:\ComboFix.txt.
- Posta il log creato



scarica otmoveit2.exe
http://download.bleepingcomputer.com/ol ... oveIt2.exe

se ti riesce ad andare in modalità provvisoria fallo

disconnettiti completamente da Internet (Tira il cavo o spegni il modem)
disattiva tutti i programmi di sicurezza che hai

Doppio click su OTMoveIT2.exe
Copia/incolla quanto segue nella finestra "Paste List of Files/Folders to be moved"


C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE .
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE


clicca su MoveIT
Se ti viene proposto il riavvio clicca su YES e alla fine allega il log C:\_OTMoveIt\MovedFiles

posta un log di HiJackThis
http://www.trendsecure.com/portal/en-US ... hijackthis
Avatar utente
H.J
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: lun feb 05, 2007 5:03 pm

Messaggioda crazy.cat » dom apr 06, 2008 2:01 pm

Se è il virus bagle, la procedura che hai indicato non risolve il problema.

H.J ha scritto:Doppio click su OTMoveIT2.exe
Copia/incolla quanto segue nella finestra "Paste List of Files/Folders to be moved"
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\1.exe
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\HIDR.EXE .
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE


L'unica procedura è questa
http://www.MegaLab.it/forum/viewtopic.php?t=34966
con lo scan online sul sito della kaspersky

dove ti venivano trovati i virus?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda H.J » dom apr 06, 2008 3:03 pm

L'unica procedura è questa
http://www.MegaLab.it/forum/viewtopic.php?t=34966
con lo scan online sul sito della kaspersky


Ciao crazy.cat

sono d'accordo con te, ma se il suo nod 32 era AGGIORNATO alla versione 30050 l'unica variate di bagle che potesse infettare il suo SO è questa:
http://www.virustotal.com/it/analisis/b ... 30ed3bdf62
non riconosciuta neanche da kaspersky....ecco perché gli ho fatto fare quella procedura
Ciao [:)]
Avatar utente
H.J
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: lun feb 05, 2007 5:03 pm

Messaggioda linkyn » dom apr 06, 2008 4:18 pm

Ciao crazy.cat sto facendo ora scansione con kaspersky...appena finito ti posto il log...ma questo è un virus bagle?mia sorella lo ha preso tramite una mail...aspetta per scansione kaspersky...
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda H.J » dom apr 06, 2008 4:37 pm

mia sorella lo ha preso tramite una mail...


Se sei sicuro di questo è impossibile che sia bagle, nod32 riconosce e blocca tramite "IMON" tutti i file compressi con Themida.
Avatar utente
H.J
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: lun feb 05, 2007 5:03 pm

Messaggioda linkyn » dom apr 06, 2008 4:43 pm

H.J ha scritto:
mia sorella lo ha preso tramite una mail...


Se sei sicuro di questo è impossibile che sia bagle, nod32 riconosce e blocca tramite "IMON" tutti i file compressi con Themida.


non ne sono sicuro, ma mia sorella mi ha detto che mentre leggeva la mail è uscita la scritta rossa di imon(credo) che diceva che era stato preso un virus....comunque mi ha disinstallato l'antivirus nod32....il virus si chiama Win32/Banwor.NAS ...tra poco posto il log di kaspersky...
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda linkyn » dom apr 06, 2008 5:15 pm

Kaspersky ha trovato 3 virus e 6 oggetti infetti...ecco il log...che ne dite::

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\Linkyn\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Cronologia\History.IE5\MSHist012008040620080407\index.dat Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\ApplicationHistory\hpqimzone.exe.fd734169.ini.inuse Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\administrativeInfo.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\albumImagesTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\albumImagesTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\albumTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\albumTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\CB_Server_Errors.txt Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\EXIFTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\EXIFTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\imageTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\imageTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\imageTable.fpt Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\keywordImagesTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\keywordImagesTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\keywordTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\keywordTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\managedFolderTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\pathnameTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\pathnameTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\propertiesTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\propertiesTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\ROFImagesTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\ROFImagesTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\ROFTable.cdx Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\HP\Digital Imaging\db\ROFTable.dbf Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\Microsoft\Feeds Cache\index.dat Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temp\jar_cache41227.tmp/MagicApplet.class Infected: Trojan-Downloader.Java.OpenConnection.ao skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temp\jar_cache41227.tmp/OwnClassLoader.class Infected: Trojan.Java.ClassLoader.au skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temp\jar_cache41227.tmp/Installer.class Infected: Trojan-Downloader.Java.OpenConnection.ao skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temp\jar_cache41227.tmp ZIP: infected - 3 skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temp\~DF5C33.tmp Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temp\~DF5C38.tmp Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temp\~DFB85A.tmp Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\Content.IE5\6F46JFGR\gbiehcef[1].js Infected: Trojan-Spy.Win32.Delf.brg skipped

C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Linkyn\ntuser.dat Object is locked skipped

C:\Documents and Settings\Linkyn\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Programmi\Alice ti aiuta\log\mpbtn.log Object is locked skipped

C:\Programmi\Alice ti aiuta\SmartBridge\AlertFilter.log Object is locked skipped

C:\Programmi\Alice ti aiuta\SmartBridge\log\httpclient.log Object is locked skipped

C:\Programmi\Alice ti aiuta\SmartBridge\SmartBridge.log Object is locked skipped

C:\Programmi\GbPluggin\gbiehcef.dll Infected: Trojan-Spy.Win32.Delf.brg skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\WINDOWS\CSC\00000001 Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda H.J » dom apr 06, 2008 5:35 pm

Svuota la cache di Java
http://www.java.com/it/download/help/5000020300.xml

Da installazioni applicazioni disinstalla GbPluggin

Scarica the Avenger
http://swandog46.geekstogo.com/avenger.zip
lo salvi in una cartella, scompatti il file .zip.
individua avenger.exe, lo avvii.

inserisci questo script nel box bianco

Files to delete:
C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\Content.IE5\6F46JFGR\gbiehcef[1].js
C:\Programmi\GbPluggin\gbiehcef.dll


Clicca su Execute
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

scarica e reinstalla nod32
Avatar utente
H.J
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: lun feb 05, 2007 5:03 pm

Messaggioda linkyn » dom apr 06, 2008 7:07 pm

H.J ha scritto:Svuota la cache di Java
http://www.java.com/it/download/help/5000020300.xml

Da installazioni applicazioni disinstalla GbPluggin

Scarica the Avenger
http://swandog46.geekstogo.com/avenger.zip
lo salvi in una cartella, scompatti il file .zip.
individua avenger.exe, lo avvii.

inserisci questo script nel box bianco

Files to delete:
C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\Content.IE5\6F46JFGR\gbiehcef[1].js
C:\Programmi\GbPluggin\gbiehcef.dll


Clicca su Execute
Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

scarica e reinstalla nod32


avenger mi dice error: invalid script .... ho svuotato la cache di java...in istallazioni applicazioni non c'è GbPluggin quindi nn ho potuto didinstallare....che faccio?
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda ste_95 » dom apr 06, 2008 7:16 pm

Prova la vecchia versione di Avenger
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda linkyn » dom apr 06, 2008 10:22 pm

Usato avenger vecchia versione...ecco il risultato...che faccio adesso?

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mpcqhkmf

*******************

Script file located at: \??\C:\WINDOWS\uwsadsoe.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Documents and Settings\Linkyn\Impostazioni locali\Temporary Internet Files\Content.IE5\6F46JFGR\gbiehcef[1].js deleted successfully.
File C:\Programmi\GbPluggin\gbiehcef.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda linkyn » dom apr 06, 2008 10:23 pm

magari non c'è èiù p c'è ancora? installo prima nod32 e poi riattivo il ripristino di sistema o viceversa?
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda H.J » lun apr 07, 2008 12:34 am

Prova a reinstallare NOD32 e impostalo così:
http://www.MegaLab.it/2775
[ciao]
Avatar utente
H.J
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: lun feb 05, 2007 5:03 pm

Messaggioda linkyn » lun apr 07, 2008 5:46 pm

H.J ha scritto:Prova a reinstallare NOD32 e impostalo così:
http://www.MegaLab.it/2775
[ciao]


mi esce questa scritta appena avvio il pc : errore durante il caricamento di C:programmi/gbpluggin/gbiehcef.dll impossibile trovare il modulo specificato

e comunque ho appena riavviato kaspersky e mi trova ancora i virus...
che significa?che faccio???? [cry]
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda ste_95 » lun apr 07, 2008 6:00 pm

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda crazy.cat » lun apr 07, 2008 6:17 pm

linkyn ha scritto:e comunque ho appena riavviato kaspersky e mi trova ancora i virus...

Dove li trova?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda linkyn » lun apr 07, 2008 6:18 pm

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.21.11, on 07/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Sm@rtScan\ScanPanel\ScnPanel.exe
C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Linkyn\Desktop\ha\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Banco do Brasil S.A. - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Programmi\GbPluggin\gbiehcef.dll (file missing)
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Documents and Settings\Linkyn\Desktop\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKLM\..\Policies\Explorer\Run: [gbieh.1] rundll32 "C:\Programmi\GbPluggin\gbiehcef.dll" SpecialFunction
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: ScanPanel.lnk = C:\Programmi\Sm@rtScan\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 6327976359
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.photocity.it/areaclienti/inv ... oader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E61135DF-716D-49A7-B29B-8287A1CD072C} (WidelookX Control) - http://domus.immanens.com/it/widelook/widelookX.cab
O20 - Winlogon Notify: GbiehCef - C:\Programmi\GbPluggin\gbiehcef.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe

--
End of file - 7654 bytes
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda linkyn » lun apr 07, 2008 6:20 pm

crazy.cat ha scritto:
linkyn ha scritto:e comunque ho appena riavviato kaspersky e mi trova ancora i virus...

Dove li trova?


mi aiuti?nod 32 lo ho reinstallato e non mi trova virus....ho messo il log di
HiJackThis.....come sto combinato? va bene questo log o devo mettere quello di kaspersky?
Avatar utente
linkyn
Aficionado
Aficionado
 
Messaggi: 57
Iscritto il: ven dic 28, 2007 3:02 pm

Messaggioda ste_95 » lun apr 07, 2008 6:23 pm

Seleziona a sinistra queste voci e premi fix checked in basso:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Banco do Brasil S.A. - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Programmi\GbPluggin\gbiehcef.dll (file missing)
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKLM\..\Policies\Explorer\Run: [gbieh.1] rundll32 "C:\Programmi\GbPluggin\gbiehcef.dll" SpecialFunction
O20 - Winlogon Notify: GbiehCef - C:\Programmi\GbPluggin\gbiehcef.dll (file missing)

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising