Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

che qualcuno abbia pietà di me...dialer.sfonditalia

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

che qualcuno abbia pietà di me...dialer.sfonditalia

Messaggioda Bertoldo » sab mar 24, 2007 3:42 pm

Saranno mesi che cerco di zappare sto dialer ma non ce la faccio neanche a piangere cinese...se qualcuno riuscisse ad aiutarmi gleine sarei molto felice.....ecco il log...Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.01.53, on 24/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\WINDOWS\System32\sescmgr.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\officina\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/av ... x_homepage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0410/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0410/bl7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\atimon.exe","c:\windows\javanet.exe","c:\windows\compaqhelper.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {129830EC-162A-67A9-2B37-B05E77207892} - C:\WINDOWS\snqsn1.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [DrvLsnr] C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programmi\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\CwbSvStr.Exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [82324979.exe] C:\WINDOWS\System32\82324979.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [sctrlmgr] C:\WINDOWS\System32\sescmgr.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [atimon] "c:\windows\atimon.exe"
O4 - HKLM\..\Policies\Explorer\Run: [javanet] "c:\windows\javanet.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\service32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: login.cmd
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.happyfile.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = RUTALTECHSRL.local
O17 - HKLM\Software\..\Telephony: DomainName = RUTALTECHSRL.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{25ECA4EA-9013-4A92-9307-B3C0E4293166}: NameServer = 192.168.10.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = RUTALTECHSRL.local
O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\prn.jrw
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Comando remoto di Client Access Express (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SysJry - Unknown owner - C:\Programmi\File comuni\System\vdpdZ.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programmi\UltraVNC\WinVNC.exe

--
End of file - 8281 bytes
Avatar utente
Bertoldo
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: sab mar 24, 2007 3:33 pm
Località: Cavrì

Messaggioda Zane » sab mar 24, 2007 4:51 pm

Hai già letto la guida pubblicata sul sito, vero?
Avatar utente
Zane
MLI Hero
MLI Hero
 
Messaggi: 7935
Iscritto il: lun ago 05, 2002 9:36 am
Località: Ferrara

Messaggioda crazy.cat » sab mar 24, 2007 5:35 pm

Più che il dialer sfondi italia, si vede anche un bel virus gromozon più qualche altra schifezzuola.

Utilizzando il tools della nod http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
cancella i file indicati in rosso più sotto, poi rifai la scansione con hijackthis e selezioni le caselle delle righe indicate e alla fine premi Fix per eliminarle.

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\atimon.exe","c:\windows\javanet.exe","c:\windows\compaqhelper.exe",
O2 - BHO: Class - {129830EC-162A-67A9-2B37-B05E77207892} - C:\WINDOWS\snqsn1.dll (file missing)
O4 - HKLM\..\Run: [82324979.exe] C:\WINDOWS\System32\82324979.exe
O4 - HKLM\..\Run: [sctrlmgr] C:\WINDOWS\System32\sescmgr.exe
O4 - HKLM\..\Policies\Explorer\Run: [atimon] "c:\windows\atimon.exe"
O4 - HKLM\..\Policies\Explorer\Run: [javanet] "c:\windows\javanet.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\service32.exe
O15 - Trusted Zone: http://www.happyfile.net
O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\prn.jrw
O23 - Service: SysJry - Unknown owner - C:\Programmi\File comuni\System\vdpdZ.exe

Per completare l'opera usa il tools della prevx e poi virit per ripulire il resto
http://www.prevx.com/gromozon.asp
http://www.tgsoft.it/italy/index_ita.html

Per eliminare il servizio fasullo creato dal virus puoi usare questo sistema
http://www.MegaLab.it/2578

Alla fine delle pulizie riposta il log di hijackthis.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda Bertoldo » ven mar 30, 2007 7:49 pm

Scusate mi ero sbagliato...ecco il log del hijack...
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16.04.49, on 30/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Wintools\BIN\DDXWin.EXE
C:\Documents and Settings\officina\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0410/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0410/bl7.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/0410/bl7.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {129830EC-162A-67A9-2B37-B05E77207892} - C:\WINDOWS\snqsn1.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [DrvLsnr] C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programmi\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\CwbSvStr.Exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [atimon] "c:\windows\atimon.exe"
O4 - HKLM\..\Policies\Explorer\Run: [javanet] "c:\windows\javanet.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: login.cmd
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.happyfile.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = RUTALTECHSRL.local
O17 - HKLM\Software\..\Telephony: DomainName = RUTALTECHSRL.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{25ECA4EA-9013-4A92-9307-B3C0E4293166}: NameServer = 192.168.10.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = RUTALTECHSRL.local
O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\prn.jrw
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Comando remoto di Client Access Express (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programmi\UltraVNC\WinVNC.exe

--
End of file - 7989 bytes


grazie
Avatar utente
Bertoldo
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: sab mar 24, 2007 3:33 pm
Località: Cavrì

Messaggioda Amantide » ven mar 30, 2007 8:03 pm

Ci sono un po' di file infetti nel log.

Scarica The Avenger, estrai archivio in una cartella ed avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno del form copia ed incolla questo script:

Files to delete:
c:\windows\atimon.exe
c:\windows\javanet.exe
%UserProfile%\Menu Avvio\Programmi\Esecuzione automatica\login.cmd
C:\WINDOWS\System32\prn.jrw

registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs


Dopodichè clicca sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondi alle successive domande Si .
Il pc dovrebbe riavviarsi da solo,se cosi non fosse riavvialo manualmente.
Alla fine allegami il log di Avenger che si trova in C:/avenger.txt

Dopo rifai la scansione con Hijackthis, seleziona le seguente voci e premi Fix Checked:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {129830EC-162A-67A9-2B37-B05E77207892} - C:\WINDOWS\snqsn1.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [atimon] "c:\windows\atimon.exe"
O4 - HKLM\..\Policies\Explorer\Run: [javanet] "c:\windows\javanet.exe"
O4 - Startup: login.cmd
O15 - Trusted Zone: http://www.happyfile.net
O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\prn.jrw

Alla fine scarica ed avvia Systemscan, spunta tutte le voci e clicca su Scan Now. A scansione terminata trova in C:\suspectfile il file report.txt, comprimilo in un archivio rar o zip ed allegalo qui.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Bertoldo » ven mar 30, 2007 9:43 pm

Ciao ho fatto tutto quello che mi hai detto Amantide...allego il log di avenger....ho fatto il lavoro con hijack ma....

O4 - Startup: login.cmd
O20 - AppInit_DLLs: \\?\C:\WINDOWS\System32\prn.jrw

.....non c'erano e poi la voce 15 non me la toglie neanche a piangere....

Ho scaricato e utilizzato anche systemscan e ti allego il log..

grazie gente

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kuwpqtwq

*******************

Script file located at: \??\C:\WINDOWS\fdtbmokv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:\windows\atimon.exe not found!
Deletion of file c:\windows\atimon.exe failed!

Could not process line:
c:\windows\atimon.exe
Status: 0xc0000034



File c:\windows\javanet.exe not found!
Deletion of file c:\windows\javanet.exe failed!

Could not process line:
c:\windows\javanet.exe
Status: 0xc0000034

File C:\Documents and Settings\officina\Menu Avvio\Programmi\Esecuzione automatica\login.cmd deleted successfully.


File C:\WINDOWS\System32\prn.jrw not found!
Deletion of file C:\WINDOWS\System32\prn.jrw failed!

Could not process line:
C:\WINDOWS\System32\prn.jrw
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
Bertoldo
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: sab mar 24, 2007 3:33 pm
Località: Cavrì

Messaggioda Amantide » ven mar 30, 2007 10:13 pm

Esegui con Avenger anche questo script, questa volta sarà l'ultimo [std]

Drivers to unload:
spfhlp.sys
VISSV

registry keys to delete:
HKLM\system\controlset003\services\SysJry
HKLM\SYSTEM\CurrentControlSet\Services\SysJry
HKLM\SYSTEM\CurrentControlSet\Services\spfhlp.sys
HKLM\SYSTEM\CurrentControlSet\Services\VISSV

files to delete:
C:\Programmi\File comuni\System\vdpdZ.exe
C:\Documents and Settings\officina\Desktop\spfhlp.sys
C:\WINDOWS\System32\drivers\vissv.sys
C:\Programmi\File comuni\System\qtj.exe
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Bertoldo » sab mar 31, 2007 2:17 pm

ho fatto asmantide...dopo ho fatto ancora la scansione con hijak ma la voce 15 (happyfile) non la toglie....ti serve vedere qualche log???
Avatar utente
Bertoldo
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: sab mar 24, 2007 3:33 pm
Località: Cavrì

Messaggioda Amantide » sab mar 31, 2007 4:29 pm

Bertoldo ha scritto:ho fatto amantide...dopo ho fatto ancora la scansione con hijak ma la voce 15 (happyfile) non la toglie...

Vai in C:\WINDOWS\system32\drivers\etc, trova li il file host ed aprilo con un qualsiasi editor di testo (blocco note). Elimina tutto ciò che trovi oltre al testo citato e salva le modifiche apportate.
Codice: Seleziona tutto
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo и un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# И inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
#      102.54.94.97     rhino.acme.com          # server origine
#       38.25.63.10     x.acme.com              # client host x
127.0.0.1       localhost



ti serve vedere qualche log???

Direi che non servono più... però se ti piace a fare i vari log, un qualcosa si troverà sempre per accontentarti. [fischio]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Bertoldo » sab mar 31, 2007 4:48 pm

AMANTIDE NON RIESCI A VEDERE L'ALTRA QUESTIONE CHE HO INSERITO CHE E' UN PROBLEMA CHE DOVREI RIUSCIRE A RISOLVERE IN BREVE TEMPO....SE QUALCUNO HA QUALCHE SOLUZIONE SONO TUTTO ORECCHIE GRAZIE ANCORA
Avatar utente
Bertoldo
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: sab mar 24, 2007 3:33 pm
Località: Cavrì

Messaggioda Amantide » sab mar 31, 2007 4:53 pm

Ti ha già risposto M@ttia [;)]

Ti pregherei di non scrivere più tutto il testo in maiuscolo [grazie]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Bertoldo » sab mar 31, 2007 5:41 pm

non avevo visto l'intervento di mattia sorry per il maiuscolo...comunque sto portale è una figata assurda...gente esperta e gentile che aiuta dei pèones informatici come me è ammirevole
Avatar utente
Bertoldo
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: sab mar 24, 2007 3:33 pm
Località: Cavrì


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising