Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

non so se l'antivirus funziona e ho dei cavalli di troia

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

non so se l'antivirus funziona e ho dei cavalli di troia

Messaggioda prik » gio apr 19, 2007 11:24 am

La situazione è abbastanza compliacata secondo me... Cercherò di riasumere e essere chiara.
Il mio pc è da un mese abbondante che da segni di sofferenza, bloccandosi di continuo e aprendo continuamente le pubblicità. Inoltre mi è sparito l'antivirus e mi sono accorta che non fuzionava nemmeno il firewall etc. Usando hijackthis che mi ha passato un amico via msn ho scoperto la causa: avevo un worm, praticamente su task manager mi compariva un dannatissimo hldrrr.exe.
Ieri ho risolto sto problema perché ho usato avenger e uno sript generico trovato su questo sito e almeno sto worm l'ho eliminato! Almeno ora il pc no si blocca più, pare.
Ma i problemi non sono finiti. Ho riattivato tutti i sistemi di sicurezza e ora funzinano sia il firewall che gli aggiornamenti automatici ma ancora non capisco se il norton va. O meglio: se vado su "centro sicurezza pc" mi dice che è attivo e che risulta aggiornato, ma la casellina gialla con il segno d spunta verde che indica che l'antivirus funziona e che di solito si trova sulla barra delle applicazioni del desktop non è ancora ricomparsa. Mi avevano suggerito di disinstallare l'antivirus ma non ciriesco perché mi dice "reperimento delle informazioni sll'errore in corso" e poi si blocca. Ho provato a partire dal cd ma anche così il pc mi apre sì il dischetto ma poi quando clicco "installare norton" non succede niente.
E non solo! Ho fatto un atro check con hijackthis e ho altri files infetti! Per essere sicura poi ho fatto un check online sulsito della norton e mi è risultato questo:

C:\Programmi\VSAdd-in.dll è infettato con Trojan.Vundo
C:\WINDOWS\System32\rqrsqqp.dll con Trojan.Vundo
C:\WINDOWS\System32\mtkolidg.dll con Infostealer
C:\WINDOWS\System32\nwfdqlmi.exe con Trojan.Vundo
C:\WINDOWS\System32\lqsxfonj.dll con Trojan.Vundo
C:\WINDOWS\System32\nbrcrbbb.exe con Trojan.Vundo
C:\WINDOWS\System32\gmjlqsub.exe con Trojan.Vundo
C:\WINDOWS\System32\rlkmlhwn.exe con Trojan.Vundo
C:\WINDOWS\System32\soeowcsd.exe co Trojan.Vundo
C:\WINDOWS\System32\tqtncoic.exe con Trojan.Vundo
C:\WINDOWS\SYstem32\qedcvnpr.dll con Trojan.Horse
C:\WINDOWS\System32\btvuspsx.dll con Infostealer
C:\WINDOWS\System32\emshrakg.exe con Trjoan.Vundo
C:\WINDOWS\System32\cudygaqu.exe con Trojan.Vundo
C:\WINDOWS\System32\cbxwusr.dll con Trojan.Vundo
C:\WINDOWS\System32\aepqddkn.dll con Infostealer
C:\WINDOWS\System32\gbvnfqey.exe con Trojan.Vundo
C:\WINDOWS\System32\micykthn.dll co Trojan.Metajuan
C:\WINDOWS\System32\vafdojvg.dll con Infostealer
C:\WINDOWS\System32\xxxyxkpp.exe con Trojan.Vundo

Io vorrei anto evitare di formattare tutto perché perderie un sacco di programmi che mi servono per l'uni e che non saprei come recuperae. Non posso provare a eliminarli sempre con Avenger? E se sì, chi di voi saprebbe drmi qual è lo script giusto?
Grazie mille!
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano

Messaggioda antonio » gio apr 19, 2007 12:31 pm

hai provato a disinstallare norton con i tools specifici di rimozione?riesci ad installare un altro antivirus tipo antivir?posta qui il log di hijackthis che te lo controlleranno e fai una scansione on-line su kaspersky
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda prik » gio apr 19, 2007 1:01 pm

Ho fatto un copia e incolla e fa abbastanza schifo! Scusatemi! Non sono una cima in ste cose... [:-H]




Actions Oggetto Diagnosi Voto dei visitatori Information
Logfile of HijackThis v1.99.1 Dovrebbe trattarsi dell'ultima versione.
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414) Dovrebbe trattarsi dell'ultima versione.
C:\WINDOWS\System32\smss.exe Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\winlogon.exe Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\services.exe Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\lsass.exe Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\svchost.exe Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\System32\svchost.exe Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\LEXBCES.EXE Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\LEXPPS.EXE Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\system32\spoolsv.exe Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
c:\windows\system32\svchost.exe Systemprozess - Allgemeiner Hostprozessname für Dienste.
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe Sicuro Symantec Update related
C:\WINDOWS\system32\svchost.exe Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\Explorer.EXE Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\WINDOWS\SOUNDMAN.EXE Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\iTunes\iTunesHelper.exe Davvero sicuro Non pericoloso, ma superfluo.Apple iTunes
C:\Programmi\QuickTime\qttask.exe Sicuro Part of QuickTime
C:\WINDOWS\TEMP\fpgzja.exe Fuzzy Algorithmcheck (3 / 5.00), Neutral
C:\Programmi\Internet Explorer\IEXPLORE.EXE Davvero sicuro Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
C:\WINDOWS\system32\ctfmon.exe Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
C:\Programmi\iPod\bin\iPodService.exe Davvero sicuro
c:\progra~1\intern~1\iexplore.exe Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\internet explorer\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni. Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe Davvero sicuro Motive Chorus System Tray Button (ADSL related)
C:\Programmi\Norton AntiVirus\isPwdSvc.exe Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\norton internet security\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni. Symantec IS Kennwortprüfung
C:\Documents and Settings\priscilla tamasia\Desktop\set antivirus manuale\gmer.exe GMER Rootkit Detection
C:\Documents and Settings\priscilla tamasia\Desktop\set antivirus manuale\Rootkit Removers 8-in-1.exe Processo sconosciuto.
C:\DOCUME~1\PRISCI~1\IMPOST~1\Temp\ir_ext_temp_0\autorun.exe Fuzzy Algorithmcheck (3.28 / 5.00), Neutral
C:\DOCUME~1\PRISCI~1\IMPOST~1\Temp\ir_ext_temp_0\AutoPlay\Docs\HijackThis 1.99.1\HijackThis 1.99.1.exe HijackThis
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/ Questa pagina è stata identificata come sicura.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 Neutral Questa pagina è stata identificata come sicura.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 Neutral Questa pagina è stata identificata come sicura.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 Sicuro Questa pagina è stata identificata come sicura.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 Neutral Questa pagina è stata identificata come sicura.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice Davvero sicuro Questa pagina è stata identificata come sicura.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll Questo oggetto è sicuro.
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) Questo oggetto è sicuro.
O2 - BHO: (no name) - {022C4B7A-4B95-40AB-9F84-28D487C52D83} - C:\WINDOWS\system32\mljge.dll Applicazione sconosciuta.
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll Neutral Ycomp*_*_*_*.dll - Yahoo Companion!, Yahoo Companion!
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll Davvero sicuro AcroIEhelper.ocx, AcroIEhelper.dll - Adobe Acrobat reader, http://www.adobe.com/products/acrobat/re adstep2.html
O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - C:\WINDOWS\system32\cbxwusr.dll Applicazione sconosciuta.
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll toolbar.dll - SweetIM, http://www.sweetim.com - see eula, http://www.sweetim.com/eula.html
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\eevbspqr.dll Applicazione sconosciuta.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) Sicuro Applicazione sconosciuta.Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Questa voce è stata classificata dai nostri visitatori come sicura.
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll Sicuro WindowsLiveLogin.dll - Microsoft Windows_Live, http://ideas.live.com/
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll Ycomp*_*_*_*.dll - Yahoo Companion!, http://companion.yahoo.com/
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing) Gli elementi non necessari (disattivati) dovrebbero essere eliminati. toolbar.dll - SweetIM, http://www.sweetim.com - see eula, http://www.sweetim.com/eula.html
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE Sicuro Non pericoloso, ma superfluo. Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" Davvero sicuro Part of Norton AntiVirus. Auto-protect and E-mail check will not function without this
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe" Sicuro Related to Norton Antivirus from Symantec Corp
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe" Sicuro Non pericoloso, ma superfluo.
O4 - HKLM\..\Run: [surfantewaitflap] C:\Documents and Settings\All Users\Dati applicazioni\Rule phone surf ante\Meet Second.exe Fuzzy Algorithmcheck (2.18 / 5.00), Forse sospetto
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\qedcvnpr.dll",setvm Fuzzy Algorithmcheck (2 / 5.00), Forse sospetto
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - HKLM\..\Run: [zwrmaa.exe] C:\WINDOWS\TEMP\zwrmaa.exe Sembra che il nome di questo programma sia identico al nome del file. In molti casi questo avviene con i trojans. Per essere sicuro, devi controllare questo file.
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime Sicuro Non pericoloso, ma superfluo. Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - HKLM\..\Run: [zzkqaa.exe] C:\WINDOWS\TEMP\zzkqaa.exe Sembra che il nome di questo programma sia identico al nome del file. In molti casi questo avviene con i trojans. Per essere sicuro, devi controllare questo file.
O4 - HKLM\..\Run: [nsqlaa.exe] C:\WINDOWS\TEMP\nsqlaa.exe Sembra che il nome di questo programma sia identico al nome del file. In molti casi questo avviene con i trojans. Per essere sicuro, devi controllare questo file.
O4 - HKLM\..\Run: [fpgzja.exe] C:\WINDOWS\TEMP\fpgzja.exe Sembra che il nome di questo programma sia identico al nome del file. In molti casi questo avviene con i trojans. Per essere sicuro, devi controllare questo file.
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-full\SpywareVanisher.exe -FastScan Neutral Applicazione sconosciuta.
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe Sicuro Non pericoloso, ma superfluo. Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - HKCU\..\Run: [Support Comp] C:\DOCUME~1\PRISCI~1\DATIAP~1\OPENHE~1\Shim Trust.exe Fuzzy Algorithmcheck (2.08 / 5.00), Forse sospetto
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe Davvero sicuro Adjusts monitor colours across all programs
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe Davvero sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe Sicuro Part of Acrobat Reader 7
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL Davvero sicuro L'elemento Ricerche è stato identificato come sicuro.
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe Davvero sicuro L'elemento Messenger è stato identificato come sicuro.
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe Davvero sicuro L'elemento Windows Messenger è stato identificato come sicuro.
O9 - Extra button: Alice - {4653C43B-D525-47A3-B451-BD5D80B1BC2F} - http://gw.aliceadsl.it/alice (file missing) (HKCU) Da eliminare se non conoscete l'oggetto 'Alice '.Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Pulsanti sconosciuti o gli elementi nel menù 'Extras' dovrebbero essere eliminati.
O11 - Options group: [INTERNATIONAL] International* Neutral
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O15 - Trusted Zone: www.archiviosex.net Sicuramente sospetto Fuzzy Algorithmcheck (1.18 / 5.00), Forse sospetto
O15 - Trusted Zone: www.redfunny.com Sicuramente sospetto Fuzzy Algorithmcheck (1.3 / 5.00), Forse sospetto
O15 - Trusted Zone: www.skymasters.biz Sicuramente sospetto Questa voce è stata classificata dai nostri visitatori come infetta.
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab Questo oggetto è sicuro.
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab Sicuro Questo oggetto è sicuro.
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://orizzontiinfiniti.spaces.live.co ... nPUpld.cab Questo oggetto è sicuro.
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... wuweb_site .cab?1126636242293 Questo oggetto è sicuro.
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab Questo oggetto è sicuro.
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL Questo oggetto è sicuro.
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL Questo oggetto è sicuro.
O20 - Winlogon Notify: cbxwusr - C:\WINDOWS\SYSTEM32\cbxwusr.dll
O20 - Winlogon Notify: ddcyxxy - C:\WINDOWS\SYSTEM32\ddcyxxy.dll
O20 - Winlogon Notify: mljge - C:\WINDOWS\system32\mljge.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll Sicuro Questa voce è stata classificata dai nostri visitatori come sicura.
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe Neutral Questo servizio (Adobelmsvc.exe) e' stato identificato come non pericoloso.
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) Sicuro Questo servizio (ccSvcHst.exe) e' stato identificato come non pericoloso.
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe Neutral Questo servizio (IDriverT.exe) e' stato identificato come non pericoloso.
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe Davvero sicuro Questo servizio (iPodService.exe) e' stato identificato come non pericoloso.
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe Questo servizio (isPwdSvc.exe) e' stato identificato come non pericoloso.
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE Sicuro Questo servizio (LEXBCES.EXE) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE Davvero sicuro Questo servizio (LUCOMS~1.EXE) e' stato identificato come non pericoloso.
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe Sicuro Questo servizio (AppSvc32.exe) e' stato identificato come non pericoloso.
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) Sicuro Questo servizio (ALUSchedulerSvc.exe) e' stato identificato come non pericoloso.
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano


Messaggioda crazy.cat » gio apr 19, 2007 2:10 pm

Scarica questo file
http://www.symantec.com/content/en/us/g ... xVundo.exe
Disattiva il ripristino della configurazione
http://www.MegaLab.it/2330
avvii il pc in modalità provvisoria e usi il file scaricato per fare l'analisi completa del disco ed elimina lui quello che trova.
Poi con ccleaner fai pulizia del disco
http://www.filehippo.com/download_ccleaner/

Alla fine riposta un log di hijacktihs senza farlo analizzare su quel sito, ci pensiamo noi che siamo anche meglio di loro.

se non installi più norton ne hai tanto di guadagnato.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda prik » gio apr 19, 2007 5:18 pm

ti ringrazio infinitamente ma hdue domande da farti.
1 se non metto il norton, che antivirus mi consigli di utilizzare?
2 http://www.MegaLab.it/2657/4 qui dicono che il virus che ho eliminato ieri mi ha tolto la possibilità di avviare il pc in modalità provvisoria...è strettamente necessario usarla con il programma che mi hai indicato tu?
Ri-grazie
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano

Messaggioda crazy.cat » gio apr 19, 2007 7:41 pm

1) active virus shield o antivir pe

2) ripristina la modalità provvisoria seguendo le istruzioni dell'articolo e poi esegui il tools della norton dalla stessa modalità.
Si va fatto in provvisoria per avere effetto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda prik » ven apr 20, 2007 10:13 pm

come erito dal mod ecco il log datomi da hijackthis senza averlo fatto analizzare i data odierna, crca 2 min fa:

Logfile of HijackThis v1.99.1
Scan saved at 21.10.26, on 20/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\TEMP\ufrjaa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\iPod\bin\iPodService.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\priscilla tamasia\Desktop\set antivirus manuale\Rootkit Removers 8-in-1.exe
C:\DOCUME~1\PRISCI~1\IMPOST~1\Temp\ir_ext_temp_1\autorun.exe
C:\DOCUME~1\PRISCI~1\IMPOST~1\Temp\ir_ext_temp_1\AutoPlay\Docs\HijackThis 1.99.1\HijackThis 1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - C:\WINDOWS\system32\cbxwusr.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\eevbspqr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {E98D99D1-7DA7-42A9-8020-78F3D2563378} - C:\WINDOWS\system32\mljge.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [surfantewaitflap] C:\Documents and Settings\All Users\Dati applicazioni\Rule phone surf ante\Meet Second.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\qedcvnpr.dll",setvm
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [zwrmaa.exe] C:\WINDOWS\TEMP\zwrmaa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zzkqaa.exe] C:\WINDOWS\TEMP\zzkqaa.exe
O4 - HKLM\..\Run: [nsqlaa.exe] C:\WINDOWS\TEMP\nsqlaa.exe
O4 - HKLM\..\Run: [fpgzja.exe] C:\WINDOWS\TEMP\fpgzja.exe
O4 - HKLM\..\Run: [ufrjaa.exe] C:\WINDOWS\TEMP\ufrjaa.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-full\SpywareVanisher.exe -FastScan
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [Support Comp] C:\DOCUME~1\PRISCI~1\DATIAP~1\OPENHE~1\Shim Trust.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {4653C43B-D525-47A3-B451-BD5D80B1BC2F} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://orizzontiinfiniti.spaces.live.co ... nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6636242293
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DECD882F-B9F0-4BAA-8739-7BBFB138F76E}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: cbxwusr - C:\WINDOWS\SYSTEM32\cbxwusr.dll
O20 - Winlogon Notify: ddcyxxy - C:\WINDOWS\SYSTEM32\ddcyxxy.dll
O20 - Winlogon Notify: mljge - C:\WINDOWS\system32\mljge.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano

Messaggioda prik » ven apr 20, 2007 10:48 pm

Ribadisco comunque il problema di base che rimane... Io ho usato il FixVundo ma non in modalità provvisoria perché su un articolo qui in questo sito ho letto che il hldrrr ha cancellato le chiavi di sistema per avviare il pc in modalità provvisoria. C'era un .reg da scaricare per chi ha SO Windows XP che conteneva delle chiavi di sistema e l'ho fatto ma prima ho provato a avviarlo in modalità provvisoria e non va. Schiaccio F8 e non succede nulla...
Per non parlare dell'antivirus che continuo a non capire se funziona o no dato che non da segnali di vita...
Che devo fare? [boh]
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano

Messaggioda aris73 » ven apr 20, 2007 11:15 pm

fai girare anche questo http://www.atribune.org/ccount/click.php?id=4
proprio perché ha diverse varianti
Mettilo sul desktop e avvialo.
Quando ti si apre premi su Scan for Vundo.
Quando ha finito la scansione premi su Remove Vundo.
Ti chiederà se vuoi rimuovere i files, tu rispondi YES
Quando cliccherai yes il desktop diventerà bianco perché il VundoFix inizierà a rimuovere i files.
Quando avrà finito ti chiederà se può riavviare il pc, premi OK.
http://a98124.wix.com/aris-kyoshi

Aris Muscolino
Avatar utente
aris73
Aficionado
Aficionado
 
Messaggi: 110
Iscritto il: gio set 14, 2006 6:44 pm

Messaggioda crazy.cat » sab apr 21, 2007 9:32 am

Prova con questa modifica per far partire il pc in provvisoria
http://www.MegaLab.it/2556/2
e poi usa il tools della norton.

Rifai la scansione con hijackthis, selezioni le caselle di queste righe e premi fix checked per eliminarle.

O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - C:\WINDOWS\system32\cbxwusr.dll
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\eevbspqr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E98D99D1-7DA7-42A9-8020-78F3D2563378} - C:\WINDOWS\system32\mljge.dll
O4 - HKLM\..\Run: [surfantewaitflap] C:\Documents and Settings\All Users\Dati applicazioni\Rule phone surf ante\Meet Second.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\qedcvnpr.dll",setvm
O4 - HKLM\..\Run: [zwrmaa.exe] C:\WINDOWS\TEMP\zwrmaa.exe
O4 - HKLM\..\Run: [zzkqaa.exe] C:\WINDOWS\TEMP\zzkqaa.exe
O4 - HKLM\..\Run: [nsqlaa.exe] C:\WINDOWS\TEMP\nsqlaa.exe
O4 - HKLM\..\Run: [fpgzja.exe] C:\WINDOWS\TEMP\fpgzja.exe
O4 - HKLM\..\Run: [ufrjaa.exe] C:\WINDOWS\TEMP\ufrjaa.exe
O4 - HKCU\..\Run: [Support Comp] C:\DOCUME~1\PRISCI~1\DATIAP~1\OPENHE~1\Shim Trust.exe
O20 - Winlogon Notify: cbxwusr - C:\WINDOWS\SYSTEM32\cbxwusr.dll
O20 - Winlogon Notify: ddcyxxy - C:\WINDOWS\SYSTEM32\ddcyxxy.dll
O20 - Winlogon Notify: mljge - C:\WINDOWS\system32\mljge.dll

dai in pasto questo a the avenger

Files to delete:
C:\WINDOWS\system32\cbxwusr.dll
C:\WINDOWS\system32\eevbspqr.dll
C:\WINDOWS\system32\mljge.dll
C:\Documents and Settings\All Users\Dati applicazioni\Rule phone surf ante\Meet Second.exe
C:\WINDOWS\system32\qedcvnpr.dll
C:\WINDOWS\TEMP\zwrmaa.exe
C:\WINDOWS\TEMP\zzkqaa.exe
C:\WINDOWS\TEMP\nsqlaa.exe
C:\WINDOWS\TEMP\fpgzja.exe
C:\WINDOWS\TEMP\ufrjaa.exe
C:\DOCUME~1\PRISCI~1\DATIAP~1\OPENHE~1\Shim Trust.exe
C:\Programmi\VSAdd-in.dll
C:\WINDOWS\System32\rqrsqqp.dll
C:\WINDOWS\System32\mtkolidg.dll
c:\WINDOWS\System32\nwfdqlmi.exe
C:\WINDOWS\System32\lqsxfonj.dll
C:\WINDOWS\System32\nbrcrbbb.exe
C:\WINDOWS\System32\gmjlqsub.exe
C:\WINDOWS\System32\rlkmlhwn.exe
C:\WINDOWS\System32\soeowcsd.exe
C:\WINDOWS\System32\tqtncoic.exe
C:\WINDOWS\SYstem32\qedcvnpr.dll
C:\WINDOWS\System32\btvuspsx.dll
C:\WINDOWS\System32\emshrakg.exe
C:\WINDOWS\System32\cudygaqu.exe
C:\WINDOWS\System32\cbxwusr.dll
C:\WINDOWS\System32\aepqddkn.dll
C:\WINDOWS\System32\gbvnfqey.exe
C:\WINDOWS\System32\micykthn.dll
C:\WINDOWS\System32\vafdojvg.dll
C:\WINDOWS\System32\xxxyxkpp.exe
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda prik » sab apr 21, 2007 11:23 am

Ora non riesco a farlo perché non ho tempo comunque grazie mille! davvero! Appena ho fatto vi dico come va!
Grazie!!!!!!! [rotolo]
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano

Messaggioda prik » sab apr 21, 2007 3:39 pm

sono riuscita a disintal il norton solo che ora nn lo posso install di nuovo perché dice che fa contrasto con avst, 1 antivirus che avevo scaricao quando nn andava il noton e non sapevo ancora di avere i virus nel pc.
Come faccio a disinst avast? perché a partire da impostazioni accesso ai programmi, se clicco s rimuovi non lo fa.
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano

Messaggioda antonio » sab apr 21, 2007 3:50 pm

ma non reinstallare norton,tieniti avast o se riesci metti antivir pe,gratuito direttamente da questo sito www.free-av.com
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda crazy.cat » sab apr 21, 2007 4:45 pm

perché farsi del male e rimettere un anvitirus che non ti ha protetto per niente come norton.

Antivir pe o Active virus shield sono soluzioni molto migliori.

(dopo poi fai come vuoi...)
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda prik » dom apr 22, 2007 1:13 pm

e questi funzionano anche se c'è già avast?boh provo a rinstallare avast e vedo se stavolta funziona perché non va manco lui! Poi vi faccio sapere.
[:)]
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano

Messaggioda crazy.cat » dom apr 22, 2007 1:31 pm

Sei sicuro d'aver eliminato tutto il virus bagle?
Prova a postare il log di gmer nella sezione autostart.

Hai fatto girare il tools VundoFix?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda antonio » dom apr 22, 2007 2:08 pm

francamente alcune cose non le capisco...
ti hanno detto di fare girare vundofix per risolvere e non dici niente,chiedi alternative a norton ti vengono date e dici di voler rimettere avast... [boh]
Avatar utente
antonio
Silver Member
Silver Member
 
Messaggi: 1612
Iscritto il: ven apr 04, 2003 7:17 pm
Località: roma e cosenza

Messaggioda prik » lun apr 23, 2007 11:08 pm

crazy.cat, ho fatto come mi hai detto.
Ho fatto girare in modalità provvisoria il programma contro il trojan.vundo e mi ha detto che è tutto ok e che non ho trojanvundo sul pc. Poi ho fatto il fix con hijackthis dei files che mi avevi detto e ho usato avenger per quelli che mi avevi detto tu, ma alcuni avenger non li ha trovati. Infatti ecco il suo responso:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vvqfcivc

*******************

Script file located at: \??\C:\Program Files\hirnpcvs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\cbxwusr.dll deleted successfully.
File C:\WINDOWS\System32\mljge.dll deleted successfully.
File C:\WINDOWS\System32\eevbspqr.dll deleted successfully.
File C:\Documents and Settings\All Users\Dati applicazioni\Rule phone surf ante\Meet Second.exe deleted successfully.
File C:\WINDOWS\System32\qedcvnpr.dll deleted successfully.


File C:\WINDOWS\TEMP\zwrmaa.exe not found!
Deletion of file C:\WINDOWS\TEMP\zwrmaa.exe failed!

Could not process line:
C:\WINDOWS\TEMP\zwrmaa.exe
Status: 0xc0000034



File C:\WINDOWS\TEMP\zzkqaa.exe not found!
Deletion of file C:\WINDOWS\TEMP\zzkqaa.exe failed!

Could not process line:
C:\WINDOWS\TEMP\zzkqaa.exe
Status: 0xc0000034



File C:\WINDOWS\TEMP\nsqlaa.exe not found!
Deletion of file C:\WINDOWS\TEMP\nsqlaa.exe failed!

Could not process line:
C:\WINDOWS\TEMP\nsqlaa.exe
Status: 0xc0000034

File C:\WINDOWS\TEMP\fpgzja.exe deleted successfully.
File C:\WINDOWS\TEMP\ufrjaa.exe deleted successfully.


File C:\Programmi\VSAdd-in.dll not found!
Deletion of file C:\Programmi\VSAdd-in.dll failed!

Could not process line:
C:\Programmi\VSAdd-in.dll
Status: 0xc0000034

File C:\WINDOWS\System32\rqrsqqp.dll deleted successfully.


File C:\WINDOWS\System32\mtkolidg.dll not found!
Deletion of file C:\WINDOWS\System32\mtkolidg.dll failed!

Could not process line:
C:\WINDOWS\System32\mtkolidg.dll
Status: 0xc0000034



File C:\WINDOWS\System32\nwfdqlmi.exe not found!
Deletion of file C:\WINDOWS\System32\nwfdqlmi.exe failed!

Could not process line:
C:\WINDOWS\System32\nwfdqlmi.exe
Status: 0xc0000034



File C:\WINDOWS\System32\lqsxfonj.dll not found!
Deletion of file C:\WINDOWS\System32\lqsxfonj.dll failed!

Could not process line:
C:\WINDOWS\System32\lqsxfonj.dll
Status: 0xc0000034



File C:\WINDOWS\System32\nbrcrbbb.exe not found!
Deletion of file C:\WINDOWS\System32\nbrcrbbb.exe failed!

Could not process line:
C:\WINDOWS\System32\nbrcrbbb.exe
Status: 0xc0000034



File C:\WINDOWS\System32\gmjlqsub.exe not found!
Deletion of file C:\WINDOWS\System32\gmjlqsub.exe failed!

Could not process line:
C:\WINDOWS\System32\gmjlqsub.exe
Status: 0xc0000034



File C:\WINDOWS\System32\rlkmlhwn.exe not found!
Deletion of file C:\WINDOWS\System32\rlkmlhwn.exe failed!

Could not process line:
C:\WINDOWS\System32\rlkmlhwn.exe
Status: 0xc0000034



File C:\WINDOWS\SYstem32\soeowcsd.exe not found!
Deletion of file C:\WINDOWS\SYstem32\soeowcsd.exe failed!

Could not process line:
C:\WINDOWS\SYstem32\soeowcsd.exe
Status: 0xc0000034



File C:\WINDOWS\System32\tqtncoic.exe not found!
Deletion of file C:\WINDOWS\System32\tqtncoic.exe failed!

Could not process line:
C:\WINDOWS\System32\tqtncoic.exe
Status: 0xc0000034



File C:\WINDOWS\System32\qedcvnpr.dll not found!
Deletion of file C:\WINDOWS\System32\qedcvnpr.dll failed!

Could not process line:
C:\WINDOWS\System32\qedcvnpr.dll
Status: 0xc0000034



File C:\WINDOWS\System32\btvuspsx.dll not found!
Deletion of file C:\WINDOWS\System32\btvuspsx.dll failed!

Could not process line:
C:\WINDOWS\System32\btvuspsx.dll
Status: 0xc0000034



File C:\WINDOWS\System32\emshrakg.exe not found!
Deletion of file C:\WINDOWS\System32\emshrakg.exe failed!

Could not process line:
C:\WINDOWS\System32\emshrakg.exe
Status: 0xc0000034



File C:\WINDOWS\System32\cudygaqu.exe not found!
Deletion of file C:\WINDOWS\System32\cudygaqu.exe failed!

Could not process line:
C:\WINDOWS\System32\cudygaqu.exe
Status: 0xc0000034



File C:\WINDOWS\System32\aepqddkn.dll not found!
Deletion of file C:\WINDOWS\System32\aepqddkn.dll failed!

Could not process line:
C:\WINDOWS\System32\aepqddkn.dll
Status: 0xc0000034



File C:\WINDOWS\System32\gbvnfqey.exe not found!
Deletion of file C:\WINDOWS\System32\gbvnfqey.exe failed!

Could not process line:
C:\WINDOWS\System32\gbvnfqey.exe
Status: 0xc0000034

File C:\WINDOWS\System32\micykthn.dll deleted successfully.


File C:\WINDOWS\System32\vafdojvg.dll not found!
Deletion of file C:\WINDOWS\System32\vafdojvg.dll failed!

Could not process line:
C:\WINDOWS\System32\vafdojvg.dll
Status: 0xc0000034



File C:\WINDOWS\System32\xxxyxkpp.exe not found!
Deletion of file C:\WINDOWS\System32\xxxyxkpp.exe failed!

Could not process line:
C:\WINDOWS\System32\xxxyxkpp.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Dici che forse erano files dei trojan che fixVundo ha eliminato? Spero che ora sia tutto a posto! farò una scanzione con l'antivirus e poi vi faccio sapere!
Grazie
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano

Messaggioda crazy.cat » mar apr 24, 2007 8:57 am

Controlla che i file siano realmente spariti dal tuo pc.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda prik » mar apr 24, 2007 9:15 pm

ieri sera l'antivirus mi ha eliminato altri due cavalli di troia! Poi prima per sicurezza ho fatto una scansione con spybot-search & destroy e mi ha dato questi risultati:

DoubleClick = cookie tracciante o cookie di sito spia
MediaPlex = cookie tracciante o cookie di sito spia
TagASaurus = Trojan
Tradodoubler = cookie tracciante o cookie di sito spia

Ma questo programma è capace di eliminare il cavallo di troia? Grazie. comunque i files che avenger dice di non avere trovato pare che effettivamente non ci siano più.
Avatar utente
prik
Aficionado
Aficionado
 
Messaggi: 99
Iscritto il: mar apr 17, 2007 10:06 pm
Località: Milano

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising