Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

ancora delsim?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

ancora delsim?

Messaggioda jammin » dom giu 10, 2007 1:23 am

AIUTOOOOOOOOO...dopo aver faticato, con qusto dialer, ho tolto lHD, ma anche con quello nuovo, mi si ripresenta il problema, vi allego il file log fatto in modalita' provvisoria e tutti i vari passaggi:

scansione con avast in mod.provv. trovava ed eliminava:
C:\systemvolumeinformation\...\A0002143.exe
C:\systemvolumeinformation\...\A0005339.exe
C:\system32\cag.exe infezione win32:sdbot-4473 [trj]
C:\system32\hrv.exe idem
C:\system32\iqs.exe idem
C:\system32\jra.exe idem

Poi avast ha di nuovo scansionato all avvio e trovava ed eliminava:
come sopra ma
A0005342.exe
A0005343.exe
A0005344.exe
A0005345.exe

Premetto che ancora dovevo finire di fare i vari update di winxp
e notavo che il file C:\WINDOWS\VTTimer.exe riappare sempre in hijack nonostante il fixaggio
ed insieme ad un "wault.exe" sono i due file trovati sempre da avast e nod32 in modalita' normale.

AIUTATEMI O BUTTO LA SCHEDA MADRE..............ciauu e grazie
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda crazy.cat » dom giu 10, 2007 9:15 am

Non si butta niente, al limite si formatta il disco.
Posta un log di Hijackthis e cambia antivirus (active virus shield) che è meglio.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda jammin » mar giu 12, 2007 8:46 pm

ecco il log............

Logfile of HijackThis v1.99.1
Scan saved at 19.58.44, on 07/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scarpissime.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Copyright (C) 2001-2005 S3 Graphics, Inc. (S3 Graphics, Inc.) - Unknown owner - C:\WINDOWS\VTTimer.exe
O23 - Service: Windows Defender User Interface - Unknown owner - C:\WINDOWS\MsMpEng.exe
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am


Messaggioda crazy.cat » mer giu 13, 2007 8:41 am

Hai fatto la scansione dalla modalità provvisoria?
Ci sono pochissime cose attive, serve quella dalla modalità normale.
si nota la mancanza del Service pack 2 di windows, la presenza di due antivirus che non ti hanno protetto per niente.
Hai un firewall?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda jammin » mer giu 13, 2007 9:05 pm

tutti i procedimenti sono partiti dalla modalita' provvisoria, manca il log nella modalita normale e' vero, ed anche gli aggiornamenti service pack 2.
comunque avst me lo ha beccato anche all avvio normale, ma poi e' tornato.
faccio queste due prove poi vediamo. il sp2 lo aggiorno online?
grazie


Logfile of HijackThis v1.99.1
Scan saved at 13.43.37, on 15/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\avg.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\regent.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SubSys.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scarpissime.it/
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\avg.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AVG - Unknown owner - C:\WINDOWS\avg.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Register Manager - Unknown owner - C:\WINDOWS\regent.exe
O23 - Service: Copyright (C) 2001-2005 S3 Graphics, Inc. (S3 Graphics, Inc.) - Unknown owner - C:\WINDOWS\VTTimer.exe (file missing)
O23 - Service: Windows Sub System - Unknown owner - C:\WINDOWS\SubSys.exe


log in modalita' normale, il bas***do mi blocca internet non riesco a fare quasi nulla
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda crazy.cat » gio giu 14, 2007 9:08 am

Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda crazy.cat » ven giu 15, 2007 7:28 pm

Ho incollato il log nella discussione in modo da tenerne una sola aperta.

Già da questo si vedono almeno tre problemi.
Elimina intanto questi tre file, usa unlocker o killbox.
C:\WINDOWS\avg.exe
C:\WINDOWS\regent.exe
C:\WINDOWS\SubSys.exe

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\avg.exe
O23 - Service: AVG - Unknown owner - C:\WINDOWS\avg.exe
O23 - Service: Register Manager - Unknown owner - C:\WINDOWS\regent.exe
O23 - Service: Windows Sub System - Unknown owner - C:\WINDOWS\SubSys.exe
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda jammin » ven giu 15, 2007 7:58 pm

fatto, anche kaspersky mi ha trovato quei file insieme ad altri due, li ho eliminati con killbox......ora cosa faccio? scansiono ancora oppure riavvio in mod normale? ho a disposizione :avast, nod32, spybot
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda jammin » ven giu 15, 2007 8:58 pm

sembra tutto sparito, pero' all avvio mi richiama una voce che non ho cancellato....avg.exe che poi ho scovato nel regedite solo che prima mi impediva l accesso ad internet ora sembra tutto ok ma dopo qualche minuto no nriesco ad aprire piu' nessun programma, e nemmeno si riavvia da start......ti allego il nuovo log in mod. normale

Logfile of HijackThis v1.99.1
Scan saved at 19.56.19, on 15/06/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.scarpissime.it/
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\avg.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: AVG - Unknown owner - C:\WINDOWS\avg.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Copyright (C) 2001-2005 S3 Graphics, Inc. (S3 Graphics, Inc.) - Unknown owner - C:\WINDOWS\VTTimer.exe (file missing)
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda crazy.cat » sab giu 16, 2007 9:22 am

Se riesci a navigare, vai sul sito della kaspersky e fai uno scan online alla fine salva il log e postali qui.
Magari c'è qualche altro virus che non si vede nel log.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda jammin » dom giu 17, 2007 2:32 am

purtroppo non ho quel computer ora rimandato a lunedi, comunque Vi posto il log di kaspesky fatto prima della disinfestazione descritta sopra.
grazie ancora

KASPERSKY ONLINE SCANNER REPORTKASPERSKY ONLINE SCANNER REPORT
Friday, June 15, 2007 5:03:54 PM
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 15/06/2007
Kaspersky Anti-Virus database records: 347157


Scan Statistics
Total number of scanned objects19574
Number of viruses found6
Number of infected objects30 / 0
Number of suspicious objects0
Duration of the scan process00:55:58

Infected Object NameVirus NameLast Action
C:\7a3t5c8q2i9.exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\5UX9W9EW\go[1].exe Infected: not-a-virus:Dialer.Win32.Agent.b skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary
Internet Files\Content.IE5\WFYS7XAH\installx[2].exe Infected:
Trojan.Win32.Agent.aoq skipped

C:\Programmi\ESET\infected\1GAP0JCA.NQF Infected: Backdoor.Win32.SdBot.bji
skipped

C:\Programmi\ESET\infected\2YKZUOCA.NQF Infected:
not-a-virus:Dialer.Win32.Agent.b skipped

C:\Programmi\ESET\infected\GSVCGXBA.NQF Infected:
not-a-virus:Dialer.Win32.Agent.b skipped

C:\Programmi\File comuni\delsim\del.exe Infected:
not-a-virus:Dialer.Win32.Agent.b skipped

C:\WINDOWS\avg.exe Infected: Backdoor.Win32.SdBot.bhk skipped

C:\WINDOWS\dhcp.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\regent.exe Infected: Backdoor.Win32.SdBot.bhk skipped

C:\WINDOWS\SubSys.exe Infected: Trojan.Win32.Agent.aow skipped

C:\WINDOWS\system32\bra.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\cpj.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\dkg.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\fhu.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\hdb.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\ira.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\kjv.exe Infected: Trojan.Win32.Agent.aow skipped

C:\WINDOWS\system32\kkk.exe Infected: Backdoor.Win32.SdBot.bhk skipped

C:\WINDOWS\system32\lex.exe Infected: Trojan.Win32.Agent.aow skipped

C:\WINDOWS\system32\lka.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\mgn.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\nsh.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\ocy.exe Infected: Backdoor.Win32.SdBot.bhk skipped

C:\WINDOWS\system32\pik.exe Infected: Trojan.Win32.Agent.aow skipped

C:\WINDOWS\system32\qet.exe Infected: Backdoor.Win32.SdBot.bhk skipped

C:\WINDOWS\system32\uqe.exe Infected: Trojan.Win32.Agent.aow skipped

C:\WINDOWS\system32\vyx.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\wuu.exe Infected: Backdoor.Win32.SdBot.bjk skipped

C:\WINDOWS\system32\zvj.exe Infected: Backdoor.Win32.SdBot.bjk skipped
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda crazy.cat » dom giu 17, 2007 8:56 am

Cancella tutti i file infetti che vedi nel log di kaspersky.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda jammin » dom giu 17, 2007 12:20 pm

mi sembra di averlo fatto con killbox, ma ora si impalla il PC, domani provo a fare un altra scansione onlne e vediamo cosa trova.
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda jammin » lun giu 18, 2007 6:52 pm

buonasera a tutti, allora, oggi ho provato a scansionare con gmer in mod normale ma si e' addirittura riavviato......quindi in mod provvisoria con rete, gmer nel menu rootkit trovava system32\drivers\asw Tdi.sys impossibile trovare il file
Poi kaspersky online mi trovava C:\WINDOWS\system32\o :troyan subito eliminato con killbox,
Ora riavvio in mod normale e riprovo con entrambi e faccio un log con hijack.
Ho disinstallato spybot e avast.
a dopo
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda jammin » lun giu 18, 2007 8:20 pm

ora sembra andare bene e nemmeno si inchioda piu......ho anche ripulito il regedit da residui del delsim.....
grazie a CAT ed a tutti queli che mi hanno aiutato .
miticiiiiiiii
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda jammin » mar giu 19, 2007 6:14 pm

crazy.cat ha scritto:Download Sp2


Ciao, volevo dirti che non sono riuscito ad installare il sp2, perche' mi dice che il product name o code non e' esatto e rimanda al sito howtotell.com........che fare?
grazie
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda crazy.cat » mar giu 19, 2007 6:50 pm

jammin ha scritto:
crazy.cat ha scritto:Download Sp2


Ciao, volevo dirti che non sono riuscito ad installare il sp2, perche' mi dice che il product name o code non e' esatto e rimanda al sito howtotell.com........che fare?
grazie


Se non sei in regola con i codici di windows non possiamo aiutarti è contro il nostro regolamento.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda jammin » mar giu 19, 2007 8:00 pm

mi sembra giusto......un ultima cosa. perche' all avvio, nod32 mi dice il registo di conf. e' stato disabilitato dall amministratore?
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am

Messaggioda crazy.cat » mer giu 20, 2007 9:01 am

jammin ha scritto:un ultima cosa. perche' all avvio, nod32 mi dice il registo di conf. e' stato disabilitato dall amministratore?

Uno dei vermetti che girava nel tuo pc lo avrà disattivato.
Riabilitalo
http://www.MegaLab.it/2515
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda jammin » gio giu 21, 2007 11:00 am

ok, ho eseguito il comando gia' pronto in vbs ma al riavvio mi da ancora quel messaggio......booo
Avatar utente
jammin
Neo Iscritto
Neo Iscritto
 
Messaggi: 13
Iscritto il: gio giu 07, 2007 2:03 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising