Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Virus

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Virus

Messaggioda amavuli » sab dic 13, 2008 5:22 am

[!!!] Aiuto!!! Improvvisamente alla pagina su cui navigavo( un quotidiano cui sono abbonato e che leggo regolarmente tutti i giorni) se n’è sovrapposta un’altra che a caratteri cubitali rossi mi diceva che il computer era sottoposto ad un attacco di virus e che era assolutamente necessario installare REALAV cosa che stupidamente ho fatto. Dopo qualche istante lo sfondo azzurro del desktop è diventato bianco. I comandi vengono eseguiti in maniera lentissima, se tento di aprire documenti mi appare un messaggio che mi dice che: “è stato rilevato in questa pagina un potenziale rischio per la protezione”, altri programmi appaiono a caso ed ogni tanto appare una scritta rossa intermittente che in inglese mi invia un avviso di errore critico verificatosi nel sistema. Mi potete aiutare a risolvere il problema senza dover resettare il tutto? Grazie.
Avatar utente
amavuli
Aficionado
Aficionado
 
Messaggi: 58
Iscritto il: dom gen 28, 2007 11:35 pm

Re: Virus

Messaggioda ste_95 » sab dic 13, 2008 7:13 am

Scarica ComboFix ed esegui una scansione, le istruzioni le trovi in fondo a questo articolo. Al termine, posta il log seguendo le regole di sezione.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Virus

Messaggioda amavuli » sab dic 13, 2008 2:11 pm

Ti ringrazio per il suggerimento. Ho eliminato sei infezioni. Ho riavviato il computer ma le icone mi riappaiono ancora su sfondo bianco. E la scritta ripristina active desktop che però non funziona, infatti quando ci clicco sopra mi appare una grande videata con la scritta Errore nello script della pagina e poi le seguenti informazioni
linea 65
carattere 1
errore azione non valida per l'oggetto
codice 0
e quindi l'URL
dopo l'URL mi chiede:
continuare ad eseguire gli sript nella pagina?
Si No
qualunque opzione clicchi non succede assolutamente niente.
D'improvviso( mi è successo anche adesso mentre scrivo) sia apre la cartella documenti. Grazie Angelo
Avatar utente
amavuli
Aficionado
Aficionado
 
Messaggi: 58
Iscritto il: dom gen 28, 2007 11:35 pm


Re: Virus

Messaggioda ste_95 » sab dic 13, 2008 3:12 pm

Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Posta sul forum il risultato facendo attenzione a queste regole.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Virus

Messaggioda amavuli » sab dic 13, 2008 4:44 pm

Ti ringrazio molto e ti chiedo scusa. Hi fatto quanto tu mi hai detto ed ho notato che il computer è tornato più veloce. Il problema persiste però per quanto concerne il Desktop che è impossibile ripristinare infatti il tasto “Ripristina Active Desktop” continua mostrarmi la videata che ti invio per intero

Errore nello script della pagina e poi le seguenti informazioni
linea 65
carattere 1
errore azione non valida per l'oggetto
codice 0
Urlfile:///C:/Documents%20and%20Settings/Angelo%20Mavuli/Dati%20applicazioni/Microsoft/Internet%20Explorer/Desktop.htt
continuare ad eseguire gli sript nella pagina?
Si No

Inoltre continua ad aprirsi il seguente link
http://real-av.org/?code=3
Ti ringrazio molto e ti chiedo scusa

Seguendo il quale ieri notte sono cominciati tutti i problemi
Avatar utente
amavuli
Aficionado
Aficionado
 
Messaggi: 58
Iscritto il: dom gen 28, 2007 11:35 pm

Re: Virus

Messaggioda Amantide » sab dic 13, 2008 5:12 pm

Puoi postare il log della scansione con Combofix?
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus

Messaggioda amavuli » sab dic 13, 2008 6:24 pm

Purtroppo il computer non mi consente di poter effettuare il Download di Combofix. Di punto in bianco sparisce la videata del Download. Inoltre se tento di aprire la cartella documenti un’altra videata mi dice . E’ stato rilevato in questa pagina un potenziale rischio per la protezione. Continuare? La stessa cartella come ho già scritto si apre poi d’improvviso senza averci ciccato sopra.
Cosa devo fare? Grazie molte per l’aiuto.
Avatar utente
amavuli
Aficionado
Aficionado
 
Messaggi: 58
Iscritto il: dom gen 28, 2007 11:35 pm

Re: Virus

Messaggioda Amantide » sab dic 13, 2008 7:36 pm

Quindi non sei riuscito ad effettuare la scansione con Combofix per niente, nemmeno quando te lo ha chiesto ste?

Prova a scaricare ed avviare questo file rinominato
http://www.sendspace.com/file/97rb4j
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus

Messaggioda amavuli » sab dic 13, 2008 8:45 pm

Sono riuscito a scaricare Combofix

ComboFix 08-12-12.05 - Angelo Mavuli 2008-12-13 18.40.11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.2047.1481 [GMT 1:00]
Eseguito da: H:\ComboFix.exe
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\ANGELO~1\IMPOST~1\Temp\tmp1.tmp
c:\docume~1\ANGELO~1\IMPOST~1\Temp\tmp2.tmp
c:\documents and settings\Angelo Mavuli\Impostazioni locali\Dati applicazioni\lqdbhtbe.dat
c:\documents and settings\Angelo Mavuli\Impostazioni locali\Dati applicazioni\lqdbhtbe_nav.dat
c:\documents and settings\Angelo Mavuli\Impostazioni locali\Dati applicazioni\lqdbhtbe_navps.dat
c:\windows\system32\~.exe
c:\windows\system32\ehkmnnmp.ini
c:\windows\system32\ehkmnnmp.ini2
c:\windows\system32\fdskjopf.ini
c:\windows\system32\fpojksdf.dll
c:\windows\system32\frmwrk32.exe
c:\windows\system32\hohokaza.dll
c:\windows\system32\jemukuwo.dll
c:\windows\system32\jimikesu.dll
c:\windows\system32\mdm.exe
c:\windows\system32\ntdll64.exe
c:\windows\system32\pfbuvm.dll
c:\windows\system32\pmnnmkhe.dll
c:\windows\system32\qtmlClient.dll
c:\windows\system32\ttnckmvd.dll

.
((((((((((((((((((((((((( Files Creati Da 2008-11-13 al 2008-12-13 )))))))))))))))))))))))))))))))))))
.

2008-12-13 18:22 . 2008-12-13 18:22 1,347 --a------ c:\windows\system32\ahtn.htm
2008-12-13 15:57 . 2008-12-13 16:32 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Lavasoft
2008-12-13 13:17 . 2008-12-13 13:17 <DIR> d-------- C:\VundoFix Backups
2008-12-13 11:29 . 2007-11-27 22:56 91,328 --a------ c:\windows\system32\drivers\msfwdrv.sys
2008-12-13 11:28 . 2007-11-27 22:56 116,416 --a------ c:\windows\system32\drivers\msfwhlpr.sys
2008-12-13 11:27 . 2008-05-15 16:15 53,168 --a------ c:\windows\system32\drivers\MpFilter.sys
2008-12-13 11:24 . 2008-12-13 11:49 <DIR> d-------- c:\programmi\Microsoft Windows OneCare Live
2008-12-13 03:36 . 2008-12-13 03:36 <DIR> d-------- C:\SWSetup
2008-12-13 02:19 . 2008-12-13 02:19 7,680 --ahs---- c:\windows\Thumbs.db
2008-12-13 01:07 . 2008-12-13 20:39 461 --a------ c:\windows\system32\win32hlp.cnf
2008-12-13 01:01 . 2008-12-13 18:22 4,785 --a------ c:\windows\system32\warning.gif
2008-12-13 01:01 . 2008-12-13 01:01 1,746 --a------ c:\windows\system32\test.ttt
2008-12-13 01:01 . 2008-12-13 01:01 1 --a------ c:\windows\system32\uniq.tll
2008-12-09 21:25 . 2008-12-10 00:18 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-06 19:43 . 2008-12-06 19:43 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\NVIDIA
2008-11-24 12:19 . 2008-11-24 12:24 <DIR> d-------- c:\documents and settings\Angelo Mavuli\Dati applicazioni\Ashampoo
2008-11-24 12:19 . 2008-11-24 12:19 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\ashampoo
2008-11-22 17:26 . 2008-11-22 17:26 56 --ah----- c:\windows\system32\ezsidmv.dat
2008-11-22 17:25 . 2008-11-22 17:25 <DIR> d-------- c:\programmi\File comuni\Skype

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-13 12:47 --------- d-----w c:\programmi\PC Tools Firewall Plus
2008-12-13 11:05 --------- d---a-w c:\documents and settings\All Users\Dati applicazioni\TEMP
2008-12-13 10:36 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\avg8
2008-12-13 01:02 --------- d-----w c:\programmi\eMule
2008-12-12 19:44 --------- d-----w c:\documents and settings\Angelo Mavuli\Dati applicazioni\Skype
2008-12-12 15:44 --------- d-----w c:\documents and settings\Angelo Mavuli\Dati applicazioni\skypePM
2008-11-09 20:00 --------- d-----w c:\programmi\Pinnacle
2008-11-08 19:26 --------- d-----w c:\programmi\SureThing Express Labeler
2008-11-08 19:02 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Pinnacle
2008-11-08 18:50 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Pinnacle Studio Ultimate
2008-11-08 18:35 --------- d-----w c:\programmi\proDAD
2008-11-08 18:35 --------- d-----w c:\documents and settings\Angelo Mavuli\Dati applicazioni\proDAD
2008-11-08 18:01 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-11-08 17:50 --------- d-----w c:\programmi\File comuni\Real
2008-11-07 13:23 --------- d-----w c:\programmi\File comuni\AVSMedia
2008-11-05 14:12 --------- d-----w c:\programmi\LooksBuilderSE
2008-11-05 14:12 --------- d-----w c:\programmi\Boris FX, Inc
2008-11-05 14:08 --------- d-----w c:\programmi\File comuni\SureThing Shared
2008-11-05 14:05 --------- d-----w c:\programmi\File comuni\Pinnacle
2008-11-05 14:00 --------- d-----w c:\programmi\File comuni\Yahoo!
2008-11-05 14:00 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Studio 12
2008-11-05 14:00 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Pinnacle Studio Plus
2008-11-04 22:57 --------- d-----w c:\programmi\Nokia
2008-11-04 22:57 --------- d-----w c:\programmi\File comuni\PCSuite
2008-11-04 22:57 --------- d-----w c:\programmi\File comuni\Nokia
2008-11-04 22:55 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Installations
2008-10-29 07:54 --------- d-----w c:\documents and settings\Angelo Mavuli\Dati applicazioni\Screaming Bee
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-06-07 11:51 32 ----a-w c:\documents and settings\All Users\Dati applicazioni\ezsid.dat
2008-07-17 17:59 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008071720080718\index.dat
.

------- Sigcheck -------

2008-04-14 03:14 26624 df69726907357c3add243f48902b0331 c:\windows\ServicePackFiles\i386\userinit.exe
2008-12-13 01:07 111616 80e4dcba043dee8129d524bfeb8b864c c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-10-02 1124352]
"Nokia.PCSync"="c:\programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"OLIVETTIEVM"="c:\programmi\Olivetti\Aio\Shared\Bin\AplEvm12.exe" [2003-02-13 36864]
"RealTray"="c:\programmi\Real\RealPlayer\RealPlay.exe" [2008-11-08 26112]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-12-04 406016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"OneCareUI"="c:\programmi\Microsoft Windows OneCare Live\winssnotify.exe" [2008-11-05 64880]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2006-08-11 c:\windows\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Angelo Mavuli\Menu Avvio\Programmi\Esecuzione automatica\
Utilit… controllo supporti di Picture Motion Browser.lnk - c:\programmi\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-09-15 385024]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM2"= RALCodec.dll
"vidc.mjpg"= pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^WinZip Quick Pick.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 02:06 40048 c:\programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-06-20 11:49 451872 c:\programmi\File comuni\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a------ 2003-12-04 12:34 406016 c:\windows\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2003-10-31 18:42 32768 c:\programmi\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2007-04-04 10:22 1822720 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Programmi\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Programmi\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1253:UDP"= 1253:UDP:Windows Media Format SDK (firefox.exe)
"1254:UDP"= 1254:UDP:Windows Media Format SDK (firefox.exe)
"1255:UDP"= 1255:UDP:Windows Media Format SDK (firefox.exe)
"1252:UDP"= 1252:UDP:Windows Media Format SDK (firefox.exe)

R1 LStone;Pinnacle Systems Studio AV/devo Overlay;c:\windows\system32\DRIVERS\lstone2k.sys [2008-06-04 247936]
R1 MemAlloc;MemAlloc;c:\windows\system32\DRIVERS\memalloc.sys [2008-06-04 5543]
R2 OcHealthMon;Windows Live OneCare Health Monitor;"c:\programmi\Microsoft Windows OneCare Live\OcHealthMon.exe" [2008-11-05 25968]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2008-05-29 38656]
S3 OEMius12;USB to IEEE-1284.4 Translation Driver OEMius12;c:\windows\system32\DRIVERS\OEMius12.sys [2003-01-31 21456]
S3 Pml Driver OEM12;Pml Driver OEM12;c:\windows\system32\OEMipm12.exe [2003-01-10 65795]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys []
S3 Wdm1;USB Bridge Cable Driver;c:\windows\system32\Drivers\usbbc.sys [2008-07-10 15576]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc846543-2da7-11dd-9279-806d6172696f}]
\Shell\AutoRun\command - D:\Setupx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programmi\File comuni\LightScribe\LSRunOnce.exe"
.
- - - - ORFÃOS REMOVIDOS - - - -

BHO-{41605832-A041-4767-BD2F-0E3469D2D764} - c:\windows\system32\pmnnmkhe.dll
BHO-{44e85b84-891e-4a9f-b9fa-541bdae6f500} - c:\windows\system32\pfbuvm.dll
BHO-{7f8bf71e-d99f-4a28-be60-00de831011ad} - c:\windows\system32\jimikesu.dll
HKLM-Run-VirusRemover2008 - c:\programmi\VirusRemover2008\VRM2008.exe
HKLM-Run-Framework Windows - frmwrk32.exe
Notify-ddcARJBt - ddcARJBt.dll
MSConfigStartUp-00PCTFW - c:\programmi\PC Tools Firewall Plus\FirewallGUI.exe
MSConfigStartUp-AVG8_TRAY - c:\progra~1\AVG\AVG8\avgtray.exe
MSConfigStartUp-Nokia - c:\programmi\Nokia\Nokia PC Suite 6\PCSync2.exe
MSConfigStartUp-PC Suite Tray - c:\programmi\Nokia\Nokia PC Suite 6\PCSuite.exe


.
------- Supplementare di scansione -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************
scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti:

**************************************************************************
.
Ora fine scansione: 2008-12-13 20:42:26 - macchina è stato riavviato
ComboFix-quarantined-files.txt 2008-12-13 19:42:25

Pre-Run: 129.654.865.920 byte disponibili
Post-Run: 129,763,983,360 byte disponibili

197 --- E O F --- 2008-12-09 23:18:49


La prossima volta inserisci i log seguendo queste istruzioni.
viewtopic.php?f=33&t=45943
Ultima modifica di Amantide il sab dic 13, 2008 8:50 pm, modificato 1 volta in totale.
Motivazione: Inserito il tag LOG
Avatar utente
amavuli
Aficionado
Aficionado
 
Messaggi: 58
Iscritto il: dom gen 28, 2007 11:35 pm

Re: Virus

Messaggioda Amantide » sab dic 13, 2008 9:04 pm

Copia ed incolla il seguente testo su blocconote e salva il file su desktop con il nome CFScript.txt.
Codice: Seleziona tutto
File::
c:\windows\system32\ahtn.htm
c:\windows\system32\win32hlp.cnf
c:\windows\system32\warning.gif
c:\windows\system32\test.ttt
c:\windows\system32\uniq.tll

Ora trascina il file CFScript.txt sull'icona di ComboFix. Aspetta il termine della scansione e posta il nuovo log di Combofix.

Fai anche la scansione con Malwarebytes Anti-malware e posta qui il suo log.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus

Messaggioda amavuli » lun dic 15, 2008 12:23 am

Ti ringrazio molto per la pazienza.

ComboFix 08-12-12.05 - Angelo Mavuli 2008-12-15 0.20.36.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.2047.1440 [GMT 1:00]
Eseguito da: H:\ComboFix.exe
Interruttori di comando utilizzati :: c:\documents and settings\Angelo Mavuli\Desktop\CFScript.txt..txt
* Creato nuovo punto di ripristino

FILE ::
c:\windows\system32\ahtn.htm
c:\windows\system32\test.ttt
c:\windows\system32\uniq.tll
c:\windows\system32\warning.gif
c:\windows\system32\win32hlp.cnf
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ahtn.htm
c:\windows\system32\test.ttt
c:\windows\system32\uniq.tll
c:\windows\system32\warning.gif
c:\windows\system32\win32hlp.cnf

.
((((((((((((((((((((((((( Files Creati Da 2008-11-14 al 2008-12-14 )))))))))))))))))))))))))))))))))))
.

2008-12-14 12:01 . 2008-12-14 12:02 <DIR> d-------- c:\windows\system32\NtmsData
2008-12-14 11:36 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2008-12-14 11:36 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2008-12-14 11:36 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2008-12-13 21:44 . 2008-12-13 21:44 <DIR> d-------- c:\programmi\Common Files
2008-12-13 15:57 . 2008-12-13 16:32 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Lavasoft
2008-12-13 13:17 . 2008-12-13 13:17 <DIR> d-------- C:\VundoFix Backups
2008-12-13 11:29 . 2007-11-27 22:56 91,328 --a------ c:\windows\system32\drivers\msfwdrv.sys
2008-12-13 11:28 . 2007-11-27 22:56 116,416 --a------ c:\windows\system32\drivers\msfwhlpr.sys
2008-12-13 11:27 . 2008-05-15 16:15 53,168 --a------ c:\windows\system32\drivers\MpFilter.sys
2008-12-13 11:24 . 2008-12-15 00:09 <DIR> d-------- c:\programmi\Microsoft Windows OneCare Live
2008-12-13 03:36 . 2008-12-13 03:36 <DIR> d-------- C:\SWSetup
2008-12-13 02:19 . 2008-12-13 02:19 7,680 --ahs---- c:\windows\Thumbs.db
2008-12-09 21:25 . 2008-12-10 00:18 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-06 19:43 . 2008-12-06 19:43 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\NVIDIA
2008-11-24 12:19 . 2008-11-24 12:24 <DIR> d-------- c:\documents and settings\Angelo Mavuli\Dati applicazioni\Ashampoo
2008-11-24 12:19 . 2008-11-24 12:19 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\ashampoo
2008-11-22 17:26 . 2008-11-22 17:26 56 --ah----- c:\windows\system32\ezsidmv.dat
2008-11-22 17:25 . 2008-11-22 17:25 <DIR> d-------- c:\programmi\File comuni\Skype

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-13 20:44 --------- d-----w c:\programmi\Sony
2008-12-13 12:47 --------- d-----w c:\programmi\PC Tools Firewall Plus
2008-12-13 11:05 --------- d---a-w c:\documents and settings\All Users\Dati applicazioni\TEMP
2008-12-13 10:36 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\avg8
2008-12-13 01:02 --------- d-----w c:\programmi\eMule
2008-12-12 19:44 --------- d-----w c:\documents and settings\Angelo Mavuli\Dati applicazioni\Skype
2008-12-12 15:44 --------- d-----w c:\documents and settings\Angelo Mavuli\Dati applicazioni\skypePM
2008-11-09 20:00 --------- d-----w c:\programmi\Pinnacle
2008-11-08 19:26 --------- d-----w c:\programmi\SureThing Express Labeler
2008-11-08 19:02 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Pinnacle
2008-11-08 18:50 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Pinnacle Studio Ultimate
2008-11-08 18:35 --------- d-----w c:\programmi\proDAD
2008-11-08 18:35 --------- d-----w c:\documents and settings\Angelo Mavuli\Dati applicazioni\proDAD
2008-11-08 18:01 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-11-08 17:50 --------- d-----w c:\programmi\File comuni\Real
2008-11-07 13:23 --------- d-----w c:\programmi\File comuni\AVSMedia
2008-11-05 14:12 --------- d-----w c:\programmi\LooksBuilderSE
2008-11-05 14:12 --------- d-----w c:\programmi\Boris FX, Inc
2008-11-05 14:08 --------- d-----w c:\programmi\File comuni\SureThing Shared
2008-11-05 14:05 --------- d-----w c:\programmi\File comuni\Pinnacle
2008-11-05 14:00 --------- d-----w c:\programmi\File comuni\Yahoo!
2008-11-05 14:00 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Studio 12
2008-11-05 14:00 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Pinnacle Studio Plus
2008-11-04 22:57 --------- d-----w c:\programmi\Nokia
2008-11-04 22:57 --------- d-----w c:\programmi\File comuni\PCSuite
2008-11-04 22:57 --------- d-----w c:\programmi\File comuni\Nokia
2008-11-04 22:55 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Installations
2008-10-29 07:54 --------- d-----w c:\documents and settings\Angelo Mavuli\Dati applicazioni\Screaming Bee
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 10:02 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:24 1,846,400 ----a-w c:\windows\system32\win32k.sys
2008-06-07 11:51 32 ----a-w c:\documents and settings\All Users\Dati applicazioni\ezsid.dat
2008-07-17 17:59 32,768 --sha-w c:\windows\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008071720080718\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-12-13_20.42.06.73 )))))))))))))))))))))))))))))))))))))))))
.
+ 2003-07-07 19:36:00 2,058,343 ----a-r c:\windows\Installer\$PatchCache$\Managed\0140210900063D11C8EF10054038389C\11.0.5614\OUTLFLTR.DAT
+ 2003-07-08 17:48:00 115,288 ----a-r c:\windows\Installer\$PatchCache$\Managed\0140210900063D11C8EF10054038389C\11.0.5614\OUTLFLTR.DLL
- 2008-06-07 10:56:46 12,288 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\cagicon.exe
+ 2008-12-14 12:02:23 12,288 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\cagicon.exe
- 2008-06-07 10:56:46 135,168 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\misc.exe
+ 2008-12-14 12:02:23 135,168 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\misc.exe
- 2008-06-07 10:56:46 11,264 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\mspicons.exe
+ 2008-12-14 12:02:24 11,264 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\mspicons.exe
- 2008-06-07 10:56:46 27,136 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\oisicon.exe
+ 2008-12-14 12:02:24 27,136 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\oisicon.exe
- 2008-06-07 10:56:46 4,096 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\opwicon.exe
+ 2008-12-14 12:02:24 4,096 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\opwicon.exe
- 2008-06-07 10:56:46 794,624 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\outicon.exe
+ 2008-12-14 12:02:24 794,624 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\outicon.exe
- 2008-06-07 10:56:46 249,856 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\pptico.exe
+ 2008-12-14 12:02:23 249,856 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\pptico.exe
- 2008-06-07 10:56:46 23,040 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\unbndico.exe
+ 2008-12-14 12:02:25 23,040 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\unbndico.exe
- 2008-06-07 10:56:46 286,720 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\wordicon.exe
+ 2008-12-14 12:02:23 286,720 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\wordicon.exe
- 2008-06-07 10:56:46 409,600 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\xlicons.exe
+ 2008-12-14 12:02:23 409,600 ----a-r c:\windows\Installer\{90120410-6000-11D3-8CFE-0150048383C9}\xlicons.exe
+ 2008-04-14 02:14:22 26,624 -c--a-w c:\windows\system32\dllcache\userinit.exe
- 2008-12-13 00:07:27 111,616 ----a-w c:\windows\system32\userinit.exe
+ 2008-04-14 02:14:22 26,624 ----a-w c:\windows\system32\userinit.exe
+ 2008-12-14 23:09:21 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_234.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PC Suite Tray"="c:\programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-10-02 1124352]
"Nokia.PCSync"="c:\programmi\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"OLIVETTIEVM"="c:\programmi\Olivetti\Aio\Shared\Bin\AplEvm12.exe" [2003-02-13 36864]
"RealTray"="c:\programmi\Real\RealPlayer\RealPlay.exe" [2008-11-08 26112]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2003-12-04 406016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"OneCareUI"="c:\programmi\Microsoft Windows OneCare Live\winssnotify.exe" [2008-11-05 64880]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2006-08-11 c:\windows\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Angelo Mavuli\Menu Avvio\Programmi\Esecuzione automatica\
Utilit… controllo supporti di Picture Motion Browser.lnk - c:\programmi\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-09-15 385024]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM2"= RALCodec.dll
"vidc.mjpg"= pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^WinZip Quick Pick.lnk]
path=c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 02:06 40048 c:\programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-06-20 11:49 451872 c:\programmi\File comuni\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a------ 2003-12-04 12:34 406016 c:\windows\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2003-10-31 18:42 32768 c:\programmi\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2007-04-04 10:22 1822720 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmi\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Programmi\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Programmi\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1253:UDP"= 1253:UDP:Windows Media Format SDK (firefox.exe)
"1254:UDP"= 1254:UDP:Windows Media Format SDK (firefox.exe)
"1255:UDP"= 1255:UDP:Windows Media Format SDK (firefox.exe)
"1252:UDP"= 1252:UDP:Windows Media Format SDK (firefox.exe)

R1 LStone;Pinnacle Systems Studio AV/devo Overlay;c:\windows\system32\DRIVERS\lstone2k.sys [2008-06-04 247936]
R1 MemAlloc;MemAlloc;c:\windows\system32\DRIVERS\memalloc.sys [2008-06-04 5543]
R2 OcHealthMon;Windows Live OneCare Health Monitor;"c:\programmi\Microsoft Windows OneCare Live\OcHealthMon.exe" [2008-11-05 25968]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2008-05-29 38656]
R3 OEMius12;USB to IEEE-1284.4 Translation Driver OEMius12;c:\windows\system32\DRIVERS\OEMius12.sys [2003-01-31 21456]
R3 Pml Driver OEM12;Pml Driver OEM12;c:\windows\system32\OEMipm12.exe [2003-01-10 65795]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys []
S3 Wdm1;USB Bridge Cable Driver;c:\windows\system32\Drivers\usbbc.sys [2008-07-10 15576]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc846543-2da7-11dd-9279-806d6172696f}]
\Shell\AutoRun\command - D:\Setupx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programmi\File comuni\LightScribe\LSRunOnce.exe"
.
.
------- Supplementare di scansione -------
.
uStart Page = hxxp://www.google.it/
IE: E&sporta in Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Angelo Mavuli\Dati applicazioni\Mozilla\Firefox\Profiles\21voq46c.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it/
.

**************************************************************************
scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti:

**************************************************************************
.
Ora fine scansione: 2008-12-15 0.21.59
ComboFix-quarantined-files.txt 2008-12-14 23:21:58
ComboFix2.txt 2008-12-13 19:42:27

Pre-Run: 129.841.008.640 byte disponibili
Post-Run: 129,860,227,072 byte disponibili

WindowsXP-KB310994-SP2-Pro-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

226 --- E O F --- 2008-12-14 12:02:35

Fra qualche istante ti invio la scansione che andrò a fare con Malwarebytes Anti-malware
Ultima modifica di Amantide il lun dic 15, 2008 3:18 am, modificato 1 volta in totale.
Motivazione: Inserito il tag LOG
Avatar utente
amavuli
Aficionado
Aficionado
 
Messaggi: 58
Iscritto il: dom gen 28, 2007 11:35 pm

Re: Virus

Messaggioda Amantide » lun dic 15, 2008 1:23 am

Com'è la situazione dopo il riavvio del pc?
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus

Messaggioda amavuli » lun dic 15, 2008 1:42 am

Sembra che sia tornato tutto alla normalità....

Credevo... infatti dopo avere effettuato la scansione anche con Malwarebytes Anti-malware ho soperto di avere 10 file infetti che l'antivirus ha eliminato.

questo il log ottenuto con Malwarebytes Anti-malware:



Malwarebytes' Anti-Malware 1.31
Versione del database: 1500
Windows 5.1.2600 Service Pack 3

15/12/2008 1.37.38
mbam-log-2008-12-15 (01-37-38).txt

Tipo di scansione: Scansione completa (C:\|D:\|F:\|G:\|)
Elementi scansionati: 130804
Tempo trascorso: 1 hour(s), 7 minute(s), 51 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 5
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 9

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RealAV (Rogue.RealAV) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Qoobox\Quarantine\C\WINDOWS\system32\hohokaza.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\jemukuwo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\jimikesu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\~.exe.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CDE5EC93-82D2-4CA1-969C-047FAD468C2C}\RP248\A0062115.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CDE5EC93-82D2-4CA1-969C-047FAD468C2C}\RP250\A0062127.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CDE5EC93-82D2-4CA1-969C-047FAD468C2C}\RP250\A0062131.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CDE5EC93-82D2-4CA1-969C-047FAD468C2C}\RP250\A0062132.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CDE5EC93-82D2-4CA1-969C-047FAD468C2C}\RP250\A0062133.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

ancora grazie. Angelo
Ultima modifica di Amantide il lun dic 15, 2008 3:17 am, modificato 1 volta in totale.
Motivazione: Inserito il tag LOG
Avatar utente
amavuli
Aficionado
Aficionado
 
Messaggi: 58
Iscritto il: dom gen 28, 2007 11:35 pm

Re: Virus

Messaggioda amavuli » lun dic 15, 2008 1:50 am

Ho dimenticato di dirti che ora mi sembra tutto a posto. Tu cosa vedi e cosa ne pensi? Ti rinnovo il mio grande granzie, domani dovrei ricominciare a lavorare, se non avessi avuto il vostro... il tuo aiuto, sarebbe stato un problema. Mille volte grazie. Auguri e Buone Feste. Ciao Angelo
Avatar utente
amavuli
Aficionado
Aficionado
 
Messaggi: 58
Iscritto il: dom gen 28, 2007 11:35 pm

Re: Virus

Messaggioda Amantide » lun dic 15, 2008 3:15 am

Malwarebytes ha trovato qualche rimasuglio nel registro di sistema ed è proprio per questo che ti avevo detto di fare la scansione. I file rilevati invece non sono altro che i punti di ripristino infetti più la cartella di quarantena che ha creato Combofix.
Ora il pc dovrebbe essere pulito. [^]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Virus

Messaggioda amavuli » lun dic 15, 2008 8:14 am

A questo punto non mi rimane che esprimerti l'ammirazione per la tua competenza e capacità ed i mie più sentiti ringraziamenti. Mi hai aiutato davvero. [^] Auuguri di buone feste. Angelo. [applauso+]
Avatar utente
amavuli
Aficionado
Aficionado
 
Messaggi: 58
Iscritto il: dom gen 28, 2007 11:35 pm

Re: Virus

Messaggioda Amantide » lun dic 15, 2008 2:20 pm

Auguri di Buone Feste anche a te [^]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising