virus "i love you"

[ste_95]

ho installato windows su un'altro hard disk e ci ho messo un virus, i love you....

quando però sono tornato sul mio hard disk per fare un po' di correzzioni fotografiche ho visto che tutti i file .jpg erano cambiati in .vbs!!!!!!!!!!come posso fare?????

brutto virus bast**do

help me vi perego!!!!!!!!!!

[tecnico24]

logile hijackthis?

[ste_95]

io non ci vedo nulla....comunque eccolo

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.50.20, on 10/06/2007
Platform: Windows Vista (WinNT 6.00.1904)
Boot mode: Normal

Running processes:
E:\Windows\system32\Dwm.exe
E:\Windows\Explorer.EXE
E:\Program Files\Windows Defender\MSASCui.exe
E:\Windows\SOUNDMAN.EXE
E:\Program Files\Windows Sidebar\sidebar.exe
E:\Windows\system32\taskeng.exe
E:\Windows\ehome\ehtray.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
E:\Windows\ehome\ehmsas.exe
E:\Windows\System32\mobsync.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
E:\Windows\system32\conime.exe
E:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\eMule\emule.exe
E:\Program Files\Internet Explorer\IEUser.exe
E:\Program Files\Drive Rescue\rescue.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Windows\system32\Macromed\Flash\FlashUtil9c.exe
E:\Users\Jhpnny Bravo\Documents\HiJackThis_v2\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] E:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /F "E:\Windows\TEMP\E_S31A2.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Sidebar] E:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [StartCCC] E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [ehTray.exe] E:\Windows\ehome\ehTray.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - E:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\Windows\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - E:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - E:\Program Files\VMware\VMware Server\vmware-authd.exe (file missing)
O23 - Service: VMware Registration Service (vmserverdWin32) - Unknown owner - E:\Program Files\VMware\VMware Server\vmserverdWin32.exe (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - E:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 5581 bytes


quallo che mi interesa di più è ripristinare le immagini....

[tecnico24]

perche ci hai messo dentro quel virus? :berto: cose da pazzi!riesci a far partire gmer?fai la scansione e porta il log qui.

[ste_95]

era solo per curiosità...ora mi ricredo...

gmer....ho vista...dovrei entrare con xp.....con l'hard disk in cui odvrebbe essere il virus....posso eliminare semplicemente i files....il problema sono le immagini...alla fine si possono ripristinare..?

[ste_95]

come si fa a fare un log con gmer?

[tecnico24]

sito ufficiale di gmer: http://www.gmer.net/rootkit.php
ultima versione: GMER 1.0.12.12027
download gmer ultima release: http://www.gmer.net/files.php

dopo scaricato gmer vai nella sezione rootkit e clicca su scan e posta il log

[tecnico24]

ri rispondo stasera ste,a presto.

[ste_95]

cavoli non ci starà mai......sono 225 mila e passa caratteri.....!!!!

come posso fare?

[Habanero]

prima di fare cose così sconsiderate sarebbe il caso di informarsi su cosa fa l'agente dannoso in questione... e se proprio si vuole sperimentare bisognerebbe predisporre un ambiente protetto su cui operare... mi sembra abbastanza ridicolo lamentarsi del virus quando il latte è oramai versato...

bastava una semplicissima ricerca in rete per scoprire come agisce quel (vecchissimo) virus. Tra i suoi scopi c'è tra l'altro quello di rinominare tutti i file mp3 e jpg in vbs infettandoli..


Prova ad usare questo removal tool.

http://www.symantec.com/content/en/u...ps/fixlove.exe


http://www.symantec.com/security_res...122209-4441-99