Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 7 su 7
  1. 29-08-2006, 00:11 #1
    Moris131
    Moris131 non è in linea
    Utente di HTML.it
    Registrato dal
    Aug 2006
    Messaggi
    1

    Virus W32. Chi mi aiuta?

    Innanzitutto salve a tutti e vorrei farvi i complimenti per la completezza degli argomenti e la competenza di questo Forum.

    Vi espongo brevemente il mio problema:
    In Start/programmi/esecuzione automatica ho trovato l'icona del w32 che praticamente mi impedisce di cliccare sui Link di Internet Explorer 6.

    Con HiJackthis sono riuscito ad eliminare il File ma il problema rimane.

    Ho fatto le prove con gli altri programmi come indicato nel post generico am purtroppo il problema rimane.

    Qui di seguito il File di Log di HiJackthis:
    -------------------------------------
    Logfile of HijackThis v1.99.1
    Scan saved at 20.12.17, on 28/08/2006
    Platform: Windows 2000 SP3 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programmi\Alwil Software\Avast4\ashServ.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\hidserv.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe
    C:\WINNT\Samsung\ComSMMgr\ssmmgr.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINNT\System32\internat.exe
    C:\Documents and Settings\xx\Menu Avvio\Programmi\Esecuzione automatica\w32.exe
    C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
    C:\WINNT\System32\wuauclt.exe
    c:\open\cirio.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\Programmi\Outlook Express\msimn.exe
    C:\PROGRA~1\WINZIP\winzip32.exe
    C:\Documents and Settings\xx\Impostazioni locali\Temp\wz1ea0\HijackThis.exe
    C:\PROGRA~1\WINZIP\winzip32.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2a6af021-17a2-4014-8624-cf6015f82fad} - C:\WINNT\System32\mqaa.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe "
    O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINNT\Samsung\ComSMMgr\ssmmgr.exe" /autorun
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Startup: w32.exe
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)
    O15 - Trusted Zone: http://open.omnitel.it
    O15 - Trusted Zone: http://open.omnitelvodafone.it
    O15 - Trusted Zone: http://open.vodafone.it
    O15 - Trusted Zone: http://open.vodafoneomnitel.it
    O16 - DPF: {00C7C2A0-8B82-11D1-8B57-00A0C98CD92B} (ActiveReports Viewer) - http://www.online.spal.it/arviewer.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    --------------------------------------------------

    Non essendo un esperto, qualcuno può aiutarmi in cambio di una Birra Virtuale?

    Grazie
    Moris
    Rispondi quotando Rispondi quotando
  2. 29-08-2006, 00:58 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    ciao
    scarica sul desktop GMER
    scopatta, sempre sul desktop il file gmer.zip.
    Esegui gmer.exe
    Clicca sul Tab "Rootkit"
    Clicca su "Scan"
    finita la scansione clicca su "Copy"
    Apri il Blocco Note incolla il risultato (CTRL+V)

    Esegui gmer.exe
    Clicca sul Tab "Autostart"
    Clicca su "Scan"
    finita la scansione clicca su "Copy"
    Apri il Blocco Note incolla il risultato (CTRL+V)

    Copia in questa discussione entrambi i log


    Una cortesia, mi puoi inviare zippato il file
    C:\Documents and Settings\xx\Menu Avvio\Programmi\Esecuzione automatica\w32.exe
    l'indirizzo è www.suspectfile.com
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 29-08-2006, 10:51 #3
    BilloKenobi
    BilloKenobi non è in linea
    Utente di HTML.it L'avatar di BilloKenobi
    Registrato dal
    Jul 2006
    Messaggi
    354
    effettivamente negli ultimi giorni affianco ai log infetti da LO è comparso questo w32.exe. nuova versione del LO? Lo chiedo a te perchè voi della Suspectfile siete sempre un passo avanti
    Begun the Clone War has

    Sì sì, mi hanno fatto redattore --- SuspectFile
    Rispondi quotando Rispondi quotando
  4. 29-08-2006, 13:42 #4
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Originariamente inviato da BilloKenobi
    effettivamente negli ultimi giorni affianco ai log infetti da LO è comparso questo w32.exe. nuova versione del LO? Lo chiedo a te perchè voi della Suspectfile siete sempre un passo avanti
    sì è la versione rinominata del file www.google.com legato a LinkOptim. il file è stato già inviato alle aziende, la mia richiesta di ulteriore invio del file da parte di Moris131 è per verificare che non vi siano ulteriori varianti
    http://www.suspectfile.com/forum/viewtopic.php?t=261
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  5. 29-08-2006, 20:53 #5
    BilloKenobi
    BilloKenobi non è in linea
    Utente di HTML.it L'avatar di BilloKenobi
    Registrato dal
    Jul 2006
    Messaggi
    354
    grazie dell'info. ultima cosa: per eliminarlo basta farlo manualmetnte (prima con HJT e poi con KillBox o simili) oppure inserirlo nello script di Avenger? o altro ancora? grazie ancora
    Begun the Clone War has

    Sì sì, mi hanno fatto redattore --- SuspectFile
    Rispondi quotando Rispondi quotando
  6. 30-08-2006, 02:10 #6
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Originariamente inviato da BilloKenobi
    grazie dell'info. ultima cosa: per eliminarlo basta farlo manualmetnte (prima con HJT e poi con KillBox o simili) oppure inserirlo nello script di Avenger? o altro ancora? grazie ancora
    se il file è presente è sintomo di infezione da parte di LinkOptim.m quindi vanno fatti tutti i controlli.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  7. 05-09-2006, 14:25 #7
    LUCASS
    LUCASS non è in linea
    Utente di HTML.it L'avatar di LUCASS
    Registrato dal
    May 2005
    Messaggi
    1,354
    Ciao,il file che hai mandato non è infetto
    F-secure ha bloccato il tutto,il file contiene solo un msn di testo,il msn dice che è stato bloccato l'accesso al sito e quindi il file,ciao
    Suspect File

    "Il mio Blog"
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.