sempre il solito lop.ah - lfetl1.dll

**freism** · 24-10-2006, 19:36

Ciao a tutti...

ho sempre lo stesso problema... però ancora non sono riuscito a risolvere.

Hijacthis non me lo fa aprire.. non me lo fa scaricare.. non appena trovo una pagina internet con quel nome mi si chiude.

I tool nominati in altri 3d non mi funzionano...

Il tutto anche in provvisoria...

Che faccio ???

Grazie anticipatamente.Marco.

**freism** · 25-10-2006, 11:08

ma una buon anima che mi aiuta ???

**amvinfe** · 25-10-2006, 11:28

scarica questi http://www.mytempdir.com/1000194 dezippa ognuno di loro
in una propria cartella, va bene anche sul desktop.
Avvia Systemscan.
Carica il log su http://www.mytempdir.com scrivi il link per poterlo
scaricare.

**freism** · 25-10-2006, 11:34

intanto ho letto la guida su suspectfile...

molto utile secondo me... sembra proprio il mio caso!

provo a seguire tutti i passaggi... ti farò sapere. Grazie ancora.

Ciao.

**amvinfe** · 25-10-2006, 11:42

se sei riuscito a leggere la guida allora, molto probabilmente...

, riuscirai anche ad avviare itools presenti qui
http://forum.html.it/forum/showthrea...readid=1046884

**freism** · 25-10-2006, 11:44

la sto leggendo dal pc del lavoro...

quello malato è il mio di casa...

**DoReeN** · 25-10-2006, 17:19

posto quello che ho scritto nel mio altro topic:

allora, dovrei aver risolto, lo scrivo per chi ha lo stesso problema:

i toolfix non mi andavano perchè 'sto trojan è stato studiato ben bene, prima di tutto premetto che mi bloccava i maggiori siti relativi a sicurezza come quello della symantec e di prevx, quindi come prima cosa vi consiglio di mettere dei link alternativi nel topic toppato d'aiuto. per il fix di prevx un link accessibile ai colpiti è questo:
http://www.kuma215.it/FixGrom.exe

seconda cosa mi impediva di lanciare sia il fix della symantec che questo di prevx, quindi per aggirare questo ostacolo ho dovuto rinominare i file (in particolare mi riferisco a fixgrom.exe) quindi fatelo anche voi che avete il mio stesso problema, rinominatelo in qualchecosa.exe e poi lanciatelo.. dovrebbe apparire una finestra tipo questa:
http://img158.imageshack.us/my.php?i...mmaginejv7.jpg

avviate la scansione, e dovrebbe rimuovervi il trojan..
fatto questo dovrebbero tornare accessibili i siti della symantec e di prevx, quindi scaricatevi prevx se non l'avete e fate una bella scansione..

Un ultima cosa:
con hijackthis dovrete fare un po' di pulizia nel registro, io avevo un paio di schifezze, e dopo che ho fixato le voci giuste (quelle relative al file incriminato) internet è tornato veloce..

io ho prima fixato le voci e poi ho avviato il file fixgrom.exe, non so qual'è la procedura più corretta, fatto sta che ho risolto

per far partire i tool basta rinominarli

**holifay** · 25-10-2006, 19:12

Originariamente inviato da DoReeN
posto quello che ho scritto nel mio altro topic:

per far partire i tool basta rinominarli

magari!

@freism: scarica questo, avvialo e posta un log
http://download.bleepingcomputer.com/sUBs/combofix.exe

**freism** · 25-10-2006, 19:54

purtroppo nemmeno le guide di suspectfile e tgsoft sono servite a qualcosa !

sembro il caso peggiore che si sia mai visto

sembra che combofix funzioni però.... se riesco a minuti posterò il log...

vi faccio sapere presto...

**freism** · 25-10-2006, 20:11

eccolo.....

2006-10-23 18:52 76,560 --a------ E:\WINDOWS\system32\drivers\tmcomm.sys
2006-10-19 13:42 12,288 --a------ E:\WINDOWS\system32\omaa.dll
2006-10-15 20:35 1,060,864 --a------ E:\WINDOWS\system32\MFC71.dll
2006-10-13 12:49 24 --a------ E:\WINDOWS\system32\sysmwwod.dll
2006-10-13 12:46 360,448 --a------ E:\WINDOWS\system32\NCTWMAFile.dll
2006-10-13 12:46 233,472 --a------ E:\WINDOWS\system32\lame_enc.dll
2006-10-13 12:46 1,703,936 --a------ E:\WINDOWS\system32\NCTAudioFile.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )))

2006-10-25 19:38 -------- d-------- E:\Programmi\File comuni\Services
2006-10-25 13:10 -------- d-------- E:\Programmi\Mozilla Firefox
2006-10-24 19:31 -------- d-------- E:\Documents and Settings\SpecialGuest\Dati applicazioni\Help
2006-10-23 18:59 -------- d-------- E:\Documents and Settings\SpecialGuest\Dati applicazioni\dvdcss
2006-10-20 20:30 -------- d-------- E:\Programmi\cFosSpeed
2006-10-17 13:19 43520 --a------ E:\WINDOWS\system32\CmdLineExt03.dll
2006-10-15 20:36 -------- d-------- E:\Documents and Settings\SpecialGuest\Dati applicazioni\Ableton
2006-10-14 13:17 -------- d-------- E:\Documents and Settings\SpecialGuest\Dati applicazioni\COWON
2006-10-13 21:44 -------- d-------- E:\Programmi\NetMeeting
2006-10-13 19:27 -------- d--h----- E:\Programmi\InstallShield Installation Information
2006-10-13 19:27 -------- d-------- E:\Programmi\File comuni\COWON
2006-10-13 19:27 -------- d-------- E:\Programmi\File comuni
2006-09-30 20:26 -------- d-------- E:\Documents and Settings\SpecialGuest\Dati applicazioni\Adobe
2006-09-27 12:23 778656 --a------ E:\WINDOWS\system32\drivers\avg7core.sys
2006-09-24 13:49 -------- d-------- E:\Programmi\MSN Messenger
2006-09-24 13:48 -------- d-------- E:\Documents and Settings\SpecialGuest\Dati applicazioni\ppStream
2006-09-16 13:27 -------- d-------- E:\Programmi\iTunes
2006-09-16 13:26 -------- d-------- E:\Programmi\iPod
2006-09-16 13:25 -------- d-------- E:\Programmi\QuickTime
2006-09-16 13:24 -------- d-------- E:\Programmi\Apple Software Update
2006-09-12 20:28 -------- d-------- E:\Programmi\TVAnts
2006-09-12 01:38 -------- d-------- E:\Programmi\Stardock
2006-09-07 20:39 -------- d-------- E:\Programmi\Microsoft IntelliType Pro
2006-09-07 20:38 -------- d-------- E:\Programmi\Microsoft IntelliType Pro 5.5
2006-07-29 19:32 48936 --a------ E:\WINDOWS\system32\sirenacm.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"NvCplDaemon"="RUNDLL32.EXE E:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Pagina iniziale corrente"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00 ,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00 ,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff ,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23 ,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\run]
"CTFMON.EXE"="E:\\WINDOWS\\system32\\CTFMON.EX E"
"AVG7_Run"="E:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw. exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="E:\\WINDOWS\\system32\\CTFMON.EX E"
"AVG7_Run"="E:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw. exe /RUNONCE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Precaricatore Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Daemon di cache delle categorie di componenti"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\polic ies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\E:^Documents and Settings^All Users^Menu Avvio^Programmi^Esecuzione automatica^Avvio veloce di Adobe Reader.lnk]
"path"="E:\\Documents and Settings\\All Users\\Menu Avvio\\Programmi\\Esecuzione automatica\\Avvio veloce di Adobe Reader.lnk"
"backup"="E:\\WINDOWS\\pss\\Avvio veloce di Adobe Reader.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader \\READER~1.EXE "
"item"="Avvio veloce di Adobe Reader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\E:^Documents and Settings^SpecialGuest^Menu Avvio^Programmi^Esecuzione automatica^Adobe Gamma.lnk]
"path"="E:\\Documents and Settings\\SpecialGuest\\Menu Avvio\\Programmi\\Esecuzione automatica\\Adobe Gamma.lnk"
"backup"="E:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="E:\\PROGRA~1\\FILECO~1\\Adobe\\CALIBR~1 \\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Anti-Blaxx"
"hkey"="HKLM"
"command"="E:\\Programmi\\Anti-Blaxx\\Anti-Blaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="avgcc"
"hkey"="HKLM"
"command"="E:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc. exe /STARTUP"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"E:\\Programmi\\File comuni\\Ahead\\lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Mixer"
"hkey"="HKLM"
"command"="Mixer.exe /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CnxTrApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Conexant USB Network\""
"hkey"="HKLM"
"command"="rundll32.exe \"E:\\Programmi\\StarModem\\StarModem USB Network\\CnxTrApp.dll\",AppEntry -REG \"Conexant\\Conexant USB Network\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative Detector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="CTDetect"
"hkey"="HKCU"
"command"="E:\\Programmi\\Creative\\MediaSource\\D etector\\CTDetect.exe /R"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="E:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"E:\\Programmi\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Echo Digital Audio Console3 auto-start]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="launch"
"hkey"="HKLM"
"command"="E:\\PROGRA~1\\ECHODI~1\\Console3\\launc h.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="cledx"
"hkey"="HKLM"
"command"="E:\\Programmi\\SyncroSoft\\Pos\\H2O\\cl edx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"E:\\Programmi\\iTunes\\iTunesHelper.e xe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="itype"
"hkey"="HKLM"
"command"="\"E:\\Programmi\\Microsoft IntelliType Pro\\itype.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="lxbkbmgr"
"hkey"="HKLM"
"command"="\"E:\\Programmi\\Lexmark X1100 Series\\lxbkbmgr.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"E:\\Programmi\\Messenger\\msmsgs.exe\ " /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="E:\\Programmi\\File comuni\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE E:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE E:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"E:\\Programmi\\QuickTime\\qttask.exe\ " -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Realtime Audio Engine]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="\"mmrtkrnl"
"hkey"="HKLM"
"command"="\"mmrtkrnl.exe\" /b"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rundll]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="rundll"
"hkey"="HKLM"
"command"="C:\\Program Files\\Common Files\\rundll.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="E:\\Programmi\\Java\\jre1.5.0_06\\bin\\ jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"E:\\Programmi\\File comuni\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Contents of the 'Scheduled Tasks' folder
E:\WINDOWS\tasks\AppleSoftwareUpdate.job

Discussione: sempre il solito lop.ah - lfetl1.dll

Strumenti discussione

Ricerca discussione

Visualizza

sempre il solito lop.ah - lfetl1.dll

Permessi di invio