Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 12
  1. #1
    Utente di HTML.it
    Registrato dal
    Sep 2001
    Messaggi
    54

    Trojan:variante modificata di Win32/Dialer.RU

    ...salve a tutti ..da un po' di tempo Nod 32 m'informa

    Attenzione
    C:\WINDOWS\TEMP\***.exe Virus: ( asterischi perchè il nome varia sempre)

    variante modificata di Win32/Dialer.RU cavallo di tr**a
    Commento:
    Evento occorso su un nuovo file creato da un'applicazione: c:\windows\system32\services.exe. Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.
    Nod32 mi rileverà il solito virus, con un nome diverso, che verrà posto in quarantena.

    Ho poi problemi con internet explorer i siti come questo restano bloccati.....ho provato a risolvere autonomamente ma senza risultati...non riesco a capire quale sia l'infezione

    Qualche aiuto....un anticipato grazie

    Allego

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 18.54.51, on 25/03/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\windows\system32\svchost.exe
    C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
    C:\WINDOWS\System32\mgabg.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\WINDOWS\System32\svchost.exe
    C:\VEXPLITE\viritsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\PDesk\PDesk.exe
    C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
    C:\Programmi\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
    C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe
    C:\Programmi\ahead\InCD\InCD.exe
    C:\Programmi\Eset\nod32kui.exe
    C:\VEXPLITE\MONLITE.EXE
    C:\Programmi\Iomega\AutoDisk\AD2KClient.exe
    C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\Programmi\virus\HiJackThis_v2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programmi\Iomega\Common\ImgStart.exe
    O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programmi\Iomega\DriveIcons\ImgIcon.exe
    O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programmi\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
    O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun
    O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Programmi\ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
    O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programmi\Iomega\AutoDisk\AD2KClient.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Converti destinazione link in PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Converti in PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Converti link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Converti link selezionati in PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Converti selezione a PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
    O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
    O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
    O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...l/SymAData.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
    O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3D0DE763-73F4-46E2-87B2-06048398D166}: NameServer = 213.205.32.70,213.205.36.70
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3D0DE763-73F4-46E2-87B2-06048398D166}: NameServer = 213.205.32.70,213.205.36.70
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
    O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
    O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programmi\Adobe\Adobe Version Cue\service\VersionCue.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\ahead\InCD\InCDsrv.exe
    O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
    O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
    O23 - Service: Mgc78xntckua - Matrox Graphics Inc. - (no file)
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

    --
    End of file - 10238 bytes

  2. #2
    Scarica ATF cleaner
    http://www.atribune.org/ccount/click.php?id=1
    Avvia ATF Cleaner
    (se usi Firefox o Opera, selezionali dal menu in alto)
    metti la spunta su "Select All" per ogni browser
    e clicca su "Empty Select"

    FAi una scansione con l'ultima versione di VirIT.
    http://www.tgsoft.it/italy/download.htm
    Installalo, avvialo, aspetta il termine del controllo della memoria,
    e aggiornalo

    Scarica the Avenger
    http://swandog46.geekstogo.com/avenger.zip
    lo salvi in una cartella, scompatti il file .zip.
    individua avenger.exe, lo avvii.

    inserisci questo script nel box bianco

    folders to delete:
    C:\WINDOWS\temp
    C:\WINDOWS\Tasks


    Clicca su Execute
    Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)
    Posta il log che verrà creato in C:\Avenger
    Eset Statik-Shadow Defender-Hypersight RD-System Safety Monitor

  3. #3
    Utente di HTML.it
    Registrato dal
    Sep 2001
    Messaggi
    54
    ....ti ringrazio moltissimo per l'aiuto....


    per Virit.....ho finito il periodo di prova......ho provato a fare scansioni più e più volte, ma senza che indicasse nulla....

    posto il file di avenger

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Service s\lwqnqbky

    *******************

    Script file located at: \??\C:\WINDOWS\uybvyjfv.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Folder C:\WINDOWS\temp deleted successfully.
    Folder C:\WINDOWS\Tasks deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.

  4. #4
    setta nod32 così:
    http://www.wilderssecurity.com/showt...587#post264587
    Scarica e e fai uno scan con MBA,ed elimina tutto quello che trova e posta il suo log
    http://www.majorgeeks.com/Malwarebyt...are_d5756.html
    poi vedi se nod ti segn. ancora il file
    Eset Statik-Shadow Defender-Hypersight RD-System Safety Monitor

  5. #5
    Utente di HTML.it
    Registrato dal
    Sep 2001
    Messaggi
    54
    ....ho seguito la guida per le impostazioni Nod32 (veramente bene fatta..grazie)....non posto il log perchè lungo.....comunque niente

    Per Malwarebytes' Anti-Malware 1.09 allego post.....il maledetto c'è ancora però...infatti ho dovuto usare Firefox per poter inviare la risposta in quanto mi blocca le finestre di questo sito con Internet explorer.....non riesco a trovare una soluzione...


    Malwarebytes' Anti-Malware 1.09
    Versione del database: 549

    Tipo di scansione: Scansione rapida
    Elementi scansionati: 28343
    Tempo trascorso: 11 minute(s), 11 second(s)

    Processi delle memoria infetti: 0
    Moduli della memoria infetti: 0
    Chiavi di registro infette: 0
    Valori di registro infetti: 0
    Elementi dato del registro infetti: 0
    Cartelle infette: 0
    File infetti: 0

    Processi delle memoria infetti:
    (Nessun elemento malevolo rilevato)

    Moduli della memoria infetti:
    (Nessun elemento malevolo rilevato)

    Chiavi di registro infette:
    (Nessun elemento malevolo rilevato)

    Valori di registro infetti:
    (Nessun elemento malevolo rilevato)

    Elementi dato del registro infetti:
    (Nessun elemento malevolo rilevato)

    Cartelle infette:
    (Nessun elemento malevolo rilevato)

    File infetti:
    (Nessun elemento malevolo rilevato)

  6. #6
    Utente di HTML.it
    Registrato dal
    Sep 2001
    Messaggi
    54
    aggiungo un log di virit.....prima non dava nessuna informazione ...ho riprovato e questo è il log


    [SCANSIONE DELLA MEMORIA]
    [Hidden Services]
    lwqnqbky - System32\drivers\stxkdtmn.sys
    {FBE1D620-5418-4aae-A0F0-316D590663A1} - \??\C:\WINDOWS\System32\{FBE1D620-5418-4aae-A0F0-316D590663A1}

  7. #7
    postalo per intero il log di virit
    Eset Statik-Shadow Defender-Hypersight RD-System Safety Monitor

  8. #8
    Utente di HTML.it
    Registrato dal
    Sep 2001
    Messaggi
    54
    ...posto il log di virit......solo che non sempre da lo stesso risultato...

    27/03/2008 - 08:54:01

    [SCANSIONE DELLA MEMORIA]
    [Hidden Services]
    lwqnqbky - System32\drivers\stxkdtmn.sys
    {FBE1D620-5418-4aae-A0F0-316D590663A1} - \??\C:\WINDOWS\System32\{FBE1D620-5418-4aae-A0F0-316D590663A1}

    [SCANSIONE DEL REGISTRO]
    OK

    [C:]
    MASTER BOOT RECORD: OK
    BOOT SECTOR: OK


    Chiavi Registro infette: 0.
    Files Infetti: 0.
    Files Sospetti: 0.
    Files Analizzati: 111704.
    Files Totali: 111704.
    Chiavi Registro rimosse: 0.
    Virus Rimossi: 0.

  9. #9
    nod32 ti rileva ancora il solito virus?
    Eset Statik-Shadow Defender-Hypersight RD-System Safety Monitor

  10. #10
    Utente di HTML.it
    Registrato dal
    Sep 2001
    Messaggi
    54
    No...nod 32 non inviamessaggi come nel primo post.....qualcosa però non va perchè spesso la finestra di internet explorer, quando visualizzo questo sito, si blocca e non è più possibile fare alcunchè, in più virit nella scansione memoria (anche se non sempre) visualizza il messaggio sopra riportato.........non riesco proprio ad individuare la causa.....

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.