Ciao a tutti,
ho mandato un post privato a Tecnico24 e Ste_95 perché non avevo ancora scoperto
come iniziare una nuova discussione (che vedo, già vecchia, visto che se ne parla già !).
Riporto il post: (nel frattempo vedo che da qui posso allegare i Log ! Evviva !)
Ciao a tutti !
Ecco il post:
Ciao Tecnico24 !
Mi potresti aiutare ?
Ho trovato il tuo nominativo sul HTML.it forum > Sistemi operativi e software > Sicurezza informatica e virus > heur-dblext e mi é sembrato che tra te e ste_95 (+Or@nge
e bdori@no) ne sapete molto più di me e forse, se avete un po' di tempo, potete aiutare anche me, se possibile : )
Ho un problema dealer e non so cos'altro.
So che mi é sparita la google desktop, l'icona di ghost, il via raid non partiva più e la connessione (via modem,sob, perché ero con Elitel..il provider a cui Telecom ha tagliato i fili)
mi saltava...bloccata in tempo 2/3 volte, poiché chiama un numero a pagamento.
Ho disinstallato un bel po' di cose per fare "terra bruciata" attorno alla grana, compreso la cancellazione di varie chiavi di registro relative ai programmi disinstallati (quick time, nero, norton antivirus, winfax, norton ghost)
Con hijackthis, visualizzo: O15 - Trusted Zone: *.whataboutadog.com
e, qualche volta: O15 - Trusted Zone: *.doginhispen.com
VirIt ha finito adesso uno scan (non ho ancora riavviato dopo l'install perché sto scaricando pure Avast) e, ha trovato :
[C:\Programmi]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\Programmi\CommView\fcd.dll Infetto da Backdoor.RBot.QK
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 20174.
Files Totali: 20174.
Ho cercato a lungo di capirci qualcosa ma, sono davvero incasinato e, ti e Vi chiedo aiuto.
Mando una c.p.c. anche a ste_95 ok ? : )
Non mi sono azzardato a far partire uno script con Avenger perché non so proprio quale degli script che avete postato, può davvero fare al caso mio.
Riepilogando, dopo tutti gli uninstall e chiavi cancellate(CCleaner e RegCleaner), ti vorrei mandare i log di VirIT, di hijackthis e di FindAWF ma non ci riesco perché al max sono 5000 parole qui...
Be, per ora ti ringrazio molto e spero in una tua risposta.
Ah, non so come si apre un "argomento" ed ora sono fuso...
email: charliefoxtrot@tiscalinet.it
Poi, quando ho capito come postare un argomento, lo faccio. Può servire a tutti no ? : )
Ciao,
Charlie
Ecco i malefici / benefici Log !
VirIT eXplorer Lite Log
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
05/10/2007 - 00:22:41
[SCANSIONE DEL REGISTRO]
OK
[A:]
BOOT SECTOR: OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\Documents and Settings\Bubu\Documenti\A A A ARCHIVIO PERSONALE\Sister\pasta.exe Infetto da Joke.Setup
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
05/10/2007 - 00:41:29
[SCANSIONE DEL REGISTRO]
OK
[C:\WINDOWS]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 20617.
Files Totali: 20617.
--------------------------------------------------------
05/10/2007 - 00:51:55
[SCANSIONE DEL REGISTRO]
OK
[C:\VEXPLITE]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 29.
Files Totali: 29.
--------------------------------------------------------
05/10/2007 - 00:52:04
[SCANSIONE DEL REGISTRO]
OK
[C:\System Volume Information]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 0.
Files Totali: 0.
--------------------------------------------------------
05/10/2007 - 00:52:12
[SCANSIONE DEL REGISTRO]
OK
[C:\RECYCLER]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 7.
Files Totali: 7.
--------------------------------------------------------
05/10/2007 - 00:52:26
[SCANSIONE DEL REGISTRO]
OK
[C:\ADOBEAPP]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 1.
Files Totali: 1.
--------------------------------------------------------
05/10/2007 - 00:52:34
[SCANSIONE DEL REGISTRO]
OK
[C:\Program files]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 33.
Files Totali: 33.
--------------------------------------------------------
05/10/2007 - 00:52:54
[SCANSIONE DEL REGISTRO]
OK
[C:\Programmi]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\Programmi\CommView\fcd.dll Infetto da Backdoor.RBot.QK
Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 20174.
Files Totali: 20174.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.39.03, on 04/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\mgabg.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wscntfy.exe
c:\programmi\internet explorer\iexplore.exe
C:\Programmi\VIA\RAID\bak\raid_tool.exe
C:\Documents and Settings\Bubu\Documenti\Z thebrain Aleks\Z Registro di Sistema\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FastTVSync] "C:\Programmi\File comuni\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [EEventManager] C:\Programmi\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [POSTRBT] C:\Programmi\Norton AntiVirus\Navw32.exe /REMEDIATE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [POSTRBT] C:\Programmi\Norton AntiVirus\Navw32.exe /REMEDIATE (User 'Default user')
O4 - Startup: Documenti.lnk = ?
O4 - Startup: ERUNT AutoBackup.lnk = C:\Programmi\ERUNT\AUTOBACK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4B07CF-D4DB-43ED-8A2E-7CBE71457A0F}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B0BB518-72E8-43A5-8B62-203719AC5274}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{D05F6632-5C65-4B0F-91F1-169DA6331DBA}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4B07CF-D4DB-43ED-8A2E-7CBE71457A0F}: NameServer = 85.255.114.35,85.255.112.13
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe (file missing)
