virus tr/crypt.morphine.gen - antivir

**otrebor81** · 20-01-2008, 20:41

ecco il log...vedete qualcosa di strano??

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.04.33, on 20/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Documents and Settings\Administrator\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6C72CB53-A2D3-49BB-B147-0B5800684477} - c:\windows\system32\dbghelps.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FB7324EA-8CB1-440C-995D-21C92510EF2D} - C:\WINDOWS\system32\advapi32s.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programmi\Corel\Corel Graphics 12\Languages\IT\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=043007 serial=DR12WEX-1504397-KTY lang=IT
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: wgkxyotx - C:\WINDOWS\SYSTEM32\dbghelps.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

--
End of file - 4136 bytes

**the hacker** · 20-01-2008, 20:44

niente malware forse si è confuso...

**otrebor81** · 20-01-2008, 20:48

e quindi?

**the hacker** · 20-01-2008, 20:49

niente virus e co. non sei infetto!

**Deifobe** · 20-01-2008, 22:33

disattiva il ripristino configurazione di sistema
fixa:
O2 - BHO: (no name) - {6C72CB53-A2D3-49BB-B147-0B5800684477} - c:\windows\system32\dbghelps.dll
O2 - BHO: (no name) - {FB7324EA-8CB1-440C-995D-21C92510EF2D} - C:\WINDOWS\system32\advapi32s.dll (file missing)
O20 - Winlogon Notify: wgkxyotx - C:\WINDOWS\SYSTEM32\dbghelps.dll

Dovrebbe appartenere al cell (e non credo serva all'avvio) fixa anche questa:
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

questo file non esiste. Se lo controlli su Virustotal è meglio, magari ti rilascia il nome dell'infezione).
Nel dubbio, puoi spostarlo momentaneamente in 1 altra cartella (creata apposta x lui):
c:\windows\system32\dbghelps.dll

apri il registro (start - esegui - regedit - ok)
1) controlla l'userinit qui:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"userinit" = c:\windows\system32\userinit.exe,

2) se esiste la cartella explorer.exe qui:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe ]
se esiste, postami il contenuto (quello che vedi nella finestra a destra)

3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wgkxyotx
elimina la cartella

Non ricavo il tipo d'infezione. Se hai già usato Kaspersky_virusscanner, prova con SpyBot in provvisoria.

Riattiva il ripristino conf. sistema.

edit: dimenticavo

ripulisci con CCleaner

**otrebor81** · 21-01-2008, 08:36

ciao..non si cancella questa chiave

3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wgkxyotx
elimina la cartella

"errore durante l'eleminazione della chiave"

che faccio?

**Deifobe** · 21-01-2008, 12:27

vediamo con avenger:

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wgkxyotx

fammi sapere

**otrebor81** · 21-01-2008, 19:02

niente..errore 1813
errore: could not create zip file

**Deifobe** · 21-01-2008, 19:06

uhmm però è strano.. il file è stato eliminato?
cmq continua con kaspersky

eventualmente controlla le autorizzazioni (per quanto riguarda la chiave)

edit : prova a cercare nel registro: dbghelps

edit2 : controlla anche la chiave cosa contiene

**the hacker** · 21-01-2008, 19:24

non capisco l' eliminazione di questo file.... :master:

Discussione: virus tr/crypt.morphine.gen - antivir

Strumenti discussione

Ricerca discussione

Visualizza

virus tr/crypt.morphine.gen - antivir

Permessi di invio