Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Pagina 1 di 3 1 2 3 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 27
  1. 27-07-2004, 23:56 #1
    Ransie
    Ransie non è in linea
    Utente bannato
    Registrato dal
    Oct 2003
    Messaggi
    217
    Invia un messaggio tramite ICQ a Ransie

    Virus che torna sempre da "disattivare"

    Salve a tutti
    da un pò di giorni ricevo dal Nod32 avviso di 3 virus presenti: "norton.exe" "smsls.exe" "videons32.exe", che però durante "esame" dell'hd non vengono rilevati dal Nod32 stesso.
    Avendo anche problemi simili con avvisi dal sistema, grazie all'aiuto di trinityck per la risoluzione, sono finita in "servizi" da "strumenti di amministrazione", e ho trovato 2 voci sospette: "okjxuzj" che corrisponde a "videons32.exe" dalle proprietà, e "fybkl" che corrisponde a "smsls.exe".
    entrambi adesso sono stati disattivati, ma come faccio a cancellarli definitivamente partendo dalla finestra "servizi" di "strumenti amministazione"??
    E come faccio a cercare anche il maledetto "norton.exe"?


    Grazie a tutti
    Rispondi quotando Rispondi quotando
  2. 28-07-2004, 08:48 #2
    einj
    einj non è in linea
    Utente di HTML.it L'avatar di einj
    Registrato dal
    Mar 2002
    Messaggi
    568
    probabilmente perchè il virus è presente nelle chiavi di run del registro e anche se disattivo (sicura? ) si ripresenta ad ogni riavvio..prova ad usare hijackthis (lo scarichi da qui ) fai uno scan e poi posta il log che ti verrà indicato quale chiave correggere

    Ogni giorno un po' di OT muore...

    ..believe it or not,I'm walking on air..
    Rispondi quotando Rispondi quotando
  3. 28-07-2004, 11:12 #3
    Ransie
    Ransie non è in linea
    Utente bannato
    Registrato dal
    Oct 2003
    Messaggi
    217
    Invia un messaggio tramite ICQ a Ransie
    certo che sono sicura

    grazie tante per la dritaa ecco il log
    Logfile of HijackThis v1.98.0
    Scan saved at 11.11.44, on 28/07/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programmi\Eset\nod32kui.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\winfcs32.exe
    C:\WINDOWS\System32\videons32.exe
    C:\WINDOWS\System32\wuamgrd.exe
    C:\WINDOWS\System32\explorer.exe
    C:\WINDOWS\System32\winfcs32.exe
    C:\Programmi\MemoRex\MemoRex.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Programmi\PowerDesk\PDExplo.exe
    C:\DOCUME~1\Lori\IMPOST~1\Temp\~~PDTEMP\HijackThis .exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.loritel.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=hom e
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
    O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Windows Explorer] explorer.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\K-Lite Codec Pack\real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Configuration Loader] lmass.exe
    O4 - HKLM\..\Run: [Microsoft Synchronization Manager] winfcs32.exe
    O4 - HKLM\..\Run: [Windows Video Drivers] videons32.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
    O4 - HKLM\..\RunServices: [Windows Explorer] explorer.exe
    O4 - HKLM\..\RunServices: [Configuration Loader] lmass.exe
    O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] winfcs32.exe
    O4 - HKLM\..\RunServices: [Windows Video Drivers] videons32.exe
    O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
    O4 - HKCU\..\Run: [Windows Explorer] explorer.exe
    O4 - HKCU\..\Run: [Microsoft Synchronization Manager] winfcs32.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/170997d4...dxIE601_it.cab
    attendo info, tante grazie a tutti
    Rispondi quotando Rispondi quotando
  4. 28-07-2004, 11:17 #4
    trinityck
    trinityck non è in linea
    Utente di HTML.it L'avatar di trinityck
    Registrato dal
    Jan 2002
    Messaggi
    2,574
    hai provato a fare Start-Esegui-"msconfig" e vedere nella scheda Avvio se c'è qualcosa di strano?
    Paleblue Narratives - Narrative design collective project for gaming.
    Rispondi quotando Rispondi quotando
  5. 28-07-2004, 11:46 #5
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Il computer è infetto da rbot/sdbot vai all'url

    http://support.f-secure.com/enu/home/ols.shtml

    fai una scansione online, elimina tutti i files infetti che ti verranno trovati, riavvia

    Metti HijackThis all'interno di una nuova cartella, lancia nuovamente il programma, fai uno scan e posta il nuovo log.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  6. 28-07-2004, 11:53 #6
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    ah, dimenticavo è infetto anche da gaobot
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  7. 28-07-2004, 15:58 #7
    Ransie
    Ransie non è in linea
    Utente bannato
    Registrato dal
    Oct 2003
    Messaggi
    217
    Invia un messaggio tramite ICQ a Ransie
    ecco qui il nuovo log dopo aver esguito le istruzioni di amvinfe
    Logfile of HijackThis v1.98.0
    Scan saved at 15.53.51, on 28/07/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\explorer.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programmi\Eset\nod32kui.exe
    C:\WINDOWS\System32\wuamgrd.exe
    C:\Programmi\MemoRex\MemoRex.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\PowerDesk\PDExplo.exe
    D:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.loritel.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Windows Video Drivers] videons32.exe
    O4 - HKLM\..\Run: [Windows Explorer] explorer.exe
    O4 - HKLM\..\Run: [Video Process] Navapsvcc.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\K-Lite Codec Pack\real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
    O4 - HKLM\..\Run: [Microsoft Synchronization Manager] winfcs32.exe
    O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
    O4 - HKLM\..\Run: [Configuration Loader] lmass.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
    O4 - HKLM\..\RunServices: [Windows Explorer] explorer.exe
    O4 - HKLM\..\RunServices: [Configuration Loader] lmass.exe
    O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] winfcs32.exe
    O4 - HKLM\..\RunServices: [Windows Video Drivers] videons32.exe
    O4 - HKLM\..\RunServices: [Video Process] Navapsvcc.exe
    O4 - HKCU\..\Run: [Windows Explorer] explorer.exe
    O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/170997d4...dxIE601_it.cab
    O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
    @ trinityck
    no, l'ho eseguito adesso, dopo la procedura consigliata da amvinfe, e i virus che il nod32 mi rileva ci sono ancora, nell'avvio del sistema.
    adesso li disattivo tutti e poi riavvio di nuovo, intanto apsetto info per il log esguito (se ci sono altre procedure da fare).

    grazie a tutti
    Rispondi quotando Rispondi quotando
  8. 28-07-2004, 16:55 #8
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Se esegui una procedura vai avanti con quella, se no rischi che io, in base al tuo log, veda una cosa che tu magari hai già eliminato.


    quali virus ti sono stati riconosciuti da F-secure?

    Riavvia in modalità provvisoria (!)


    apri HJT, clicca su Scan metti la spunta al fianco di quesi valori:

    O4 - HKLM\..\Run: [Windows Video Drivers] videons32.exe
    O4 - HKLM\..\Run: [Windows Explorer] explorer.exe
    O4 - HKLM\..\Run: [Video Process] Navapsvcc.exe
    O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
    O4 - HKLM\..\Run: [Microsoft Synchronization Manager] winfcs32.exe
    O4 - HKLM\..\Run: [Configuration Loader] lmass.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
    O4 - HKLM\..\RunServices: [Windows Explorer] explorer.exe
    O4 - HKLM\..\RunServices: [Configuration Loader] lmass.exe
    O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] winfcs32.exe
    O4 - HKLM\..\RunServices: [Windows Video Drivers] videons32.exe
    O4 - HKLM\..\RunServices: [Video Process] Navapsvcc.exe
    O4 - HKCU\..\Run: [Windows Explorer] explorer.exe
    O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/170997d...RdxIE601_it.cab

    cerca ed elimina i files
    wuamgrd.exe
    Navapsvcc.exe===>questo con 2 "c" finali appartiene al worm gaobot, con una "c" finale a Norton.

    Usi kazaa?

    Ultima cosa, controlla nel file hosts (lo apri con il Notepad), deve esserci SOLO

    127.0.0.1 localhost

    se ve ne sono altri li cancelli, clicchi in alto su File e poi su Salva. Riavvia il pc, posta un nuovo log di HJT
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  9. 28-07-2004, 19:44 #9
    Ransie
    Ransie non è in linea
    Utente bannato
    Registrato dal
    Oct 2003
    Messaggi
    217
    Invia un messaggio tramite ICQ a Ransie
    amvinfe perdonami ma non c'ho capito molto e credo di aver fatto un bel guaio adesso vedo mezzo grigio e mezzo blu le pagine web.

    ho avviato HJT, ho fatto lo scan e ho spuntato i file da te selezionati, ho cercato i file wuamgrd.exe e Navapsvcc.exe ma ho trovato solo l'ultimo, l'altro no, e ho proseguito alla cancellazione.

    ma adesso?
    non ho capito, cosa devo fare con i file spuntati dall' HJT?? :master:

    altra cosa, host non sono riuscita a trovarlo.

    help me please


    p.s. i virus trovati dall'f-secure sono stati cancellati (ma ovviamente son tornati), tranne quelli della cartella "Temporary Internet Files", nella quale trovo solo una pagina web dal nome "?" che non si cancella
    Rispondi quotando Rispondi quotando
  10. 28-07-2004, 21:34 #10
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    non so cosa tu possa aver fatto, se hai problemi usa il Ripristino di configurazione di sistema per tornare ad una data precedente il problema. Le spiegazioni le trovi all'url, mi raccomando leggile con attenzione
    http://support.microsoft.com/default...;it-it;Q306084
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.