1 Trojan e 2 Startpage!

[@rgo1]

Trojan horse .Downloader .Generic6.GCS > C:\Windows\Application Data\winqf\winqf32.dll (46kb)

Virus Found StartPage > C:\Windows\NDISLOGMSEMSD.HTM (556 bytes)

Virus Found StartPage > C:\Windows\ NDISLOGMSE.HTM (556 bytes)


attualmente sono nel Vault di AVG

cosa mi consigliate di fare?

sembrano in qche modo collegati a IE (sto usando FF)

grz

[tecnico24]

scarica systemscan http://tinyurl.com/2vn7t2
avvialo,assicurati che tutte le opzioni siano spuntate e clicca su "scan now".
quando ha finito in C:/suspectfile verra lasciato un file .zip(data+ora)
carica questo file in www.megaupload.com e dacci il link per scaricarlo.
poi insieme al link posta un logfile di hijackthis.

[@rgo1]

Vi anticipo il LogFile visto che è piuttosto corto:


Logfile of HijackThis v1.99.1
Scan saved at 17.39.47, on 25/09/07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MDSETSPW.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMMI\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMMI\STOPDIALERS\STOPDIALER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ulv.zx4a5c.my-home-best.net/home-9.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\PROGRAMMI\WEB ACCELERATOR\COMPONENTS\NOWIMAGING.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMMI\GRISOFT\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmi\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [idmsnn] Wscript C:\WINDOWS\NDISLOGMSE.VBS /B
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service
O4 - Startup: Promemoria del Calendario di Microsoft Works.lnk = C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'c:\programmi\web accelerator\sliplsp.dll' missing
O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/ACTIVEX...N/NSMP2INF.CAB

[tecnico24]

oltre a fare i passaggi con systemscan,avvia hijackthis e fixa queste voci:

O4 - HKLM\..\Run: [idmsnn] Wscript C:\WINDOWS\NDISLOGMSE.VBS /B

O4 - HKLM\..\Run: [ModemUtility] mdsetspw.exe


poi scarica avenger http://swandog46.geekstogo.com/avenger.zip
clicca su input script manually,poi sulla lente di ingrand.
nello spazio bianco inserisci questo script in rosso:


files to delete:
C:\WINDOWS\MDSETSPW.EXE



poi clicca su Done
sul semaforo con luce verde
due volte si e riavvia il pc.
posta il log di avenger(c:/avenger.txt)+log di systemscan.

[@rgo1]

ma funzia Systemscan con win98???

[@rgo1]

ho fixato con HiJackThis

ma Systemscan mi dice che non ho i diritti di amministratore e avenger che necessito win 2000 o XP




se vado in AVG e clicco su Heal risolvo?

[tecnico24]

avenger e' una perdita importante
vabbe non importa,elimina manualmente il file C:\WINDOWS\MDSETSPW.EXE
e poi prova a fare uno scan con kaspersky(qui ci vorrebbe ste,che sarebbe lo sponsor )
http://www.kaspersky.com/virusscanner e posta il log finale.

[@rgo1]

ne ho 2 di MDSETSPW

un file applicazione e un file .DAT

faccio tasto dx elimina su entrambi?

[tecnico24]

elimina il file .exe

[@rgo1]

Originariamente inviato da tecnico24
elimina il file .exe

fatto.

vado da kaspersky...