Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 9 su 9
  1. 21-04-2006, 10:29 #1
    Dadoo
    Dadoo non č in linea
    Utente di HTML.it L'avatar di Dadoo
    Registrato dal
    Nov 2001
    Messaggi
    411

    Download.Trojan cancella e ripresentato

    Ragazzi, il norton antivirus all'avvio di win XP mi da il messaggio:
    Event: Threat Found!
    Threat: Download.Trojan
    File: C:\WINDOWS\system32\iedld32.dll
    Action taken: Clean failed : Quarantine failed : Delete succeeded : Access denied
    se lo cerco questo maledettissimo file iedld32.dll nn é presente nella cartella C:\WINDOWS\system32\

    gli ho passato hijackthis 1.99.1 ed ho fixato la seguente:
    O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s

    poi ho passato ADaware ma nn ha trovato nulla di particolare
    Lo Stinger 2.6.0 uguale

    l'antivirus in modalitį provvisoria nn trova nulla come nn trova nulla anche in modalitį normale....fatto sta che ogni volta che avvio/riavvio il pc il norton antivirus mi rida il messaggio di cui sopra di questo Download.Trojan nel file iedld32.dll che pero nn ricompare piu se nn all'avvio.

    Ragazzi potete darmi qualche consiglio ?
    E' come se il norton lo cancellasse all'avvio del pc ma poi ogni volta il file iedld32.dll ritorna nella cartella system32
    Posso postarvi magari il file di log hijackthis ?
    Rispondi quotando Rispondi quotando
  2. 21-04-2006, 10:36 #2
    amvinfe
    amvinfe non č in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    posta pure il log, inoltre se dovesse nuovamente comparire il file iedld32.dll per cortesia zippalo e mandamelo all'indirizzo che trovi nella mia firma.
    Grazie
    PS
    verifica la presenza o meno di questo file MSCOMM32.EXE
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 21-04-2006, 10:41 #3
    Dadoo
    Dadoo non č in linea
    Utente di HTML.it L'avatar di Dadoo
    Registrato dal
    Nov 2001
    Messaggi
    411
    si il file MSCOMM32.EXE é presente.
    Vi allego il log hijackthis.

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Tivoli\TSM\baclient\dsmcsvc.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Lotus\Notes\ntmulti.exe
    c:\oracle\ora91\bin\omtsreco.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Symantec AntiVirus\SavRoam.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.ex e
    C:\WINDOWS\system32\CCM\CcmExec.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Lotus\Notes\NLNOTES.EXE
    C:\Program Files\Lotus\Notes\ntaskldr.EXE
    C:\Documents and Settings\Geyser3 User2\My Documents\Davide\Personal\prog\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://esawb.esa.int/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://esawb.esa.int/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://esawb.esa.int/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://esawb.esa.int/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: MSCOMM32.EXE
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1129211179606
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = esa-ad.esa.int
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BA11BC07-8A3C-4BFB-8D0B-8A0D7515C5A2}: Domain = esa-ad.esa.int
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BA11BC07-8A3C-4BFB-8D0B-8A0D7515C5A2}: NameServer = 10.1.112.1,10.1.112.3
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = esa-ad.esa.int
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = esa-ad.esa.int,esrin.esa.int,esrin.esa.it,esa.int,esa. it
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = esa-ad.esa.int,esrin.esa.int,esrin.esa.it,esa.int,esa. it
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: ESRIN TSM Central Scheduler Service - IBM Corporation - C:\Program Files\Tivoli\TSM\baclient\dsmcsvc.exe
    O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Program Files\Lotus\Notes\ntmulti.exe
    O23 - Service: OracleMTSRecoveryService - Oracle Corporation - c:\oracle\ora91\bin\omtsreco.exe
    O23 - Service: OracleOraHome9iClientCache - Unknown owner - c:\oracle\ora91\BIN\ONRSD.EXE
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    Rispondi quotando Rispondi quotando
  4. 21-04-2006, 11:06 #4
    amvinfe
    amvinfe non č in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    l'eseguibile di HJT va messo in una cartella e posta in C:\ o C:\Programmi. La scansione va fatta con il browser chiuso

    Oltre alla .dll mandami per favore, zippato, anche il file MSCOMM32.EXE


    Scaricati Ewido da "Link utili", aggiornalo ed effettua una scansione dalla modalitą provvisoria.
    Riavvia posta un nuovo log.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  5. 21-04-2006, 11:18 #5
    Dadoo
    Dadoo non č in linea
    Utente di HTML.it L'avatar di Dadoo
    Registrato dal
    Nov 2001
    Messaggi
    411
    in modalitį normale mi fixa
    O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s

    ma se rifaccio la scansione con hijackthis mi si ripresenta
    adesso provo a fare il fix in mod. provvisoria
    Rispondi quotando Rispondi quotando
  6. 21-04-2006, 11:25 #6
    amvinfe
    amvinfe non č in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Originariamente inviato da Dadoo
    in modalitį normale mi fixa
    O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s

    ma se rifaccio la scansione con hijackthis mi si ripresenta
    adesso provo a fare il fix in mod. provvisoria
    :rollo:
    ma perchč chiedete aiuto e poi non seguite le procedure che vi vengono consigliate?
    Fai come credi, il pc č tuo
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  7. 21-04-2006, 14:47 #7
    Dadoo
    Dadoo non č in linea
    Utente di HTML.it L'avatar di Dadoo
    Registrato dal
    Nov 2001
    Messaggi
    411
    si hai ragione amvinfe
    forse nn mi ero spiegato bene prima, purtroppo al momento nn posso entrare in mod. provvisoria xche ho bisogno di una password dell'amministratore e sto aspettando che mela comunichino i tecnici dell'ufficio....finora le prove di fix le ho potute fare solo da modalita normale....appena ho fatto ti faccio sapere!
    Rispondi quotando Rispondi quotando
  8. 21-04-2006, 18:44 #8
    holifay
    holifay non č in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Anche se non sei admin, prova ad eliminare la dll al reboot: da HijackThis premi "Open the misc tools section", poi premi "Delete a file on reboot" e selezioni (o scrivi) C:\WINDOWS\system32\iedld32.dll. Fai la stessa cosa con il file MSCOMM32.EXE che dovrai cercare nel PC. Al termine riavii.

    Probabilmente dovrai abilitare la visualizzazione dei file nascosti/sistema.

    Non so se basterą, ma puoi provare in attesa della password di admin
    Pensi di avere un file infetto? Invialo a SuspectFile
    Rispondi quotando Rispondi quotando
  9. 26-04-2006, 10:02 #9
    Dadoo
    Dadoo non č in linea
    Utente di HTML.it L'avatar di Dadoo
    Registrato dal
    Nov 2001
    Messaggi
    411

    Risolto---grazie

    ragazzi scusate il ritardo nella risposta (causa ponte)
    finalmente ho risolto... un grazie particolare a amvinfe e anche a holifay !
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.