possibile malware nel pc...o peggio!! - Sicurezza Informatica

NoTrace Security Forum

Nome Utente:	Password:
Salva Password
Password Dimenticata?

Tutti i Forum

Virus

Computer Virus

possibile malware nel pc...o peggio!!

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Pagina Successiva

Autore

Discussione

Pagina: di 4

Paffa
Junior Member

62 Messaggi

Inserito il - 27/10/2008 : 15:32:26

Ciao a tutti,
siete la mia ultima speranza.
Penso che un malware si sia impossessato del mio pc!!!
Sono a un punto tale che non riesco neanche più a fare il ripristino.
e' iniziato tutto con il desktpo blu e lìimpossibilità di aprire con dopio clic C o D, ecc. ma adesso si è complicato parecchio e non so che fare. Intanto vi invio il logfile di hijackthis sperando che sia utile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.30.45, on 27/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\VMConnect.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\NGSpawner.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\NettGain1200_C.exe
C:\Programmi\uTorrent\uTorrent.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = htt*=localhost:9090 ftp=localhost:9093 htt*s=localhost:9090
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programmi\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NBDriver] E:\NBDriver.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programmi\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programmi\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1747204834-3245289731-3631103184-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1747204834-3245289731-3631103184-1005 Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe (User '?')
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe (User '?')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - htt*://download.bitdefender[.com]/resources/scan8/oscan8 .cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - htt*://[www].update.microsoft[.com]/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1224537012919
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DB01FCF-A936-4817-910F-56BC2DD329BA}: NameServer = 193.70.152.25 193.70.152.15
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. htt*://[www].bitdefender[.com] - C:\Programmi\File comuni\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\BitDefender\BitDefender 2009\vsserv.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programmi\File comuni\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 5835 bytes

Grazie mille, Paffa

shang
Advanced Member

Città: Roma

4879 Messaggi

Inserito il - 27/10/2008 : 15:37:40

ciao

riesci a far partire il tuo antivirus?

ti fa' andare in provvisoria?

vedi se nel pc hai questo NBDriver.exe

Modificato da - shang in data 27/10/2008 15:43:47

Paffa
Junior Member

62 Messaggi

Inserito il - 27/10/2008 : 21:08:07

Ciao il problema è più serio del previsto. l'antivirus non si avvia, NBDriver.exe non lo trovo e in più non posso più far niente: mi spiego...
non posso usare office, aprire pannello di controllo, niente, neanche usare cd di ripristino. mi dice che non trova il file system32\rundll32 (e temo di sapere perchè...l'antivirus me lo ha messo in quarantena!!)
che faccio?
sn disperata!

shang
Advanced Member

Città: Roma

4879 Messaggi

Inserito il - 27/10/2008 : 21:20:15

scarica sul desktop questi programmi

htt*://[www].zonavirus[.com]/datos/descargas/95/elibagla.asp

(clicca su descargar elibagla in fondo alla pagina)

htt*://us1.filseclab-res[.com]/down/twister_en.zip (twister)

htt*://download.bleepingcomputer[.com]/oldtimer/OTMoveIt2.exe

Appena finito, posta il rapporto che trovi in C:\

vai in modalita' provvisoria

Riavvia il computer in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^)

una volta in provvisoria, fai partire elibagla

spunta ELIMINAR FICHEROS AUTOMATICAMENTE e avvia la scansione cliccando su EXPLORAR

Se vuoi aiuto devi accettare i consigli

Modificato da - shang in data 27/10/2008 21:39:29

Paffa
Junior Member

62 Messaggi

Inserito il - 27/10/2008 : 22:33:21

Ciao,
ho scaricato elibagla e otmove, ma per l'altro non mi trova la pagina.
scusa , ma non sono esperta e non ho capito che devo fare ora. li ho salvati sul desktop, qual è il rapporto che devo postare?non trovo niente in C.
altra cosa, se premo f8 al riavvio non mi da la schermata che dici tu, quale potrebbe esere il tasto? ho già provato f2, f6, ...

shang
Advanced Member

Città: Roma

4879 Messaggi

Inserito il - 27/10/2008 : 22:47:41

allora

andiamo per gradi e rimani online se vuoi risolvere

hai provato a lanciare elibagla?

htt*://[www].zonavirus[.com]/datos/descargas/95/elibagla.asp

il download e' in fondo alla pagina

Paffa
Junior Member

62 Messaggi

Inserito il - 27/10/2008 : 22:53:40

sì, mi dice "archivio modificato forse da un virus. contattare satinfo"
e non succede altro

shang
Advanced Member

Città: Roma

4879 Messaggi

Inserito il - 27/10/2008 : 22:55:50

scaricalo da qui

htt*://[www].sendmefile[.com]/00654837

Paffa
Junior Member

62 Messaggi

Inserito il - 27/10/2008 : 22:59:50

ho scaricato anche questo, il risultato è lo stesso. mi si apre subito una finestra con la scritta di prima

shang
Advanced Member

Città: Roma

4879 Messaggi

Inserito il - 27/10/2008 : 23:05:25

vedi se questo te lo fa scaricare

htt*://us1.filseclab-res[.com]/down/twister_en.zip

shang
Advanced Member

Città: Roma

4879 Messaggi

Inserito il - 27/10/2008 : 23:08:15

speriamo finisca presto il 2008

scaricalo da qui

htt*://download.bleepingcomputer[.com]/oldtimer/OTMoveIt2.exe

Paffa
Junior Member

62 Messaggi

Inserito il - 27/10/2008 : 23:10:45

allora, elibagla l'ho scaricato ma quando clicco per aprirlo mi compare quella scritta.
per quanto riguarda quest'ultimo link invece non mi dà proprio la possibilità di trovare la pagina: mi si apre ina pagina in cui dice "Visitors, we are sorry, however, this site is experiencing difficulties at this time. Please return later.

Webmaster, please contact us by email at support[No-Spam]lunarpages[.com] or via Lunarpages Helpdesk at htt*://support.lunarpages[.com]. Thank you for choosing Lunarpages (htt*://[www].lunarpages[.com])."

Paffa
Junior Member

62 Messaggi

Inserito il - 27/10/2008 : 23:12:34

aspè, non avevo letto il tuo secondo post.
otmoveit l'ho scaricato ed è sul desktop

shang
Advanced Member

Città: Roma

4879 Messaggi

Inserito il - 27/10/2008 : 23:13:22

hai provato a scaricare questo?

htt*://download.bleepingcomputer[.com]/oldtimer/OTMoveIt2.exe

shang
Advanced Member

Città: Roma

4879 Messaggi

Inserito il - 27/10/2008 : 23:14:50

disconnetti il pc da internet e fai cosi'

Copia/incolla quanto segue nella finestra "Paste List of Files/Folders
to be moved"

%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\list.oct
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%SystemDrive%\system32\re_file.exe
%SystemDrive%\elist.xpt
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\system32\edlm.exe
%SystemDrive%\WINDOWS\system32\edlm2.exe
%SystemDrive%\Windows\system32\ldR64.dll
%SystemDrive%\WINDOWS\system32\german.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys.
%SystemDrive%\WINDOWS\system32\mdelk.exe.
%SystemDrive%\WINDOWS\system32\wintems.exe.
%SystemDrive%\WINDOWS\system32\1.exe
%SystemDrive%\WINDOWS\exefqd
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%UserProfile%\Dati applicazioni\hidn
%UserProfile%\Dati applicazioni\m
%SystemDrive%\WINDOWS\System32\drivers\down
%SystemDrive%\WINDOWS\system32\drivers\downld
%SystemDrive%\WINDOWS\temp\
%UserProfile%\Impostazioni locali\Temporary Internet Files\Content.IE5
%UserProfile%\Impostazioni locali\Temporary Internet Files
%UserProfile%\Impostazioni locali\Temp

clicca su MoveIT
Se ti viene proposto il riavvio non farlo

Paffa
Junior Member

62 Messaggi

Inserito il - 27/10/2008 : 23:18:10

gfatto, li ho "spostati", mi ha chiasto di riavviare e ho detto no.

Pagina: di 4

Discussione

Pagina Successiva

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Vai a:

NoTrace Security Forum

Pagina generata in 0,27 secondi.

TargatoNA | SuperDeeJay | Snitz Forums 2000