| Autore |
 Discussione  |
|
pinki
Senior Member
150 Messaggi |
 Inserito il - 31/07/2008 : 18:13:52
|
Ciao a tutti,
siccome sono una sfigata ho preso un altro virus...non so dire come poichè sono molto protetta, ho bitdefender a pieno regime, spy bot, antimalware, ccleaner, faccio scansioni e aggiornamenti regolarmente...ma niente.
Ho letto qualcosina in rete e ho visto che questo virus "ANTIVIRUS XP" è piuttosto bastardo. Me ne sono accorta perchè vedo questa schermata che scansiona potenziali virus, dice che ne ho dentro una cosa come 2580...subito ho sospettato non fosse normale perchè io non avevo installato niente di simile.
Bitdefender ha cominciato a segnalare che mi catturava lo stesso virus all'infinito e lo metteva in quarantena, andando nella quarantena ed eliminandolo, ne ricatturava altri identici all'infinito. Ho fatto andare spybot che ha trovato solo il malware smithfraud, l'ho eliminato.
Allora ho avuto l'idea di mettermi in Modalità provvisoria...faccio partire antimalware ma dopo un po' schermata blu....ho tentato due volte, poi ho lasciato perdere....
Riavviando in modalità normale vedo che questo maledetto ha fatto effettivamente qualcosa...il pc si riavvia normalmente ma non fa partire alcuni servizi come la connessione ad internet, il pannello di controllo non si apre, se inserisco la chiavetta usb non la vede, anche se ne riconosce l'inserimento...
Dimenticavo di dire che ho fatto anche una scansione con CCLEANER e ho fatto la pulizia...
Cosa mi consigliate di fare???
Grazie...
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 31/07/2008 : 18:21:40
|
comincia a postare subito un log di hijackthis
htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/hijackthis.php#
Una volta scaricato l'eseguibile, posizionalo in una sua cartella specifica, che avrai creato in precedenza, ad esempio in C:\Programmi. Scegli ''Do a system scan and save a logfile" e salva sul desktop il file di log -- Fai anche una scansione online con kaspersky online
htt*://[www].kaspersky[.com]/virusscanner
e posta qui i risultati>> htt*://[www].sendmefile[.com]/ oppure qui>> htt*://freefilehosting.net/
edit
gia' che ci sei fai un passaggio anche con questo e vedrai cosa trova
ftp://ftp.drweb[.com]/pub/drweb/cureit/launch.exe
scegli scansione completa
tieni anche questo > htt*://siri.urz.free.fr/Fix/SmitfraudFix.exe
prima di usarlo fai le scansioni indicate (per ora mettilo in stand by)
 |
Modificato da - shang in data 01/08/2008 16:27:43 |
 |
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 01/08/2008 : 01:11:43
|
Ciao Shang, grazie per la tua risposta.
il file log di Hijack....devo incollartelo qui perchè su sendmefile inspiegabilmente non mi accetta il file in formato testo:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:56, on 01/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programmi\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\BitDefender\BitDefender 2008\bdagent.exe
C:\Programmi\BitDefender\BitDefender 2008\seccenter.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Utente\Impostazioni locali\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = htt*://windowsupdate.microsoft[.com]/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: *******! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\*******!\Companion\Installs\cpn\yt.dll
O2 - BHO: &*******! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\*******!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: *******! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\*******!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programmi\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: *******! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\*******!\Companion\Installs\cpn\yt.dll
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - ?p=ZN
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Belkin\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: *******! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programmi\*******!\Common\yiesrvc.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - htt*s://components.viewpoint[.com]/MTSInstallers/MetaStream3 .cab?url=htt*://[www].viewpoint[.com]/cgi-bin/installer.v4/vet_install_popup.pl?2&6&04.00.03.15&unknown&unknown&htt*://hereisnewyork.org/gallery/showbig.asp?photoid=0233&advanced=advanced+viewing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htt*://go.microsoft[.com]/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmi\*******!\Common\Yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - htt*://download.bitdefender[.com]/resources/scan8/oscan8 .cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - htt*://webcams.lantmannen.se//webcam2/AxisCamControl.ocx
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (DownloadManager Control) - htt*://dlm.tools.akamai[.com]/dlmanager/versions/activex/dlm-activex-2.2.1.6 .cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B001A17-2AEB-4958-87D5-8BB98A64A57D}: NameServer = 85.37.17.15,85.38.28.74
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E17D5F0-5BE4-47A6-A5B3-5CE06B47F993}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{43034A3D-E981-49DD-810C-61B53230A8D9}: NameServer = 212.216.112.112
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programmi\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programmi\File comuni\BitDefender\BitDefender Communicator\xcommsvr.exe
--
End of file - 6024 bytes
La scansione on line con Kaspervsky non la posso fare perchè non riesco ad attivare la connessione ad internet, ti scrivo dal pc portatile!
In pratica non riesco ad accedere al pannello di controllo (nella parte relativa alle connessioni) e non mi legge nemmeno la chiavetta, quindi trasportare i file da un pc all'altro diventa problematico...
Cosa dici?
|
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 01/08/2008 : 01:20:12
|
Per tua info:
nel task manager, sotto processi, ho solo i seguenti:
explorer.exe
taskmgr.exe
svchost.exe
vsserv.exe
livesrv.exe
xcommsvr.exe
svchost.exe
svchost.exe
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
system
cicle idle del sistema
ID SESSIONE: c'è per tutti lo ZERO
Il nome utente invece è sparito per tutti, è ovvio che non è un task manager normale.... |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
 Inserito il - 01/08/2008 : 08:11:58
|
Buon giorno a tutti, presumo sia una variante dell'originale o ci siano piu' clienti, mentre ti scarichi cureit, scarica anche questo
Per scaricare Malwarebytes Malwarebytes
1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le ventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
htt*://[www].malwarebytes.org/mbam.php qui trovi il file per gli aggiornamenti manuali
Visto che non ti funzionano le penne usb, metti i programmi su cd, fallo multisessione, ne serviranno altri.
Prima di fare qualsiasi scansione segui questa procedura:
da start>esegui digita "regedit" ti si aprirà l'editor del registro di sistema, clicca su file poi su esporta e salva una copia del registro dove vuoi.
Nb non è detto che tu riesca ad usare comandi da start
Poi cortesemente prima di fare la scansione con cureit, fai quella con malewarebytes e posta il log, vorrei verificare un paio di cose.
|
Modificato da - death in data 01/08/2008 08:12:24 |
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 01/08/2008 : 21:42:10
|
Ciao Death, start funziona grazie a Dio. Ho salvato una copia di REGEDIT.
Questa mattina presto, prima che leggessi il tuo post,ha finito di scansionare il sistema con CURE IT(Dr.WEB)
Mi ha salvato i risultati e il tipo di rimedio in un file di excel...ti incollo i risultati perchè sendmefile non lo accetta...(io avevo premuto, finita la scansione, il pulsante CURA)
livesrv.exe probabile dloader.trojan incurabile
jscript5.chm\htm/jstextwriteln.htm modifica di vbs.generic.94
jscript5.chm l'archivio contiene oggetti infetti spostato
jscript5.chm\htm/jstextwriteln.htm modifica di vbs.generic.94
jscript5.chm l'archivio contiene oggetti infetti spostato
jscript5.chm\htm/jstextwriteln.htm modifica di vbs.generic.94
jscript5.chm l'archivio contiene oggetti infetti spostato
xmas.exe Joke.Xmas
livesrv.exe probabile dloader.trojan
stream021\livesrv.exe probabile dloader.trojan
stream021 l'archivio contiene oggetti infetti
bdav.msi l'archivio contiene oggetti infetti spostato
msimg32.dll Adware.funweb
rhcn3jj0eg6e.exe Trojan.muldrop.18211 cancellato
Per Malware: il problema è che, pur avendolo già installato sul pc infetto, posso provare ad aggiornarlo manualmente ma, dopo un po' che scansiona, fa la schermata blu...
Attendo tue info, grazie.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/08/2008 : 21:57:20
|
Buona sera a tutti, ti faccio scaricare un programma, non preoccuparti se antivirus, internet explorer o il fantasma formaggino te lo segnalano come virus, non lo è.
scarica Systemscan Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report
lo trovi all'interno della cartella systemscan che ti verrà creata sul desktop.
Il log è grande, quindi qui non puoi postarlo per esteso, segui questa scaletta:
1) andare sul sito htt*://[www].savefile[.com]/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]
[ot] messaggio radio: non dire nulla...mi sto cercando rogne...lo so [ot] |
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 01/08/2008 : 22:23:09
|
Death,
attraverso il pc portatile ho salvato il file di SYSTEMSCAN SU CD
L'ho messo sul pc infetto ma quando cerchiamo di aprirlo scatta la clessidra per un paio di secondi poi niente...
mi sa che il virus blocca l'avvio dell'installazione...che faccio?? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/08/2008 : 22:37:55
|
| Buona sera a tutti, non è da installare, il virus deve averti bloccato il processo cmd..che bella seratina..fammi pensare ad una scappatoia e fammi consultare con chi ne sa piu' di me, vorrei evitare di farti usare il tool per la rimozione visto che sembra tu non abbia nessuno dei files che rimuove. |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/08/2008 : 22:39:00
|
hai disattivato l'antivirus?
 |
Modificato da - Sibilla in data 01/08/2008 22:39:11 |
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 01/08/2008 : 22:43:27
|
Sibilla, sulla barra degli strumenti a destra non viene caricato nulla, a me risulta che tutto sia disattivato, come faccio per fare un check a questo punto? |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 01/08/2008 : 22:55:22
|
apri il task manager
controlla quali di questi files vedi.. magari si possono chiudere:
C:\Programmi\File comuni\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programmi\BitDefender\BitDefender 2008\vsserv.exe
C:\Programmi\BitDefender\BitDefender 2008\bdagent.exe
C:\Programmi\BitDefender\BitDefender 2008\seccenter.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
éer ora, se puoi entrare in modalità provvisoria, scarica e trasferisci SmitfraudFix
Riavvia in provvisoria ed esegui SmitfraudFix. Seleziona l'opzione 2 (Clean) e premi invio. Alla domanda "Registry cleaning - Do you want to clean the registry ?" digita "Y" e dai l'invio.. Il computer si riavviera' per completare il processo di pulizia (altrimenti riavvialo tu in modalita' normale). Sul desktop verra' visualizzato un file di testo che dovrai postare (lo trovi anche in C:\rapport.txt).
fammi sapere dei processi attivi nel task manager
|
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 01/08/2008 : 22:55:44
|
Death, attendo tue news allora....grazie come al solito
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/08/2008 : 22:58:24
|
| Buona sera a tutti, leggi cosa ti ha postato Sibilla. |
|
|
|
pinki
Senior Member
150 Messaggi |
Inserito il - 01/08/2008 : 23:07:46
|
| abbiamo terminato vsserv.exe e bdagent.exe, ma quel file non parte comunque.... |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/08/2008 : 23:15:16
|
|
Buona sera a tutti, hai provato la provvisoria se funziona? |
Modificato da - death in data 01/08/2008 23:15:48 |
|
|
|
Discussione |
|
VIRUS "ANTIVIRUS XP"
Forum Bloccato
