| Autore |
 Discussione  |
|
XmasMc
Senior Member
124 Messaggi |
 Inserito il - 10/07/2005 : 13:21:22
|
Ciao a tutti,dopo aver fatto una bella scansione con l'antivirus,sono stati trovati alcuni virus e compagnia bella.C'è ne uno però che non va via manco a legnate.La dicitura alla fine della scansione è Nome Virus: Download Trojan e l'elemento infetto (credo) è: eied s7 c200.exe[.com]e faccio a liberarmente,pure facendo la scansione in modalità provvisoria etcc.. non succede nulla.
Grazie alla prox.
|
|
|
Lollo
Advanced Member
Città: Varese
624 Messaggi |
Inserito il - 10/07/2005 : 16:07:48
|
fai una bella scansione con antivirus online come il panda, che antivirus hai?
se te la cavi in ambiente dos ti do due consigli come liberarti del virus
a risentirci |
 |
|
|
XmasMc
Senior Member
124 Messaggi |
Inserito il - 10/07/2005 : 16:18:04
|
| Io ho il norton 2004 aggiornato,di dos nn ci capisco nulla,se magari mi fai una guida posso provare. |
|
|
|
XmasMc
Senior Member
124 Messaggi |
Inserito il - 11/07/2005 : 20:05:12
|
up up
|
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 11/07/2005 : 20:46:43
|
esegui la scansione completa dalla modalità provvisoria e con il ripristino di sistema disabilitato.
poi se non risolvi installa >> a squared 2 |
|
|
|
XmasMc
Senior Member
124 Messaggi |
Inserito il - 12/07/2005 : 17:44:41
|
| erreale,ho fatto la scansione con il programma che dici te,il risultato non cambia,quel trojan non vuole andarsene uff. |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 12/07/2005 : 18:16:23
|
| posta un log di HijackThis |
|
|
|
XmasMc
Senior Member
124 Messaggi |
Inserito il - 12/07/2005 : 22:49:31
|
ecco il log di Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 22.50.23, on 12/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\The Cleaner\tca.exe
C:\Programmi\The Cleaner\tcm.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].119.tim.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8088
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programmi\MSN Apps\Updater\01.02.3000.1001\it\msnappau.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [tcactive] C:\Programmi\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programmi\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programmi\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [Spyware Doctor] C:\PROGRA~1\SPYWAR~2\swdoctor.exe /Q
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - htt*://housecall60.trendmicro[.com]/housecall/xscan60 .cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - htt*://messenger.zone.msn[.com]/binary/MessengerStatsPAClient .cab31267 .cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htt*://go.microsoft[.com]/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {1EDF25DE-DFB2-40CA-AA83-30AE7DA8C203} (FileSharingCtrl Class) - htt*://appdirectory.messenger.msn[.com]/AppDirectory/P4Apps/FileSharing/it/filesharingctrl .cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - htt*://messenger.zone.msn[.com]/binary/MineSweeper .cab31267 .cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - htt*://security.symantec[.com]/sscv6/SharedContent/vc/bin/AvSniff .cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - htt*://by104fd.bay104.hotmail.msn[.com]/resources/MsnPUpld .cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - htt*://[www].bitdefender[.com]/scan8/oscan8 .cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - htt*://v5.windowsupdate.microsoft[.com]/v5consumer/V5Controls/en/x86/client/wuweb_site .cab?1113417913657
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - htt*://security.symantec[.com]/sscv6/SharedContent/common/bin/cabsa .cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - htt*://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro[.com]/housecall/xscan53 .cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - htt*://messenger.zone.msn[.com]/binary/MessengerStatsClient .cab31267 .cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - htt*://[www].pandasoftware[.com]/activescan/as5/asinst .cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - htt*://messenger.msn[.com]/download/msnmessengersetupdownloader .cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - htt*://messenger.zone.msn[.com]/binary/ZIntro .cab32846 .cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8492BC6-C66D-4ACB-A609-2C9653580CDA}: NameServer = 85.37.17.50 151.99.125.1
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Smart Card Client (SCardClnt) - Symantec Corporation - (no file)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
|
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 13/07/2005 : 11:11:40
|
Citazione:
Messaggio inserito da XmasMc
ecco il log di Hijackthis
C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O23 - Service: Smart Card Client (SCardClnt) - Symantec Corporation - (no file)
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
elimina le voci con hijackthis dalla provvisoria e con il ripristino di sistema disabilitato e poi esegui scansioni complete, sempre in provvisoria, con antispy e antivirus.
riavvia in normale e posta un nuovo log
ps. molto urgente è aggiornare il tuo sistema all'SP 2 |
|
|
|
XmasMc
Senior Member
124 Messaggi |
Inserito il - 13/07/2005 : 18:23:02
|
Erreale questo non me lo fixa proprio come mai?
Quando rifaccio scan è sempre li.
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
Comunque ho risolto il problema,il trojan era messo nei files temporani di explorer,sono entrato ho cancellato tutte cose,fatta la scansione e non mi trova nulla.
|
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 13/07/2005 : 18:53:37
|
Citazione:
Messaggio inserito da XmasMc
Erreale questo non me lo fixa proprio come mai?
Quando rifaccio scan è sempre li.
O23 - Service: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINDOWS\System32\upnpdrv.exe (file missing)
Comunque ho risolto il problema,il trojan era messo nei files temporani di explorer,sono entrato ho cancellato tutte cose,fatta la scansione e non mi trova nulla.
apri task manager e termina il processo se lo vedi
poi
vai in C:\WINDOWS\System32\upnpdrv.exe e rinomina quel file in upnpdrv.bad
riavvia e se tutto funziona elimina il file appena rinominato |
|
|
|
XmasMc
Senior Member
124 Messaggi |
Inserito il - 13/07/2005 : 22:19:09
|
| Non mi compare ne nel task manager ne il windows/system32.... come mai? |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 14/07/2005 : 04:40:40
|
Mi sembra che il messaggio "file missing", (non mastico l'inglese molto bene) ma dovrebbe dire che il files non c'è..o che non lo trova..Probabilmente già cancellato o rinominato dall'antivirus..o dal virus..e quindi non può comparire come processo attivo..
Prova a pulire il registro con un programma dedicato, esempio: htt*://[www].macecraft[.com]/ "Reg Supreme", sul mio funziona bene e devo dire che una pulizia al registro ogni tanto non fa male.
Prima di cancellare le chiavi che rileva accetta di crearne il backup, non si sa mai...
Ciao, facci sapere.
|
|
|
|
Echelon
New Member
45 Messaggi |
Inserito il - 14/07/2005 : 18:18:57
|
| prova a cancellare il server del trojan , vai nel registro e vedi se trovi la chiave ke corrisponde al trojan |
|
|
|
erreale
Advanced Member
492 Messaggi |
Inserito il - 14/07/2005 : 18:29:44
|
Citazione:
Messaggio inserito da XmasMc
Non mi compare ne nel task manager ne il windows/system32.... come mai?
meglio. vuol dire che non esiste più. elimina la voce obsoleta dal registro. |
|
|
|
Echelon
New Member
45 Messaggi |
Inserito il - 14/07/2005 : 18:31:33
|
|
:) ben detto |
|
|
|
Discussione |
|
Aiuto trojan
Forum Bloccato
