| Autore |
 Discussione  |
|
|
mrtheo
Junior Member
57 Messaggi |
 Inserito il - 06/12/2005 : 08:04:59
|
Ciao a tutti. Sono nuovo del forum, ma visto che ci sono persone molto preparate ho deciso di chiedere un aiuto. Un amico mi ha portato il suo computer che prensenta, secondo Norton2005, 3 files infetti:
ddccy.dll infettato da Trojan.Vundo
csrss.exe infettato da W32.SpyBot.Worm
spooler.exe infettato da W32.IRCBot
Norton non riesce ne a pulirli ne a cancellarli, pertanto ho provato a seguire le istruzioni manuali per toglierli che si trovano sul sito della Symantec (compresi i vari tool), ma non c'è stato molto da fare.
Seguento alcune vostre discussioni ho provato a fissare alcuni processi con HijackThis, ma data la mia non grande esperienza con i virus non ho avuto grandi risultati.
Vi posto i log di HijackThis (scusate non ero in modalità provvisoria, ma data la precarietà ho preso quello che sono riuscito) se qualcuno mi può dare una mano. Grazie.
Logfile of HijackThis v1.99.1
Scan saved at 22.35.18, on 05/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wuapi.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\spooler.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\csrss.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\real.exe
C:\WINDOWS\System32\msnmsgs.exe
C:\WINDOWS\System32\msnchecker.exe
C:\windows\adtech2005.exe
C:\Programmi\MediaGateway\MediaGateway.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\rasautou.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\ddccy.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmi\Freeprod Toolbar\freeprod.dll (file missing)
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [!!!!01234-bj-special-ad] C:\DOCUME~1\MATTEO\DATIAP~1\BJ-SPE~1.EXE /ns
O4 - HKLM\..\Run: [!!!!01234-120hp] C:\DOCUME~1\MATTEO\DATIAP~1\120-hp.exe /ns
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Service] real.exe
O4 - HKLM\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2005] C:\windows\adtech2005.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Programmi\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\RunServices: [Service] real.exe
O4 - HKLM\..\RunServices: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKCU\..\Run: [wffz] C:\PROGRA~1\FILECO~1\wffz\wffzm.exe
O4 - HKCU\..\Run: [services32] C:\Programmi\File comuni\Windows\mc-110-12-0000182.exe
O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmi\Freeprod Toolbar\freeprod.dll (file missing)
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmi\Freeprod Toolbar\freeprod.dll (file missing)
O20 - Winlogon Notify: ddccy - C:\WINDOWS\System32\ddccy.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\guard.tmp (file missing)
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe
|
|
|
n/a
deleted
1470 Messaggi |
 Inserito il - 06/12/2005 : 08:43:56
|
Visti i risultati con Norton disinstallalo e segui le istruzioni che troverai a questo link htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=4901.
Inoltre scarica questo softw. CWShredder htt*://cwshredder.net/bin/CWShredder.exe
Guida htt*://[www].megalab.it/articoli.php?id=427.
Lancia CWShredder dopo aver eseguito le istruzioni del link
Il problema più grosso è questo
O20 - Winlogon Notify: ddccy - C:\WINDOWS\System32\ddccy.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\guard.tmp (file missing)
Winlogon è un processo che non puoi arrestare. Comunque segui le istruzioni e dopo posta un log (per Hijactis quì trovi una guida htt*://[www].alground[.com]/sicurezza/articolo.php?page=16)
|
 |
|
|
mrtheo
Junior Member
57 Messaggi |
Inserito il - 06/12/2005 : 10:15:15
|
| grazie seguo le istruzioni e ti so dire. |
|
|
|
mrtheo
Junior Member
57 Messaggi |
Inserito il - 06/12/2005 : 20:22:13
|
Citazione:
Messaggio inserito da Alexsandra
Il problema più grosso è questo
O20 - Winlogon Notify: ddccy - C:\WINDOWS\System32\ddccy.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\guard.tmp (file missing)
Winlogon è un processo che non puoi arrestare. Comunque segui le istruzioni e dopo posta un log (per Hijactis quì trovi una guida htt*://[www].alground[.com]/sicurezza/articolo.php?page=16)
ho seguito le indicazioni ma il problema winlogon non si è risolto per cui il mio amico ha deciso di formattare e reinstallare il tutto anche per dare nuova vita al pc. secondo voi al posto di norton (che gli ha rallentato il pc "a bestia") gli conviene installarsi AV o bitdefender?
Grazie ancora dell'aiuto |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 06/12/2005 : 20:27:48
|
Nessuno dei due.
DEVE INSTALLARSI ANTIVIR PE !!!
P.S
Abituato al Norton penserà che gli abbiamo cambiato il processore  |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 06/12/2005 : 20:54:14
|
Avresti dovuto postare un log di HJK,quelle 2 dll in winlogon si possono togliere (1 è missing).
E la prossima volta?? formatti ancora?? |
|
|
|
mrtheo
Junior Member
57 Messaggi |
Inserito il - 06/12/2005 : 22:08:51
|
grazie per il consiglio sull'antivirus, cmq visto che non ha ancora formattato, domani quando torno da lui prima di formattare tento nuovamente (magari ha sbagliato qualcosa) e eventualmente posto il log.
Grazie |
|
|
|
mrtheo
Junior Member
57 Messaggi |
Inserito il - 08/12/2005 : 13:42:05
|
ho disinstallato norton, ho riprovato tutta le procedura e questo è il log di HJK:
Logfile of HijackThis v1.99.1
Scan saved at 22.35.41, on 07/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wuapi.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\spooler.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\real.exe
C:\windows\adtech2005.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\WINDOWS\System32\msnmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\csrss.exe
C:\Programmi\File comuni\Windows\services32.exe
c:\windows\adtech2006.exe
C:\WINDOWS\Lg\command.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\msnchecker.exe
C:\Programmi\File comuni\Windows\services32.exe
C:\PROGRA~1\WebHost\webhost-v2.exe
C:\WINDOWS\System32\msiexec.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://searchbar.findthewebsiteyouneed[.com]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = htt*://searchbar.findthewebsiteyouneed[.com]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\freeprod.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\ddccy.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmi\Freeprod Toolbar\freeprod.dll
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [Service] real.exe
O4 - HKLM\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Programmi\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [timessquare] c:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2006] c:\windows\adtech2006.exe
O4 - HKLM\..\RunServices: [Service] real.exe
O4 - HKLM\..\RunServices: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [services32] C:\Programmi\File comuni\Windows\mc-110-12-0000182.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmi\Freeprod Toolbar\freeprod.dll
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmi\Freeprod Toolbar\freeprod.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - htt*://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro[.com]/housecall/xscan53 .cab
O20 - Winlogon Notify: ddccy - C:\WINDOWS\System32\ddccy.dll
O20 - Winlogon Notify: mllmj - C:\WINDOWS\SYSTEM32\mllmj.dll
O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\cjutil.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Lg\command.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe
purtroppo i virus co sono ancora.
Per la cronaca alla fine ho installato AV e benchè nemmeno lui sia riuscito a togliere i virus incriminati ne ha trovati altri 6 che norton non aveva beccato |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 08/12/2005 : 14:39:56
|
Questo è un mercatino.... comunque non hai seguito tutta la procedura,ma solo in parte.
scarica questo prog.
CWShredder htt*://cwshredder.net/bin/CWShredder.exe
Guida htt*://[www].megalab.it/articoli.php?id=427
dopo vai in Start-programmi-strumenti di amministrazione-servizi.
cerca "Aggiornamenti Automatici" lo selezioni e in alto a Sx compare un link con "Arresta il servizio" cliccaci sopra e lo fermi,dopo fai doppio clik sulla riga del servizio e nella finestra che ti compare al centro seleziona "Tipo di avvio" su Manuale
Per gli altri servizi vai quì e scarica il file PDF e setta i servizi come indicato htt*://rapidshare.de/files/7936725/Processi_e_servizi_da_disabilitare.pdf.html
vai in fondo alla pagina e clikka su FREE, dopo ti appare una schermata e sempre in fondo devi inserire delle lettere (in rosso) e clikka su start download. Scaricato il file metti a posto i servizi come indicato.(vai sicuro l'ho fatto io è pulito),per mettere a posto i servizi fai come hai fatto poco sopra.(attento a disabilitare solo i servizi che sono specificati nel file che scarichi)
messi a posto i servizi riavvia in provvisoria,visualizza file nascosti e disabilita ripristino per istruzioni htt*://[www].notrace.it/faq-rimozione-virus.htm
Vai in Start-esegui e digita msconfig
alla shermata che ti appare clikka sulla linguetta AVVIO e togli la spunta a queste voci
C:\WINDOWS\System32\wuapi.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\spooler.exe ---> WIN32.RBOT Worm
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\real.exe --> LOVGATE VIRUS
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\WINDOWS\System32\msnmsgs.exe ---> W32/Rbot-KL worm
C:\WINDOWS\csrss.exe
C:\Programmi\File comuni\Windows\services32.exe
C:\WINDOWS\Lg\command.exe
C:\Programmi\File comuni\Windows\services32.exe
Trovi delle voci di prog. non infette,ma inutili in avvio,togliele pure che non elimini il programma. Disinstalla Messenger e usa quello via web
Lancia HJK e fixa queste voci
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://searchbar.findthewebsiteyouneed[.com]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = htt*://searchbar.findthewebsiteyouneed[.com]
O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\freeprod.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\ddccy.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmi\Freeprod Toolbar\freeprod.dll
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [Service] real.exe
O4 - HKLM\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe
O4 - HKLM\..\Run: [MediaGateway] C:\Programmi\MediaGateway\MediaGateway.exe
O4 - HKLM\..\Run: [timessquare] c:\windows\timessquare.exe
O4 - HKLM\..\Run: [adtech2006] c:\windows\adtech2006.exe
O4 - HKLM\..\RunServices: [Service] real.exe
O4 - HKLM\..\RunServices: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Microsoft Messenger] msnmsgs.exe
O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [services32] C:\Programmi\File comuni\Windows\mc-110-12-0000182.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmi\Freeprod Toolbar\freeprod.dll
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programmi\Freeprod Toolbar\freeprod.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - htt*://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro[.com]/housecall/xscan53 .cab
O20 - Winlogon Notify: ddccy - C:\WINDOWS\System32\ddccy.dll
O20 - Winlogon Notify: mllmj - C:\WINDOWS\SYSTEM32\mllmj.dll
O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\cjutil.dll
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Lg\command.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe
adesso vai in Start-esegui e digita Regedit
naviga fino a queste chiavi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
cerca se trovi una delle chiamate che ti ho citato sopra, se ci sono toglile (fai clik col Dx sulla voce (pannello di Dx) e al menù che ti compare scegli elimina.
Chiudi HJK e riavvia, installa CWShredder e fai una scansione,dopo Lancia Regseeker e pulisci il registro,installa Antivir PE aggiornalo e fai una scansione,lancia SpybootS&D e fai una scansione.
Installa Bitdefender,aggiornalo e fai una scansione,lancia Ad Aware,aggiornalo e fai una scansione. Lancia Regseeker e pulisci il registro
Riavvia e lancia HJK e posta un log.(è importante che tu segua la procedura)
Ti consiglio di installare un FW
Outpost Firewall htt*://[www].pianetapc.it/downloads.php?id=25
Guida htt*://[www].megalab.it/articoli.php?id=770
ZoneAlarm Firewall htt*://[www].pianetapc.it/downloads.php?id=35
Guida htt*://[www].megalab.it/articoli.php?id=126
|
|
|
|
mrtheo
Junior Member
57 Messaggi |
Inserito il - 08/12/2005 : 14:47:56
|
Citazione:
Messaggio inserito da Alexsandra
Questo è un mercatino.... comunque non hai seguito tutta la procedura,ma solo in parte.
scarica questo prog.
CWShredder htt*://cwshredder.net/bin/CWShredder.exe
Guida htt*://[www].megalab.it/articoli.php?id=427
grazie ci riprovo. Cmq avevo utilizzato CWShredder evidentemente non in modo corretto |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 08/12/2005 : 15:14:02
|
Aspetta intendevo per procedura quella descritta quì htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=4901.
CWShredder te l'ho aggiunto adesso in quanto il log è abbastanza infetto. Adesso segui quello che ti ho postato e dopo vediamo il nuovo log com'è
ciao |
|
|
|
mrtheo
Junior Member
57 Messaggi |
Inserito il - 08/12/2005 : 15:56:22
|
Citazione:
Messaggio inserito da Alexsandra
Visti i risultati con Norton disinstallalo e segui le istruzioni che troverai a questo link htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=4901.
Inoltre scarica questo softw. CWShredder htt*://cwshredder.net/bin/CWShredder.exe
Guida htt*://[www].megalab.it/articoli.php?id=427.
Lancia CWShredder dopo aver eseguito le istruzioni del link
ok grazie mille. cmq lo avevo utilizzato perchè me lo avevi consigliato il 6/12. ciao.
P.S.: il mio amico è via per qualche giorno e il pc lo ha lui per cui mi farò sentire più avanti. ciao e grazie ancora. |
|
|
|
mrtheo
Junior Member
57 Messaggi |
Inserito il - 13/12/2005 : 21:47:16
|
con mio grande rammarico (preferisco altre strade fino all'ultimo) il mio amico ha deciso di formattare il tutto per dare "nuova vita al PC". In compenso sono diventato un assiduo lettore dei forum del sito per cui come si dice non tutto il male ... 
Grazie
P.S.: per Alexsandra posso inviarti una mail con alcune domande sui log di Hijack? |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 13/12/2005 : 21:51:49
|
Certo e che problema c'è. Dì al tuo amico però che così non capirà mai cosa è successo,anche se una formattata ogni tanto non và male.
ciao |
|
|
| |
Discussione |
|
3 virus
Forum Bloccato
