| Autore |
 Discussione  |
|
mara
Senior Member
Città: milano
203 Messaggi |
 Inserito il - 30/12/2005 : 22:05:04
|
Breve spiegazione:
Un'amica di mia mamma si e' presa sto virus che manda mail in automatico a tutti i suoi contatti con scritto: divertente filmato natalizio auguri firmato a nome suo e contiene link o filmati virus.
Ha riscansionato online con Karspersky e ora trova solo il famoso dialer, pero' il virus e' ancora nel pc perche' le sono appena tornate indietro altre 14 mail infette!
KASPERSKY ON-LINE SCANNER REPORT
Friday, December 30, 2005 21:54:12
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 30/12/2005
Kaspersky Anti-Virus database records: 158157
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - My Computer:
A:\
C:\
D:\
E:\
Scan Statistics:
Total number of scanned objects: 94019
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 7565 sec
Infected Object Name - Virus Name
C:\WINDOWS\Downloaded Program Files\61A214.exe Infected: Trojan.Win32.Dialer.cb
Scan process completed.
Grazie
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 30/12/2005 : 22:14:01
|
Sorry sono stanchissima Mara ti rispondo domani mattina Ok.
ciao |
 |
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 30/12/2005 : 22:49:22
|
Ok sono riuscita a sfinirti!!! ahahahah
Lei sta facendo scansione con Virit : htt*://[www].virit[.com]/startup/scheda.asp?num=2161
pare le abbia gia' levato 2 dialer, vediamo domani come procede.
Notte a tutti
e grazie  |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 31/12/2005 : 00:38:06
|
La scansione con Virit ha trovato cose diverse da Kaspersky 
e precisamente:
C:\WINDOWS\SYSTEM32\livecam_it-uninstall.exe infetto da DIALER.82944 (rimosso)
C:\WINDOWS\SYSTEM32\HornyCam_it-uninstall.exe infetto da DIALER.82944 (rimosso)
C:\PROGRAMMI\Easy CD-DA Extractor 7\Burn.exe (Possibile variante da Trojan Win32.Agent.Iu)
C:\PROGRAMMI\Easy CD-DA Extractor 7\convert.exe (Possibile variante da Trojan Win32.Agent.Iu)
Files infetti 4
Virus rimossi 2
Scansione con Kaspersky invece evidenzia la presenza di:
Infected Object Name - Virus Name
C:\WINDOWS\Downloaded Program Files\61A214.exe Infected: Trojan.Win32.Dialer.cb
Questo exe seguendo il percorso entrando in downloaded program files (dopo aver messo opzione visualizza file nascosti e di sistema e applicato a tutte le cartelle) NON SI TROVA MINIMAMENTE IN QUELLA LOCATION! Ma ci sono solo ste cose nella cartella downloaded program files:
CKAVwebscan object
java runtime environment 1.4.2
java runtime environment 1.5.0
java runtime environment 1.5.0
java runtime environment 1.5.0
java runtime environment 1.5.0
java runtime environment 1.5.0
shockwave activex control
shockwave flash object
Spero di aver spiegato bene, a domani
ps. ormai e' una sfida personale levare sto virus eheheh
baci
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 31/12/2005 : 09:43:43
|
Stà facendo arrabbiare sto virus.
Scarica Stinger trovi anche una guida e in fondo pagina il downloads
lancialo dalla provvisoria e dopo pulisci con regseeker
Riavvia
e dopo scarica
A-Squared 2
e ripeti la scansione.
pulisci con regseeker e dopo posta i risultatti
|
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 31/12/2005 : 11:25:41
|
ok domandona su regseeker, quando viene usato trova molte voci rosse e molte verdi pero' tutte mischiate, io devo cancellare solo le rosse mi e' sembrato di capire, e' un bel delirio visto che sono tante e mescolate, se le facessi cancellare sia rosse che verdi cosa succederebbe? (ieri ci ha messo gli anni per selezionare le rosse poi non le ha tolte tutte xke' ci metteva una vita)
Ora cmq le faccio mettere stinger e A-squared a dopo |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 31/12/2005 : 11:31:45
|
Eliminale TUTTE sia le rosse che le verdi, a me non è mai successo niente  |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 31/12/2005 : 12:00:59
|
| ok grzzz |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 31/12/2005 : 15:09:33
|
we we Stinger non ha trovato nulla, e A-Squared gia' 4 cose e sta proseguendo nella scansione, dopo ve le mando.
Dopo le farei ripulire registro, fare una scan con kaspersky e poi io metto la bandiera bianca xke' piu' di così non saprei che fare...
unica cosa non fatta e' quella del dos, a cosa serviva Ale?
a dopo
(sono diventata il vostro incubo huahua)
ps. ho gia' dato vostro link ad altre 2 persone |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 31/12/2005 : 15:44:37
|
eccovi il resoconto di A squared, ora le faccio pulire registro e scansionare con Kaspersky
a² Report
Nome del file Diagnosi
C:\Documents and Settings\adriano maggi\Cookies\adriano maggi[ presso ]community.eun[1].txt Trace.TrackingCookie
C:\Documents and Settings\adriano maggi\Cookies\adriano maggi[ presso ]cgi-bin[1].txt Trace.TrackingCookie
C:\Documents and Settings\adriano maggi\Cookies\adriano maggi[ presso ]as1.falkag[2].txt Trace.TrackingCookie
C:\Programmi\Logitech\Desktop Messenger\8876480\6.1.0.155-8876480L\Program\runner.exe Adware.BackWeb.a
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 31/12/2005 : 15:48:41
|
Sono cookies traccianti,fagli svuotare i cookies,file tmp e cestino.
per questo
C:\Programmi\Logitech\Desktop Messenger\8876480\6.1.0.155-8876480L\Program\runner.exe Adware.BackWeb.a
guarda se nel task manager è presente runner.exe,se c'è killalo, e dopo naviga in dos fino alla dir \Program e cancella runner.exe
del runner.exe e batti invio |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 31/12/2005 : 15:57:57
|
io gia che ci sei farei fare una bella pulizia con ccleaner....
ccleaner(pulizia cache) htt*://[www].softpedia[.com]/progDownload/CCleaner-Download-8851.html
Guida a ccleaner htt*://[www].megalab.it/articoli.php?id=648
sarebbe consigliabile farne una al giorno prima di spegnere il pc...così liquidi le schifezze che hai tirato su navigando..
ciaoooooooo |
Modificato da - n/a in data 31/12/2005 16:06:33 |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 31/12/2005 : 16:21:40
|
| Si glel'ho fatta fare sia con CCLEANER CHE CON REGSEEKER |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 31/12/2005 : 17:07:22
|
I cookies i temp ecc glieli avevo fatti svuotare ieri e aveva pulito anke con ccleaner ecc...
e infatti ieri non uscivano piu' nei temp, invece gia' oggi son ritornati!
Ora sta scannando con Kaspersky vediamo cosa viene fuori e se li elimina visto che le ho fatto mettere la trial 5 personal
Dopo di che io mi arrendo le faccio pulire di nuovo cookies, tmp , registro ristarta pc e se le arrivano ancora delivery notification delle mail virali io nn so piu' ke dire hehe
baci grz
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 31/12/2005 : 17:38:59
|
| Prova con questo htt*://[www].h3.dion.ne.jp/~sole/Yoghi/Guide/Files/Escan/escan.html |
|
|
|
mok
Senior Member
161 Messaggi |
Inserito il - 01/01/2006 : 16:44:27
|
Salve a tutti e... BUON 2006! Ho avuto il vostro indirizzo da Mara, che gentilmente ha cercato di risolvere il mio problema con questo trojan che però sembra rigenerarsi continuamente… finora ho fatto le seguenti operazioni:
- Scansione con Kaspersky che ha evidenziato la presenza del virus e di un certo nr di files infetti;
- Ho buttato via tutti i Temporary Internet files, ho eliminato cookies, files temporanei e cancellato la cronologia;
- Ho fatto pulizia con Ccleaner;
- Dopo aver disattivato ripristino configurazioni di sistema ho eliminato i files indicati nel report della scansione, poi ho eliminato le chiavi e sottochiavi di kaboom dal registro di sistema.
- Ho rifatto la scansione con la versione aggiornata di Kaspersky (non sono riuscita a farlo in modalità provvisoria, sembra funzionare solo online… cosa ho sbagliato???).
Sembrava tutto a posto, ma ogni volta che riaccendo il pc il virus si ripresenta: Kaspersky mi segnala in continuazione i files infetti, io li cancello, ma si ripresentano sempre… sono nelle vostre mani!!!
Allego il log di hijackthis… e attendo news!
Logfile of HijackThis v1.99.1
Scan saved at 12.07.32, on 01/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\standard\IMPOST~1\Temp\Directory temporanea 1 per hijackthis_199[1].zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\system32\msx.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\system32\kaboom.dll (file missing)
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programmi\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [rusto] "C:\DOCUME~1\standard\IMPOST~1\Temp\s3m4.2.exe"
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [HWSetup] C:\Programmi\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - htt*://[www].kaspersky[.com]/downloads/kws/kavwebscan_unicode .cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - htt*://go.microsoft[.com]/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{19383261-1890-4C24-BBB6-A410FEB8575A}: NameServer = 85.37.17.45 151.99.125.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{19383261-1890-4C24-BBB6-A410FEB8575A}: NameServer = 85.37.17.45 151.99.125.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
|
|
|
|
Discussione |
|
VIRUS CLICKER BOMKA
Forum Bloccato
