| Autore |
 Discussione  |
|
|
max1850
Starting Member
11 Messaggi |
 Inserito il - 31/12/2005 : 12:30:42
|
Salve.
Ho il WinXP Sp2 aggiornatissimo!
Dopo aver provato dal NOD32 al Norton Antivirus 2006 nel normale avvio del windows e anche in Modalità Provvisoria non sono riuscito a togliere (sono 2 giorni che ci provo) il nuovo Trojan.Dropper. Il Norton lo vede ma non lo toglie, e non riesce nemmeno a metterlo in quarantena.
Ho provato anche con Spybot 1.4 e a-Squared, ma niente! Ad ogni riavvio del windows mi appare una finestra del Norton che mi dice che ha trovato il Trojan.Dropper, ma ogni volta che chiudo questa finestra ne compare un'altra, e così all'infinito!
Ora sto provando con HijackThis, ed in effetti ci sono delle voci sospette nel mio registro. Ve le incollo qui:
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SWN2] C:\Programmi\Spyware Nuker\swnxt.exe /h
O17 - HKLM\System\CCS\Services\Tcpip\..\{A77EAEE9-DE83-4837-808D-76A2006D01B1}: NameServer = 85.37.17.51 151.99.125.1
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\Norton Internet Security\comHost.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
Queste sono le voci che il sito della HijackThis, dopo aver analizzato il mio file di testo, segnala come sospette!
Io penso che la sola voce veramente sospetta sia quella che inizia con "017", la quale si collega ad un IP esterno.
Le altre credo facciano parte del Norton Internet Security 2006.
Giusto?
Ho provato a cancellare questa riga "017" sempre col programma HijackThis, ma ad ogni riavvio del sistema mi ricompare! Come posso toglierla definitivamente?
Grazie
Max!
|
Modificato da - max1850 in Data 31/12/2005 12:34:44
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
 Inserito il - 31/12/2005 : 13:01:00
|
| Posta un log di Hijackthis completo. |
 |
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 31/12/2005 : 13:26:49
|
Il fix 017 corrisponde al TUO ISP,se la cancelli si ricrea altrimenti non ti connetti.
Per il trojan prova ad usare Stinger
lancialo dalla provvisoria e dopo pulisci con RegSeeker |
|
|
|
max1850
Starting Member
11 Messaggi |
Inserito il - 31/12/2005 : 13:29:53
|
Questo è il file log che mi ha creato HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 13.29.44, on 31/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Spyware Nuker\swnxt.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Messenger\msmsgs.exe
C:\DVD 8\+++++++ Hijackthis +++++++\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ASUS Probe] C:\Programmi\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SWN2] C:\Programmi\Spyware Nuker\swnxt.exe /h
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - htt*://[www].symantec[.com]/techsupp/asa/ctrl/tgctlsi .cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - htt*://[www].symantec[.com]/techsupp/asa/ctrl/tgctlsr .cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - htt*://housecall60.trendmicro[.com]/housecall/xscan60 .cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - htt*://creative[.com]/su/ocx/15015/CTSUEng .cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - htt*://[www].symantec[.com]/techsupp/asa/ctrl/LSSupCtl .cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - htt*://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro[.com]/housecall/xscan53 .cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - htt*://[www].ravantivirus[.com]/scan/ravonline .cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - htt*://messenger.msn[.com]/download/MsnMessengerSetupDownloader .cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - htt*://ax.emsisoft[.com]/axscan .cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - htt*://download.mcafee[.com]/molbin/iss-loc/mcfscan/2,1,0,4661/mcfscan .cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - htt*://creative[.com]/su/ocx/15016/CTPID .cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A77EAEE9-DE83-4837-808D-76A2006D01B1}: NameServer = 85.37.17.51 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\Norton Internet Security\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
-----------
Ho provato a cancellare la linea "017" in Modalità Provvisoria, ma in quella modalità la linea "017" non compare proprio! 
Help me!
Max!
|
Modificato da - max1850 in data 31/12/2005 13:31:41 |
|
|
|
n/a
deleted
Città: eh eh ti piacerebbe saperlo
2419 Messaggi |
Inserito il - 31/12/2005 : 13:56:20
|
apri hijackthis e fixa le vci che ti dico...:
(però prima fai una prova..fixi R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank e guardi che sia finito in backups di hijackthis...quando lo apri(hijackthis) dovrebbe essere uno dei pulsanti sotto do a system scan...premi e guardi che all'interno ci sia la voce..se c'è prosegui con le altre)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - C:\Programmi\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - htt*://[www].symantec[.com]/techsupp/asa/ctrl/tgctlsi .cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - htt*://[www].symantec[.com]/techsupp/asa/ctrl/tgctlsr .cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - htt*://housecall60.trendmicro[.com]/housecall/xscan60 .cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - htt*://creative[.com]/su/ocx/15015/CTSUEng .cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - htt*://[www].symantec[.com]/techsupp/asa/ctrl/LSSupCtl .cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - htt*://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro[.com]/housecall/xscan53 .cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - htt*://[www].ravantivirus[.com]/scan/ravonline .cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - htt*://messenger.msn[.com]/download/MsnMessengerSetupDownloader .cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - htt*://ax.emsisoft[.com]/axscan .cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - htt*://download.mcafee[.com]/molbin/iss-loc/mcfscan/2,1,0,4661/mcfscan .cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - htt*://creative[.com]/su/ocx/15016/CTPID .cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
poi estirpa il messenger per adesso caso mai + avanti lo reinstalli o userai quello web...
togli asus prob che abbiamo notato che da letture sbagliate..e quindi molte volte inutili o dannose...
poi riposta un nuovo log così possiamo concentrarci meglio sulle cose veramente dannose senza avere in emzzo tutte quelle schifezze..
ciaoooooooooo
|
Modificato da - n/a in data 31/12/2005 14:00:10 |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 31/12/2005 : 14:27:22
|
Avvia in provvisoria,poi Start-Esegui e digita regedit e premi invio
Vai in questa chiave HKEY_LOCAL_MACHINE/Software/Microsoft/Security Center
nel pannello di Dx trovi questi valori
AntiVirusDisableNotify = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallOverride = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
Modificali in questi
AntiVirusDisableNotify = "dword:00000000"
FirewallDisableNotify = "dword:00000000"
AntiVirusOverride = "dword:00000000"
FirewallOverride = "dword:00000000"
UpdatesDisableNotify = "dword:00000000"
cerca questa chiave
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/SharedDLLs
nel pannello di Dx cancella questo valore {Common Folder}\System\wab32.dll = "dword:0091f908"
cerca questa chiave
HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/WindowsFirewall/DomainProfile
trovi questo valore
EnableFirewall = "dword:00000000" cambialo in questo EnableFirewall = "dword:00000001"
cerca questa chiave
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Security
cancella questi valori nel pannello di Dx
id = "648148565556"
rpt = "dword:000013b6"
dll = "dword:00000000"
cerca questa chiave
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones
cancella questi valori nel pannello di Dx
1001 = "dword:00000001"
1004 = "dword:00000001"
1200 = "dword:00000000"
1809 = "dword:00000003"
cerca questa chiave
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones
cancella questi valori nel pannello di Dx
1001 = "dword:00000001"
1004 = "dword:00000001"
1200 = "dword:00000000"
1809 = "dword:00000003"
Chiudi il regedit
Disabilita il ripristino,visualizza file e cartelle di sistema,svuota i tmp,cookies e cestino attiva gli ActiveX (Istruzioni) e fai una scansione online Quì
Finita la scansione Aggiorna Spyboot e lancia una scansione inoltre pulisci il regedit con RegSeeker
Per il log fixa le voci segnate nel post di Vanx,dopo posta un altro log che togliamo delle voci inutili in avvio.
__________________________________________________
Modificato: Messo in risalto "Disabilita ripristino" passaggio molto importante |
Modificato da - n/a in data 31/12/2005 14:32:03 |
|
|
|
max1850
Starting Member
11 Messaggi |
Inserito il - 31/12/2005 : 16:15:51
|
Che casino! Fino ad ora ho fatto queste cose (mi iniziano a girare gli occhi...)  ...:
[quote]Messaggio inserito da Alexsandra
Avvia in provvisoria,poi Start-Esegui e digita regedit e premi invio
Vai in questa chiave HKEY_LOCAL_MACHINE/Software/Microsoft/Security Center
nel pannello di Dx trovi questi valori
AntiVirusDisableNotify = "dword:00000001"
FirewallDisableNotify = "dword:00000001"
AntiVirusOverride = "dword:00000001"
FirewallOverride = "dword:00000001"
UpdatesDisableNotify = "dword:00000001"
Modificali in questi
AntiVirusDisableNotify = "dword:00000000"
FirewallDisableNotify = "dword:00000000"
AntiVirusOverride = "dword:00000000"
FirewallOverride = "dword:00000000"
UpdatesDisableNotify = "dword:00000000"
Questi valori erano già così
--------------------------
cerca questa chiave
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/SharedDLLs
nel pannello di Dx cancella questo valore {Common Folder}\System\wab32.dll = "dword:0091f908"
questa chiave non c'è
--------------------------
cerca questa chiave
HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/WindowsFirewall/DomainProfile
trovi questo valore
EnableFirewall = "dword:00000000" cambialo in questo EnableFirewall = "dword:00000001"
questa chiave non c'è
--------------------------
cerca questa chiave
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Security
cancella questi valori nel pannello di Dx
id = "648148565556"
rpt = "dword:000013b6"
dll = "dword:00000000"
questa chiave non c'è
--------------------------
cerca questa chiave
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones
cancella questi valori nel pannello di Dx
1001 = "dword:00000001"
1004 = "dword:00000001"
1200 = "dword:00000000"
1809 = "dword:00000003"
cerca questa chiave
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones
cancella questi valori nel pannello di Dx
1001 = "dword:00000001"
1004 = "dword:00000001"
1200 = "dword:00000000"
1809 = "dword:00000003"
queste chiavi ci sono, ma non sono in ...\Zones, ma sono in:
..\Zones\0
..\Zones\1
..\Zones\2
ecc..
li cancello lo stesso?
--------------------------
Chiudi il regedit
Disabilita il ripristino,visualizza file e cartelle di sistema,svuota i tmp,cookies e cestino attiva gli ActiveX (Istruzioni) e fai una scansione online Quì
Finita la scansione Aggiorna Spyboot e lancia una scansione inoltre pulisci il regedit con RegSeeker
Per il log fixa le voci segnate nel post di Vanx,dopo posta un altro log che togliamo delle voci inutili in avvio.
__________________________________________________
Ho fatto quasi tutto (aggiornato Spybot, lanciato RegSeeker che mi ha trovato 108 voci di registro errate, eliminato cookie, temporanei e cestino, e ho disabilitato il ripristino del windows) tranne la scansione online e non ho ancora fixato le voci suggeritemi da Vanx.
Però ho riavviato il windows e si presenta ancora lo stesso problema!
Che faccio?
Procedo con HikackThis a fixare le voci?
Max! |
Modificato da - max1850 in data 31/12/2005 16:17:41 |
|
|
|
max1850
Starting Member
11 Messaggi |
Inserito il - 31/12/2005 : 16:42:04
|
Allora...
ho fixato le voci suggeritemi da Vanx ma niente!
Il virus appare di nuovo al riavvio del windows! Ma ora il Norton me lo segnala con un altro nome! Ora si chiama "Backdoor.Sdbot". 
Vi posto il nuovo file di log di HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 16.33.54, on 31/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Spyware Nuker\swnxt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\DVD 8\+++++++ Hijackthis +++++++\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ASUS Probe] C:\Programmi\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SWN2] C:\Programmi\Spyware Nuker\swnxt.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A77EAEE9-DE83-4837-808D-76A2006D01B1}: NameServer = 85.37.17.51 151.99.125.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\Norton Internet Security\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
In questo momento è iniziata la scansione antivirus online dal sito della "Trend Micro" suggeritami da Alexsandra"... 
P.S.: ho provato ad installare l'AVG Free ma durante l'installazione mi esce l'errore: "Action Failed for Registry Value HKLM\SOFTWARE\Classes\Component Categories\{56FFCC30-D398-11D0-B2AE-00A0C908FA49}:409: creating registry value....
Accesso negato. (5)"
Sarà certamente il virus a bloccare l'installazione! Peccato perchè penso che l'AVG l'avrebbe tolto...è molto potente..forse più del NOD32!
Ciao
Max!
Max! |
Modificato da - max1850 in data 31/12/2005 16:55:15 |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 31/12/2005 : 17:28:17
|
Il mio post precedente era relativo al virus che hai fornito tu Trojan.Dropper. e questo è il link di rimozione
htt*://it.trendmicro-europe[.com]/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=2&VName=TROJ_DROPPER.FO
Se adesso ti segnala Backdoor.Sdbot questo è il link di rimozione
htt*://securityresponse.symantec[.com]/avcenter/venc/data/backdoor.sdbot.html |
|
|
|
max1850
Starting Member
11 Messaggi |
Inserito il - 31/12/2005 : 19:45:34
|
Citazione:
Messaggio inserito da Alexsandra
Il mio post precedente era relativo al virus che hai fornito tu Trojan.Dropper. e questo è il link di rimozione
htt*://it.trendmicro-europe[.com]/consumer/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=2&VName=TROJ_DROPPER.FO
Se adesso ti segnala Backdoor.Sdbot questo è il link di rimozione
htt*://securityresponse.symantec[.com]/avcenter/venc/data/backdoor.sdbot.html
In effetti ora ci sono entrambi i virus!
Invece di migliorare le cose qui si stanno peggiorando!
Sapete come posso installare l' AVG nonostante mi dia quell'errore durante l'installazione?
Grazie
Max! |
Modificato da - max1850 in data 31/12/2005 19:46:18 |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 01/01/2006 : 13:15:38
|
Posta il percorso completo dove vengono trovati i virus.
(vedi il file "report" che ti crea il tuo AV) |
|
|
|
max1850
Starting Member
11 Messaggi |
Inserito il - 01/01/2006 : 14:05:04
|
Salve e Buon anno a tutti!
Penso di aver risolto il problema senza mettere mano al registro del WIndows XP (ed evitando di creare ulteriori casini)! 
Vi spiego come ho fatto:
dalla modalità provvisoria, visto che non si installava l'AVG, ho installato un altro antivirus molto potente (a mio avviso) che è Avast! 4.0 e l'ho fatto lavorare in accoppiata al NOD32. Avast mi ha tolto tantissimi altri virus che il NOD32 non vedeva (erano tutti W32.xxx).
Al riavvio del Windows (in modalità normale) era ritornato tutto ok! Avast avrà quindi cancellato anche il trojan residente nel mio registro!
Grazie a tutti della collaborazione e della velocità di risposta, contando che siamo in giorni di festa!
Auguri di nuovo!!!
Max!
|
Modificato da - max1850 in data 01/01/2006 14:07:33 |
|
|
| |
Discussione |
|
Voce registro che fa creare il Trojan.Dropper
Forum Bloccato
