| Autore |
 Discussione  |
|
aalleess
Junior Member
62 Messaggi |
 Inserito il - 04/01/2006 : 12:48:04
|
Ecco fatto quello che dicevi Vanx.
Non trovo perō il 017 e spero di non aver fatto male ad incollare tutto cosė.
In attesa ringrazio molto molto...
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\system32\msx.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\system32\gtrack.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\system32\kaboom.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - htt*://creative[.com]/su/ocx/15015/CTSUEng .cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - htt*://creative[.com]/su/ocx/15016/CTPID .cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Ciao
|
|
|
mara
Senior Member
Cittā: milano
203 Messaggi |
Inserito il - 04/01/2006 : 12:54:19
|
Come ti capisco aallees!!!!!
Nel tuo log comunque c'e' la dll del virus bastardo !
eccola: O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\system32\msx.dll
quella la dovrai levare sicuramente, pero' Ale o qualcuno ti diranno precisamente cos'altro levare, io sono novellina!
Stai sereno che il virus lo levi, se ce l ho fatta io figuriamoci!
Per levare le cose che ti diranno dovrai mettere una spunta di lato ad ognuna e poi cliccare su Fixa (cancella). Pero' per ora aspetta che ti dicano bene loro cosa fixare
ciaoooo |
 |
|
|
mara
Senior Member
Cittā: milano
203 Messaggi |
Inserito il - 04/01/2006 : 12:58:24
|
Ah dimenticavo hai anche queste 2 che fanno parte del virus:
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\system32\kaboom.dll
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\system32\gtrack.dll
Questo programma e' comodissimo vedrai che leverai tutto bene.
Aspetta Vanx Ale o Gladiator
baci
|
|
|
|
Er-Gladiatore
Advanced Member
Cittā: Roma
2540 Messaggi |
Inserito il - 04/01/2006 : 13:05:58
|
Riavvia in modalitā provvisoria e FIXA questi:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\system32\msx.dll
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\system32\gtrack.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\system32\kaboom.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll <-- Toolbar di Google ti rallenta in internet consiglio di levarla
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll <-- Toolbar di Google ti rallenta in internet consiglio di levarla
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - htt*://creative[.com]/su/ocx/15015/CTSUEng .cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - htt*://creative[.com]/su/ocx/15016/CTPID .cab
Ora posta un nuovo LOG !
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 04/01/2006 : 13:34:52
|
Mara e Glad ........
Per aalless
La chiave di attivazione del virus CLICKER BOMKA č questa dll msx.dll
cancella la dll (se non te lo permette avvia in provvisoria),fai un backup di regedit e cancella la relativa chiave (fai un cerca nel regedit selezionando la 1° voce "Risorse del computer" della dll)
Poi lancia HJK dalla provvisoria e fixa le chiavi BHO dove si colloca il virus
O2 - BHO: GoogleTracker - {4BC9A7AC-2329-49D0-B07F-5FE484029DC2} - C:\WINDOWS\System32\gtrack.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\System32\kaboom.dll
per sicurezza controlla che questo file C:\WINDOWS\System32\iewatch.exe non ci sia,se č presente cancellalo.
Segui le istruzioni di Mara e Glad |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 04/01/2006 : 13:36:14
|
| Dimenticavo dal tuo log vedo che hai il centro di sicurezza attivo,devi disattivarlo e disattivare anche il Firewall di XP SP 2 che non ti protegge. |
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 04/01/2006 : 13:43:00
|
scusa gladiato,
ero a pranzo.
cosa intendi per fixa? come devo fare nello specifico?
Lo sō sono un bonzo ma migliorerō! |
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 04/01/2006 : 13:46:19
|
come posso riavviare in provvisoria?
|
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 04/01/2006 : 13:57:27
|
x alexsandra
Non mi č chiaro cosa intendi con "fai un cerca nel regedit selezionando la 1° voce "Risorse del computer" della dll"
Dove/cosa č il regedit ?
Inoltre ho paura di non essere del tutto in grado di "disattivare il centro di sicurezza attivo, e disattivare il Firewall di xp sp2. |
|
|
|
mrtheo
Junior Member
57 Messaggi |
Inserito il - 04/01/2006 : 14:06:06
|
ciao, per entrare in provvisoria riavvia il computer e prima del caricamento di Xp premi su F8 e scegli Modalitā provvisoria. E' una sorta di "versione leggera" per poter lavorare in situazione difficili.
Per qunato riguarda il Firewall vai su Start -> Pannello di controllo -> Centro di sicurezza PC -> Win Firewall e scegli disattiva e Ok.
Ciao |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 04/01/2006 : 14:19:31
|
Impeccabile la spiegazione di mrtheo.
per regedit quando sei dentro (Start-Esegui digiti Regedit e schiacci invio) ti compare una finestra con 2 pannelli. nel pannello di Sx ci sono le chiavi e nel pannello di Dx i valori.
La 1° voce nel pannello di Sx č "Risorse Computer" fai clik sopra in modo che si evidenzi e vai nel menų File,clicca su modifica e trovi "Cerca" ti compare un box e al suo interno digiti il nome della dll dai invio e ti cerca quel nome in tutto il registro.
Se trova qualche associazione ti porta direttamente nella chiave e devi solo cancellarla(tasto Canc),se trova un valore ti ricompare ancora il box e clicca su Trova sucessivo finchč non ti compare il messaggio La ricerca č stata portata a termine..... |
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 04/01/2006 : 14:47:51
|
Scusa tanto Alexsandra
ho disattivato il fire wall e l'antivirus.
ho aperto il regedit fatto modifica trova (selezionando le risorse del computer)attivando i flag "chiavi, valori e dati"
Ho cliccato su trova successivo ed adesso mi appare a dx :
sotto nome (Predefinito)
sotto tipo REG_SZ
sotto dati MSX
Non ho il coraggio di cliccare su predefinito e dare l'elimina !!!
Non č che combino danni?? |
|
|
|
Er-Gladiatore
Advanced Member
Cittā: Roma
2540 Messaggi |
Inserito il - 04/01/2006 : 14:58:46
|
aalleess come prosegue il lavoro ?  |
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 04/01/2006 : 15:03:39
|
male
non ci riesco da solo!! |
|
|
|
Er-Gladiatore
Advanced Member
Cittā: Roma
2540 Messaggi |
Inserito il - 04/01/2006 : 15:09:13
|
| Intanto posta in nuovo log |
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 04/01/2006 : 15:09:20
|
Alexsandra dice
"msx.dll
cancella la dll (se non te lo permette avvia in provvisoria),fai un backup di regedit e cancella la relativa chiave (fai un cerca nel regedit selezionando la 1° voce "Risorse del computer" della dll)"
Ma io l'impressione di combinare undanno se cancello cosė una dll!!!
|
|
|
|
Discussione |
|
virus bomka che non se ne vā
Forum Bloccato
