| Autore |
 Discussione  |
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 05/01/2006 : 11:57:58
|
|
Anche a me appariva poi sempre in restore volume information...chissa' perche' mah |
 |
|
|
n/a
deleted
1470 Messaggi |
 Inserito il - 05/01/2006 : 12:05:38
|
Citazione:
Messaggio inserito da mara
Anche a me appariva poi sempre in restore volume information...chissa' perche' mah
Perchè in quella cartella vengono memorizzati i punti di ripristino.
disattivando il punto di ripristino vengono cancellati tutti.
poi quando il pc è pulito devi creare un nuovo punto di ripristino. |
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 05/01/2006 : 13:26:19
|
Non ci posso credere!!!
Ancora lui!!!!!!!!
Stavo rispondendo ad alcune mail, sono andato a mangiare ed al ritorno mi ritrovo di nuovo questo dannato messaggio dell'Antivir:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BCB37F62-8C11-453D-9BFA-2195A52FF7AB}\RP117\A0009234.DLL
Is the Trojan horse TR/Adclicker.BS.1
Quindi ho fatto un nuovo log e te lo posto:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
A proposito tu mi scrivevi :
Il virus è sparito,ma è meglio che togli anche questi
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Io non li ho trovati con il msconfig!?!?
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 05/01/2006 : 14:16:13
|
Nel log che hai postato il - 05/01/2006 : 10:03:01 varie voci non c'erano e adesso compaiono. Rileggiti i passaggi dal post che ho citato e dimmi cosa hai fatto.
Adesso compare il messenger in background che non c'è in avvio?? oltre ai problemi che mi hai descritto.
Rileggi i post con le varie procedure,se non le hai capite posta che te le rispiego,ma purtroppo le devi seguire.
Attendo tue notizie. |
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 05/01/2006 : 14:33:51
|
unica cosa che non sò se ho fatto secondo le tue istruzioni riguarda appunto l'avvio di msconfig.
Tu mi hai detto di togliere la spunta a determinate voci; io ho eseguito. Poi, forse, ho omesso di riavviare il sistema (come richiesto)ed in seguito, di fronte alla finestra del msconfig, ho selezionato Avvio normale (e non quello selettivo).
Forse questo passaggio l'ho fatto dopo il log che ti ho mandato (05/01/2006 : 10:03:01 ) !?!?!?
A dire il vero ho ben 3 pc collegati in rete ma questi non sembrano essere infetti. (e msx.dll su questi non c'è) |
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 05/01/2006 : 14:44:03
|
alleess forza che se fai bene i procedimenti lo levi.
intanto disattiva il ripristino del sistema :
Per Windows XP operate in questo modo
1) Cliccate con il pulsante destro del mouse sull'icona Risorse del computer nel menù a tendina che compare cliccate su Proprietà
2) Selezionate la scheda "Ripristino configurazione di sistema"
3) Selezionate la voce "Disattiva ripristino configurazione di sistema"
4) Premete OK. Vi comparirà un avviso di conferma che verranno eliminati tutti i punti di ripristino memorizzati premete sul pulsante SI
Poi leva tutti i temporanei, cookies
x quelli di internet apri una pagina web a caso poi strumenti---opzioni internet--- clikki sul tastino che leva i cookies, la cronologia e i temporanei.
Scaricati prima di andare in provvisoria questo programma -->ccleaner---> htt*://[www].pc-facile[.com]/CCleaner_s255/ e controlla di avere anche Regseeker (x pulire il registro)
Io avevo usato come antivirus x pulire bene Karspersky la trial in prova x 30 giorni, la trovi qui:htt*://[www].kaspersky[.com]/trials (prendi la personal 5.0) ferma antivir e installala (siccome non ti si forma icona sul desktop crea tu un collegamento a kasp sul desktop per poi riprenderlo in provvisoria)
Vai poi a lavorare in modalita' provvisoria --->start--riavvia il pc----premi f8 ripetutamente finche' vedi lo schermo nero con delle scritte tra cui modalita' provvisoria, col cursore della tastiera arrivi fino a modalita' provvisoria e poi dai l'invio col tasto invio, ti chiedera' poi se il sistema operativo e' xp..dai ancora l'invio e poi ti entrera' in provvisoria
Vai su una cartella a caso--poi strumenti---opzioni cartella--->visualizza file e cartelle nascoste---e poi levi la spunta anche a -->nascondi file protetti e di sistema
Pulisci con CCLEANER.
Fai partire una scansione di tutto il pc con Kaspersky, finita la scansione se ti trova qualcosa tu clicca su Process....poi ti chiede se cancellare, tu dai l'ok!
Poi naturalmente segui quello che ti dice Ale che e' molto esperta, io ti ho detto in parte come l'ho levato io. Se kasp trova qualcosa segnati nome virus e percorso, poi fallo cancellare a lui, se non riesce almeno hai il percorso da seguire manualmente
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 05/01/2006 : 14:47:50
|
Citazione:
Messaggio inserito da aalleess
Non ci posso credere!!!
Ancora lui!!!!!!!!
Stavo rispondendo ad alcune mail, sono andato a mangiare ed al ritorno mi ritrovo di nuovo questo dannato messaggio dell'Antivir:
C:\SYSTEM VOLUME INFORMATION\_RESTORE{BCB37F62-8C11-453D-9BFA-2195A52FF7AB}\RP117\A0009234.DLL
Se tu hai seguito le mie istruzioni quanto hai quotato è impossibile.
Togliendo il ripristino di sistema,tutti i vari ripristini fatti vengono cancellati e guarda caso sono memorizzati in quella cartella.
pertanto se lo hai fatto il virus memorizzato in quella cartella viene cancellato.
Se poi hai messo in rete 3 pc che ti avevo raccomandato di fare in altro modo allora il discorso cambia.
Se lo vuoi togliere devi fare 1 pc alla volta,senza la connessione di rete e seguire le istruzioni che ti ho postato. |
|
|
|
Er-Gladiatore
Advanced Member
Città: Roma
2540 Messaggi |
Inserito il - 05/01/2006 : 14:49:42
|
Vedo che molti sono stati infettati da questo Virus...che ne dici Ale di creare una guida su come levarlo definitivamente?
Naturalmento dopo aver aiutato aalleess  |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 05/01/2006 : 14:55:23
|
Ho già postato all'Admin i problemi,vediamo cosa farà.
Io vado in ferie,finisco quello cominciato,ma abbiamo bisogno di qualche supporto in più.
Non tanto di guide,ma di procedimenti che gli utenti debbano seguire,sto postando in 2-3 discussioni la stessa identica procedura,se questa fosse nel forum !!!!!!.
|
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 05/01/2006 : 14:59:16
|
Buone ferie Ale! 
Come farai senza No Trace? hehehehe |
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 05/01/2006 : 15:16:41
|
ok, ok
va bene, hai ragione a "sgridarmi" ma ti assicuro che sono innocente.
Ho tralasciato questi "dettagli" perchè li credevo irrilevanti.
Questa è la situazione in toto:
Ho un pc principale collegato ad un router ed un hub.
A questo hub ho altri 3 computer collegati (2 quasi sempre spenti ed il portatile che uso per stampare i conti della mia azienda -un piccolo hotel)
La posta la controllo esclusivamente dal pc principale e la rete mi serve solo principalmente per trasportare file da un pc all'altro e per consentire l'utilizzo di internet ai mie clienti (per questo ad un pc è collegato un sistema che controlla l'accesso alla rete, non permette download e ripulisce la macchina ogni volta che l'utente si collega) che in questo periodo "non ci sono"
Ho seguito i passaggi che mi hai detto alla lettera per quanto mi era possibile.
Solo quando mi hai detto "il log è pulito,non riattaccare il pc in rete.
per il portatile(che sarebbe l'altro pc in lan)hai accesso internet?
se lo hai posta un log di HJK senza attaccarlo in rete" io in effetti l'ho staccato, ho fatto tutto e poi l'ho ricollegato. Inoltre non ho fatto l'HJK perchè non ho il programma sul portatile e non volevo collegarmi alla rete finche non è tutto "finito".
Concludendo, penso che quello che mi è rimasto non è il virus ma una piccola scheggia impazzita che vaga sulla macchina. Non si presenta più ogni volta che apro una finestra ma solo una volta ogni tanto senza motivo apparente.
Io rifarei tutto un'altra volta e, se è neccessario anche sulle altre macchine, ma tu dovresti ridarmi la sequenza delle operazioni da seguire (mi sono in effetti un pò perso tra i vari post)
Soprattutto dovresti spiegarmi quella cosa del msconfig : quì devo deselezionare alcune voci, ma poi mi chiede ri riavviare e, sopratutto al riavvio mi chiede se voglio l'avvio selettivo o normale.....cosa faccio???!)
Be penso di aver detto tutto
|
|
|
|
mara
Senior Member
Città: milano
203 Messaggi |
Inserito il - 05/01/2006 : 16:00:30
|
Ah ma io pensavo andassi in ferie sul serio.....in un' isoletta al caldo 
Comunque concordo con quello che dici, mica puoi perdere ore a scrivere sul forum.
|
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 05/01/2006 : 16:43:40
|
Aalleess la faccenda adesso è più chiara,quando un pc è in Lan ed è infetto,vengono infettati anche gli altri,avevo immaginato qualcosa del genere per questo ti ho scritto in grassetto di non attaccarlo in rete.
Adesso devo scappare via,ti rispondo stasera quando arrivo a casa,la soluzione non è molto grave,credo che il grosso lo abbiamo fatto |
|
|
|
aalleess
Junior Member
62 Messaggi |
Inserito il - 05/01/2006 : 20:48:42
|
Ciao Alexsandra,
a dire il vero penso di aver risolto un'altra volta.
Dunque, ho controllato gli altri pc e non ho trovato nulla di particolare (nessun file sospetto).
Al chè ho scollegato tutti i pc ed ho rifatto le varie operazioni un'altra volta.
Non ho rimesso avvio normale in msconfig ma ho mantenuto l'avvio selettivo. Ho fixato un paio di voci con hjk e sembra tutto ok.
Sul portatile ho installato hjk e l'ho fatto girare. Il log che mi dava sembrava piuttosto "candido" ed, alla fine ho ricollegato tutto.
Erano circa le 15:30 quando ho finito e, da allora non ho avuto nessunissimo problema.
Di seguito ti riporto il log del pc principale (quello che è stato infettato) e, di seguito il log del portatile:
Pc principale
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Pc portatile
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HP\Digital Imaging\bin\hpqgalry.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
Gli altri due pc non ho avuto il tempo di esaminarli ma non credo siano nemmeno stati accesi in questi ultimi giorni.
A proposito un mio amico, anch'egli infettato dal virus ha avuto problemi per 4 giorni e da ieri, senza fare nulla, i messaggi sono cessati e sembra tutto ok.
Gli ho detto di controllare se ha il msx.dll e mi dice di sì (strano no?)
Un altro amico ha ricevuto quella mail del "video divertente" che richiede il codec. Lui ha scaricato il codec ed ha visto il video!!! senza avere nessun problema (molto strano no?)
Ad ogni modo Buon Anno a tutti |
|
|
|
n/a
deleted
1470 Messaggi |
Inserito il - 05/01/2006 : 21:16:01
|
Vedo uno scanner nel portatile,dei processi "inutili"in avvio ,ma il log è pulito. per i tuoi amici se hanno quella dll e hanno aperto quel codec non ti fidare di quello che dicono.
Se uno non ha i mezzi per verificare il sistema non può accorgersi di quello che gli succede. se adesso sei a posto con i tuoi pc,continua a frequentare il forum,tante cose si possono imparare leggendo i problemi degli altri e così impari anche a capire quando il tuo pc ha bisogno di una "sistemata".
Tanto sai già dove andare. Ok consideriamo a risolto il problema e quando hai bisogno ......siamo quì
PS. Guarda che mi ricordo che hai detto che hai un hotel,se l'Admin decide di fare il meeting,un piccolo sconto ce lo fai???? dove hai l'hotel???? OK anche in via privata così magari ti veniamo a trovare,tanto paga Nazzareno
Ciao |
|
|
|
Discussione |
|
virus bomka che non se ne và
Forum Bloccato
