| Autore |
 Discussione  |
|
Zaio
New Member
46 Messaggi |
 Inserito il - 18/04/2007 : 13:09:08
|
Ciao a tutti,
come un altro utente del forum (cicciapiccia) mi sono beccato un virus che, quando apro IE, apre anche un altra finestra con titolo CiD o altre finestre con pubblicità di casinò ecc.. Ho visto che l'utente burrito ha risolto il problema analizzando il log prodotto con HijackThis. Ho seguito le istruzioni date a cicciapiccia ed ho prodotto il log che si trova al seguente indirizzo:
htt*://depositfiles[.com]/files/780016
Chiedo aiuto per sapere cosa fare a fronte di quanto presente nel log.
Grazie a tutti in anticipo 
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 18/04/2007 : 14:10:14
|
apri hijack e spunta queste voci:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [bind internet wave chin] C:\Documents and Settings\All Users\Dati applicazioni\heart mp3 bind internet\thunk manager.exe
O4 - HKCU\..\Run: [gram trans] C:\DOCUME~1\Andrea\DATIAP~1\Mp3Atom\manager 16 scr.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: [No-Spam]xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: *******! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\*******!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: *******! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\*******!\MESSEN~1\YPager.exe (file missing)
O15 - Trusted Zone: [www].archiviosex.net
O15 - Trusted Zone: [www].linkautomatici[.com]
O15 - Trusted Zone: [www].master69.biz
O15 - Trusted Zone: [www].master70.biz
O15 - Trusted Zone: [www].master71.biz
O15 - Trusted Zone: [www].sgrunt.biz
O15 - Trusted Zone: [www].skymasters.biz
O15 - Trusted Zone: [www].yeak.net
alla fine dopo averle spuntate clicca su "FIX CHECKED"
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli
files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\heart mp3 bind internet\thunk manager.exe
C:\DOCUME~1\Andrea\DATIAP~1\Mp3Atom\manager 16 scr.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
poi scaricati subito spybot (htt*://[www].spybot.info/it/download/index.html), lo aggiorni e scansioni 
scaricati anche lspfix.exe da qui (htt*://[www].cexx.org/lspfix.htm)
alla fine di tutto posta un altro log di hijack
|
Modificato da - Leleago in data 18/04/2007 14:15:01 |
 |
|
|
Zaio
New Member
46 Messaggi |
Inserito il - 18/04/2007 : 22:23:32
|
Tutto fatto.
Ecco il nuovo log di HijackThis:
htt*://freefilehosting.net/download/MTgyMTA0
Grazie  |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 18/04/2007 : 23:00:47
|
fixa
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: [No-Spam]xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
e la scansione con spybot effettuala da provvisoria dato che sono rimaste queste voci
O10 - Unknown file in Winsock LSP: c:\programmi\neoteris\secure application manager\samnsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\neoteris\secure application manager\samnsp.dll
ciao |
|
|
|
Zaio
New Member
46 Messaggi |
Inserito il - 19/04/2007 : 13:02:20
|
Fatto.
Ecco il nuovo log:
htt*://freefilehosting.net/download/MTgyNDA4
Ciao  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 19/04/2007 : 14:16:35
|
restano da fixare ancora queste voci:
O4 - HKCU\..\Run: [gram trans] C:\DOCUME~1\Andrea\DATIAP~1\Mp3Atom\manager 16 scr.exe
O4 - HKLM\..\Run: [bind internet wave chin] C:\Documents and Settings\All Users\Dati applicazioni\heart mp3 bind internet\Thunkbyte.exe
hai usato avenger cm ti ho scritto per eliminare queste due voci????
anche queste voci nn sn sparite:
O10 - Unknown file in Winsock LSP: c:\programmi\neoteris\secure application manager\samnsp.dll
O10 - Unknown file in Winsock LSP: c:\programmi\neoteris\secure application manager\samnsp.dll
hai scansionato il pc con spybot??? hai scaricato lspfix.exe da qui (htt*://[www].cexx.org/lspfix.htm)
dimmi che risultati hai avuto con spybot e cn avenger!! |
|
|
|
Zaio
New Member
46 Messaggi |
Inserito il - 19/04/2007 : 15:02:27
|
Ho fixato le due voci O4 con HijackThis.
La volta precedentemente avevo usato Avenger per eseguire lo script
files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\heart mp3 bind internet\thunk manager.exe
C:\DOCUME~1\Andrea\DATIAP~1\Mp3Atom\manager 16 scr.exe
come avevi suggerito.
Le voci O10 le ho eliminate con LSPFix.
Precedentemente avevo scansionato il PC con Spybot (ma non so cosa voglia dire "la scansione con spybot effettuala da provvisoria") ed eliminato un po' di voci. Avenger aveva rebootato il PC ed eseguito correttamente lo script.
Ti allego il nuovo log di HijackThis:
htt*://freefilehosting.net/download/MTgyNDky
Grazie e ciao
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 19/04/2007 : 15:11:58
|
ora il log va meglio rimane quest'ultima voce da fixare:
O4 - HKCU\..\Run: [gram trans] C:\DOCUME~1\Andrea\DATIAP~1\Mp3Atom\manager 16 scr.exe
dopo averla fixata posta un ultimo log |
|
|
|
Zaio
New Member
46 Messaggi |
Inserito il - 19/04/2007 : 15:21:36
|
Fatto!
Ecco l'ultimo log:
htt*://freefilehosting.net/download/MTgyNTEy
Ciao  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 19/04/2007 : 15:54:41
|
| finalmente tutto ok |
|
|
|
Zaio
New Member
46 Messaggi |
Inserito il - 19/04/2007 : 16:02:38
|
Bene !
Grazie mille. |
|
|
|
Zaio
New Member
46 Messaggi |
Inserito il - 19/04/2007 : 16:08:40
|
Però l finestra CiD mi esce ancora
htt*://freefilehosting.net/download/MTgyNTY0
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 19/04/2007 : 19:03:50
|
è davvero strano ma guardando il tuo ultimo log si è ricreato questa voce: O4 - HKCU\..\Run: [gram trans] C:\DOCUME~1\Andrea\DATIAP~1\Mp3Atom\manager 16 scr.exe
deve essere a causa di questa che ti appare cid virus!
senti cosa ti dicono aris o michal
intanto scarica GMER htt*://[www].gmer.net/ scopatta, sempre sul desktop il file gmer.zip.
esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Esegui gmer.exe
Clicca sul Tab "Autostart"
Clicca su "Scan"
finita la scansione clicca su "Copy"
Apri il Blocco Note incolla il risultato (CTRL+V)
Copia in questa discussione entrambi i log
secondo le regole
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255 |
Modificato da - Leleago in data 19/04/2007 19:04:45 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 19/04/2007 : 20:18:15
|
riprova prima con avenger, script:
files to delete:
C:\DOCUME~1\Andrea\DATIAP~1\Mp3Atom\manager 16 scr.exe
folders to delete:
C:\DOCUME~1\Andrea\DATIAP~1\Mp3Atom
|
|
|
|
Zaio
New Member
46 Messaggi |
Inserito il - 20/04/2007 : 09:12:57
|
Ho fatto solo quello che dice Michael.
ecco il log di Avenger
htt*://freefilehosting.net/download/MTgzMTA1
ed il log di HiJackThis
htt*://freefilehosting.net/download/MTgzMTA3
Ciao  |
|
|
|
Orange
Junior Member
52 Messaggi |
Inserito il - 20/04/2007 : 09:54:10
|
ciao a tutti e scusate se m'impiccio nuovamente..
volevo dire che CiD non è un virus, ma un "servizio" in aggiunta a MSN Plus.
Installando MSN Messenger (e i suoi aggiornamenti) dovete avere l'accortezza di non accettare i sponsor. (infatti dipende da loro). Spuntate la voce I refuse to give my support, don’t install the sponsor.
Se avete già scaricato l'aggiornamento MSN Plus , accettando i sponsor, sicuramente vi è stato installato l'eseguibile THIRDSIGN .exe.
Nella vostra cartella Programmi/MSN trovate e disinstallate questo file. Vi verrà chiesto un codice (riportato nella stessa cartella), copiatelo e cliccate.
Al limite si puo risolvere disinstallando MSN e reinstallandolo nuovamente (senza sponsor!) |
|
|
|
Discussione |
|
CiD Virus
Forum Bloccato
