Backdoor.sdbot.gen

Lucifero1 · July 3, 2006

Ragazzi ho lo stesso indentico Dialer di orangesky vi posto il mio log

Ps ma come funziona Spyware blaster non ho capito come rimuovere i file -.-

Logfile of HijackThis v1.99.1

Scan saved at 19.21.05, on 03/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\SOUNDMAN.EXE

C:\WINNT\system32\TrayIcon.exe

C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe

C:\WINNT\system32\nvsvc32.exe

C:\Programmi\D-Tools\daemon.exe

C:\WINNT\system32\PGPserv.exe

C:\Programmi\PGP Corporation\PGP for Windows 2000\PGPtray.exe

C:\WINNT\system32\svchost.exe

C:\Programmi\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Programmi\eMule\emule.exe

C:\Programmi\MSN Messenger\msnmsgr.exe

C:\DOCUME~1\ax\IMPOST~1\Temp\Rar$EX00.362\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {424351BC-9C49-4D9D-A334-D09CA4C7ACA9} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINNT\system32\TrayIcon.exe

O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [statusClient] C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Programmi\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [Ms Task Manager] tskmgr.exe

O4 - HKLM\..\Run: [Norton Antivirus CCDebug] CCSEVRT.exe

O4 - HKLM\..\Run: [secure Microsoft Windows] integitor.exe

O4 - HKLM\..\Run: [Configuration Loaders For Device XT] itunesa.exe

O4 - HKLM\..\Run: [Configuration Loader321] winamp.exe

O4 - HKLM\..\Run: [Microsoft Office Studio] scvhvst.exe

O4 - HKLM\..\Run: [msword] msword.exe

O4 - HKLM\..\Run: [Configuration Firewall Loader] msgfix32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 -lock

O4 - HKLM\..\RunServices: [Ms Task Manager] tskmgr.exe

O4 - HKLM\..\RunServices: [Norton Antivirus CCDebug] CCSEVRT.exe

O4 - HKLM\..\RunServices: [secure Microsoft Windows] integitor.exe

O4 - HKLM\..\RunServices: [Configuration Loaders For Device XT] itunesa.exe

O4 - HKLM\..\RunServices: [Configuration Loader321] winamp.exe

O4 - HKLM\..\RunServices: [stone] stone.exe

O4 - HKLM\..\RunServices: [Configuration Firewall Loader] msgfix32.exe

O4 - HKCU\..\Run: [Ms Task Manager] tskmgr.exe

O4 - HKCU\..\Run: [secure Microsoft Windows] integitor.exe

O4 - HKCU\..\Run: [Configuration Loader321] winamp.exe

O4 - HKCU\..\Run: [msword] msword.exe

O4 - HKCU\..\Run: [Microsoft Office Studio] scvhvst.exe

O4 - HKCU\..\Run: [Configuration Firewall Loader] msgfix32.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: PGPtray.lnk = C:\Programmi\PGP Corporation\PGP for Windows 2000\PGPtray.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINNT\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINNT\system32\shdocvw.dll

O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mp4: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll

O15 - Trusted Zone: www.1987324.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{980843FA-8047-44C7-BD0C-B5D176BBF4F5}: NameServer = 193.70.152.15 193.70.152.25

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winuwh32 - C:\WINNT\SYSTEM32\winuwh32.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: PGPserv - PGP Corporation - C:\WINNT\system32\PGPserv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINNT\System32\PSEXESVC.EXE

Kuma · July 3, 2006

iao e Ben arrivato/a nel forum, ...lucifero1

Ti invito a personalizzare la tua presenza in WinInizio aggiungendo una firma e un'avatar al tuo profilo personale; se non sai come fare

clicca qui

Se vuoi presentarti alla comunità perchè non fai un salto in "Benvenuto", la discussione creata proprio per accogliere i nuovi iscritti.

Ricordati, infine, di aprire nuove discussioni usando titoli specifici: un titolo troppo generico come "Aiuto" o "Consiglio" è inutile perchè non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti.

Buona permanenza in WinInizio!

**********************************controllo in corso--->

Kuma · July 3, 2006

Siamo messi maluccio in casi come il tuo sarebbe meglio una formattazione per garantire la piena riuscita... comunque se vuoi provare ad operare segui queste istruzioni (potrebbe richiedere tempo...)

Per prima cosa, scarica BITDEF 8 FREE, aggiornalo e fai una prima scansione

Poi Scarica STINGER

(lo devi usare dopo....)

Quindi

Scarica i programmi consigliati (che ti mancano) elencati in QUESTA PAGINA

perchè oltre che con Hijack ti serviranno anche per una futura manutenzione del Pc

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni ------ > (Stampa la pagina) oppure fai un copia/incolla e salva il file con le istruzioni sul desktop...

(L'opzione STAMPA è in alto a destra:)

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

Avvia STINGER e fallo scansionare ... al termine

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

O2 - BHO: (no name) - {424351BC-9C49-4D9D-A334-D09CA4C7ACA9} - (no file)

O4 - HKLM\..\Run: [Ms Task Manager] tskmgr.exe

O4 - HKLM\..\Run: [Norton Antivirus CCDebug] CCSEVRT.exe

O4 - HKLM\..\Run: [secure Microsoft Windows] integitor.exe

O4 - HKLM\..\Run: [Configuration Loaders For Device XT] itunesa.exe

O4 - HKLM\..\Run: [Configuration Loader321] winamp.exe

O4 - HKLM\..\Run: [Microsoft Office Studio] scvhvst.exe

O4 - HKLM\..\Run: [msword] msword.exe

O4 - HKLM\..\Run: [Configuration Firewall Loader] msgfix32.exe

O4 - HKLM\..\RunServices: [Ms Task Manager] tskmgr.exe

O4 - HKLM\..\RunServices: [Norton Antivirus CCDebug] CCSEVRT.exe

O4 - HKLM\..\RunServices: [secure Microsoft Windows] integitor.exe

O4 - HKLM\..\RunServices: [Configuration Loaders For Device XT] itunesa.exe

O4 - HKLM\..\RunServices: [Configuration Loader321] winamp.exe

O4 - HKLM\..\RunServices: [stone] stone.exe

O4 - HKLM\..\RunServices: [Configuration Firewall Loader] msgfix32.exe

O4 - HKCU\..\Run: [Ms Task Manager] tskmgr.exe

O4 - HKCU\..\Run: [secure Microsoft Windows] integitor.exe

O4 - HKCU\..\Run: [Configuration Loader321] winamp.exe

O4 - HKCU\..\Run: [msword] msword.exe

O4 - HKCU\..\Run: [Microsoft Office Studio] scvhvst.exe

O4 - HKCU\..\Run: [Configuration Firewall Loader] msgfix32.exe

O15 - Trusted Zone: www.1987324.com

O20 - Winlogon Notify: winuwh32 - C:\WINNT\SYSTEM32\winuwh32.dll

Trova e se ci sono elimina questi files o cartelle

???\ tskmgr.exe (<- da cercare) [Worm Sdbot.ccd]

???\ CCSEVRT.exe (come sopra)

???\integitor.exe (<- da cercare) [Worm integitor]

???\ itunesa.exe (<- da cercare... sconosciuto) Non è iTunes

???\ winamp.exe (<- da cercare... sconosciuto) Non è Winamp

???\ scvhvst.exe (<- da cercare) [virus W32.Randex]

???\ msword.exe (<- da cercare) [virus W32.Unch]

???\msgfix32.exe (<- da cercare) [Worm Sdbot]

???\stone.exe (<- da cercare) [Worm AgaBot]

C:\WINNT\SYSTEM32\winuwh32.dll (sconosciuto)

Sempre dalla modalità provvisoria ripeti le scansioni di sicurezza

(SpyBot, e Ad-Aware e antivirus AGGIORNATI) ... APPLICA LE PROTEZIONI DI CwShredder e SpyWare Blaster.

Pulisci il registro con Eusing Free Registry Cleaner 1.0 (Pulizia del Registro)

Dai anche una ripulita a Cache e Cookies e file prefetch (XP) con: Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

(in seguito... Ccleaner usalo una volta al mese... se lo usi più spesso NON svuotare la cartella prefetch... se svuoti questa cartella troppo spesso potresti rallentare il sistema)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione

Collegati per una scansione On-line a: (Antivirus e Antispy) OBBLIGATORIO

oppure

poi

rifai il log e mettilo qui per un ulteriore controllo

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

Ricordati di creare un nuovo punto di RIPRISTINO al termine di questa procedura

_____________________________________________

PS___

Spyware Blaster non rimuove gli spyware, applica alcune protezioni al registro come prevenzione...

ma oltre a questo il tuo Pc ha bisogno di un ricovero in isolamento

Lucifero1 · July 3, 2006

Domanda ma Spyblaster a che serve ? cioè cosa devo selezionare? per applicare le protezioni?

Steve Fox · July 3, 2006

Ecco una guida di Kuma

http://www.kuma215.it/Guide%20K&J/K/WI/SpywareBlast.html

Lucifero1 · July 4, 2006

Ma kuma sei un uomo o una macchina ? o un orso

Non vorrei cantar vittoria troppo presto ma mi sembra di aver debellato il problema

FENOMENALE !

Kuma · July 4, 2006

ehi conosci pure il giapponese ?

Rimettimi il log aggiornato che facciamo un ultimo controllo

Lucifero1 · July 4, 2006

Ecco qui

:omaggi:

Logfile of HijackThis v1.99.1

Scan saved at 15.51.08, on 04/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\WINNT\system32\TrayIcon.exe

C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe

C:\Programmi\D-Tools\daemon.exe

C:\Programmi\Softwin\BitDefender8\bdnagent.exe

C:\Programmi\PGP Corporation\PGP for Windows 2000\PGPtray.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Programmi\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\PGPserv.exe

C:\WINNT\system32\svchost.exe

C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Documents and Settings\ax\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINNT\system32\TrayIcon.exe

O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [statusClient] C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Programmi\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\I-Storm USB ADSL Modem\CnxDslTb.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 -lock

O4 - HKLM\..\Run: [bDMCon] "C:\Programmi\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\Programmi\Softwin\BitDefender8\bdnagent.exe"