Accedi per seguire   
Seguaci 0
gateina

Tr/dldr.small.aba.2, Tr/spy.goldun.le...

16 messaggi in questa discussione

allora... mi connetto per la prima volta dopo due mesi di assenza forzata per cambio gestore di adsl... (odio la telecom! :locked: ) e alla prima connessione si apre avira Antivir e viene fuori questo:

Virus or unwanted program 'TR/Spy.Goldun.LE'

detected in file 'C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\HP0Z66XN\update[1].exe' [TR/Spy.Goldun.LE].

poi..

Virus or unwanted program 'TR/Spy.Goldun.LE'

detected in file 'C:\WINDOWS\e.exe' [TR/Spy.Goldun.LE].

poi..

Virus or unwanted program 'TR/Spy.Goldun.LE'

detected in file 'C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Norton AntiVirus Corporate Edition\7.5\APTemp\APQB.tmp' [TR/Spy.Goldun.LE].

poi..

Virus or unwanted program 'TR/Spy.Goldun.LE'

detected in file 'C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\O1MN4TUN\update[1].exe' [TR/Spy.Goldun.LE].

poi..

Virus or unwanted program 'TR/Spy.Goldun.LE'

detected in file 'C:\Documents and Settings\Administrator\Desktop\update.exe' [TR/Spy.Goldun.LE].

poi..

Virus or unwanted program 'TR/Spy.Goldun.LE'

detected in file 'C:\Documents and Settings\Administrator\Desktop\update.exe' [TR/Spy.Goldun.LE].

poi...

Virus or unwanted program 'TR/Spy.Goldun.LE'

detected in file 'C:\Documents and Settings\Administrator\Desktop\update.exe' [TR/Spy.Goldun.LE].

e alla fine:

Virus or unwanted program 'TR/Dldr.Small.ABA.2'

detected in file 'C:\WINDOWS\system32\lsalaiht.exe' [TR/Dldr.Small.ABA.2].

ho fatto tutte, ma tutte le pulizie del caso, sono andata anche manualmente a cercare i file, che vede, ma mi dice che è impossibile cancellarli perchè sono in uso oppure sono stato spostati.....

vi posto qui il mio log:

:regole:

Logfile of HijackThis v1.99.1

Scan saved at 12.47.16, on 07/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe

C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe

C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\Programmi\Spamihilator\spamihilator.exe

C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrator\Documenti\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [spywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3911FB22-CFE3-4726-BD34-4425193C1CF8}: NameServer = 85.37.17.10 85.38.28.86

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

c'è qualcuno così gentile da aiutarmi?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

vedo che hai installato sia Antivir che il Norton , quindi iop ti consiglierei di disisnstallarne al piu presto uno dei due....(Io mi terrei Antivir)

Per quanto riguarda quelle segnalazioni fai cosi ;

Scaruica Virit

Installalo / aggiornalo e fai uno scan completo del sistema...

* al limite fai anche uno scan online Kaspersky in questo modo

Alla fine posta i due log

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

wow sephirot!!!! :up1:

provo subito e poi posto i log allora!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao

prova a fare analizzare il file dell'ultima immagine su VIRUS TOTAL (nella mia firma)

Scarica ATF cleaner

http://www.atribune.org/ccount/click.php?id=1

Avvia ATF Cleaner

(se usi Firefox o Opera, selezionali dal menu in alto)

metti la spunta su "Select All" per ogni browser

e clicca su "Empty Select"

Elimina in MODALITà PROVVISORIA se non lo hai già fatto i file infetti:

C:\WINDOWS\e.exe

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Norton AntiVirus Corporate Edition\7.5\APTemp\APQB.tmp

C:\Documents and Settings\Administrator\Desktop\update.exe

C:\WINDOWS\system32\lsalaiht.exe'

Già che sei in modalità provvisoria, fai anche una scansione con ANTIVIR

Al termine, riavvia...

disinstalla il Norton, dal installazione applicazioni, poi, passa anche il tool che trovi qui:

http://service1.symantec.com/SUPPORT/INTER...v=&osv_lvl=

PRIMA di procedere, svuota la sua cartella di quarantena (se non lo hai già fatto)

Tieni solo Antivir come consigliato da Steve, ma prima di disinstallare VIRIT, prova a vedere se termina la scansione.... prima di farla, chiudi anche ANTIVIR e scollegati da Internet

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

kuma è tutto bloccato 40 minuti circa...

cosa faccio? riavvio?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Mi sembar che non ci sia altra alternativa :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

:) ho riavviato il pc.... ed è la seconda volta che provo afarlo analizzare su virus total ma si blocca la pagina appena gli dico sfoglia e clicco sul file... e non si sblocca più....

cos'è???

ah! ad ogni riavvio Antivir mi riapre la finestra che ho allegato nel post precedente... la terza....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Senza girarci troppo intorno...

io penso che con quel nome (cr-nero) ed in quella posizione sia sicuramente un virus e sia il responsabile di tutto...

foto002er5.jpg

Eliminalo con KILLBOX oppure in modalità provvisoria

(al limite se dovesse far parte del programma legittimo (ipotesi improbabile) lo reinstallerai)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

è successo un gran casino.....

non ho il mio administrator....

da quando ho riavviato dalla modalità provvisoria, è scomparso il mio desktop con tutte le icone, e ho solo cestino, explorer e outlook... se apro explorer non ho più nè la mia pagina iniziale, ne i siti preferiti, ma ho msn... (???) se apro la posta non c'è più nessun messaggio nella posta inviata o in arrivo, niente, è vergine... negli user ho Administrator che è quello con cui entravo sempre, e un nuovo Administrator.SILVIA dove non c'è nessun dato dentro, cioè la cartella desktop vuota, documenti vuota, ecc...

Tutte le mie cose sono rimaste nelle cartella documents and settings /administrator...

non ho mai creato un punto di ripristino delle impostazioni quindi non posso tornare indietro....

Questo è il problema numero 1....

Mentre in modalità provvisoria facevo girare l'Antivir mi ha riscontrato questi errori: WARNING!

C:\pagefile.sys

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\Administrator\NTUSER.DAT

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\Administrator\NTUSER.DAT.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\Administrator\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\lsalaiht.exe

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\Tasks\tsg.job

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\Tasks\xuuhkpxn.job

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

E HO PROVATO A CANCELLARLI, SIA MANUALMENTE, SIA CON KILLBOX, MA MI DICE SEMPRE CHE è IMPOSSIBILE PERCHè SONO PROTETTI O GIà IN USO....

l'unica cosa che mi ha cancellato è NTUSER.... che l'ha cancellato dalla cartella administrtor, ma non dalla cartella Administrator .silvia...

non riconosco più il mio pc...

aiutoooo!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao ,

prova con l'ultima configurazione sicuramente funzionante....

Avvia il sistema come per andare in modalità provvisoria ,ma invece di scegliere quest'ultima , segli

"ultima configurazione sicuramente funzionante"m e vedi se ti mette apposto qualcosa....

Altrimenti dovresti provare uno chkdsk da console

Ps__altrimenti io al tuo posto collegherei l'HD in slave o esterno su un'altro sistema , recupererei i dati importanti e procederei con un bel format....

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

grazie steve ma non ci ho capito una beata fava..... :sigh:

parli con una poveretta in materia....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Allora ,

cominciamo con l'ultima configurazione sicuramente funzionante ;

Avvia il pc e premi F8 come fai per andare in modalità provvisoria ....

Quando compaiono tutte le opzioni , invece di scegliere la modalità provvisoria , scegli "ultima configurazione sicuramente funzionante" e dai l'invio

Aspetta la fine e quando il computer si riavvierà vedi se è tornato a funzionare

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

si, funziona ma con le imopstazioni dell'administrator che ha creato....

non con le mie di prima..

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

prova a creare un nuovo account e ad eliminare quello attuale .....

Per farlo

Pannello di controllo / Account Utente/ Crea nuovo Account

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0