moro696

Msrpc Srvsvc Netapi Buffer Overflow

Iniziato da moro696,

10 messaggi in questa discussione

Inviato

Salve,

ho un problema con questo tipo di virus o dialer, il Norton me lo blocca ma poi mi si ripresenta sempre e inoltre I.E. è molto lento.

Posto qui il log di Hijackthis, per avere informazioni se è una cosa grave e se è possibile rimoverla.

Grazie per l'aiuto

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15.07.03, on 26/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Programmi\Agassi Tennis Generation\SMSTray.exe

C:\Programmi\MarkAny\ContentSafer\MAAgent.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\Canon\MyPrinter\BJMyPrt.exe

C:\Programmi\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programmi\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

C:\HJT\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.virgilio.it/free.minisearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [spySpotter System Defender] C:\Programmi\SpySpotter3\Defender.exe -startup

O4 - HKLM\..\Run: [sMSTray] C:\Programmi\Agassi Tennis Generation\SMSTray.exe

O4 - HKLM\..\Run: [MAAgent] C:\Programmi\MarkAny\ContentSafer\MAAgent.exe

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programmi\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [442b2c5b] rundll32.exe "C:\WINDOWS\system32\cvfowibb.dll",b

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduxa.exe] C:\WINDOWS\system32\kduxa.exe

O4 - HKLM\..\RunOnce: [symLnch] "C:\Documents and Settings\xxxx\Dati applicazioni\Symantec\Layouts\Norton AntiVirus\15.0\SymAllLanguages\NAVCD_RETAIL\20070828\Support\SymLnch\SymLnch.exe" "C:\Documents and Settings\xxxx\Dati applicazioni\Symantec\Layouts\Norton AntiVirus\15.0\SymAllLanguages\NAVCD_RETAIL\20070828\Setup.exe" "/REALUPREBOOT /temp /patched"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [AliceMessenger] C:\Programmi\Alice Messenger\alicemessenger.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Programmi\Applications\wcs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra button: Umail - {9E6687D2-153E-4C8D-8B7E-44B6258C076A} - http://www.umail.it (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it/free

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/as...abs/tgctlsr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1097764853060

O17 - HKLM\System\CCS\Services\Tcpip\..\{63A316EF-F8B7-43FD-BCD1-17FFE6C4F297}: NameServer = 151.99.125.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{73FD7F35-525C-4675-ACEA-4CE2A2EEDFC4}: NameServer = 85.255.116.134,85.255.112.139

O17 - HKLM\System\CCS\Services\Tcpip\..\{D9E21FB2-84CC-4F0E-A6C9-268E89BBB015}: NameServer = 85.255.116.134,85.255.112.139

O20 - AppInit_DLLs: MsgPlusLoader.dll tpilbw.dll

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe

O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O24 - Desktop Component 0: (no name) - http://images.virgilio.it/search/6.0/logo_v.gif

O24 - Desktop Component 1: (no name) - file:///D:/Immagini/giochi/flatout.jpg

--

End of file - 8202 bytes

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Fixa:

O4 - HKLM\..\Run: [spySpotter System Defender] C:\Programmi\SpySpotter3\Defender.exe -startup

O4 - HKLM\..\Run: [442b2c5b] rundll32.exe "C:\WINDOWS\system32\cvfowibb.dll",b

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduxa.exe] C:\WINDOWS\system32\kduxa.exe

O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Programmi\Applications\wcs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{73FD7F35-525C-4675-ACEA-4CE2A2EEDFC4}: NameServer = 85.255.116.134,85.255.112.139

O17 - HKLM\System\CCS\Services\Tcpip\..\{D9E21FB2-84CC-4F0E-A6C9-268E89BBB015}: NameServer = 85.255.116.134,85.255.112.139

O20 - AppInit_DLLs: MsgPlusLoader.dll tpilbw.dll

Scarica Combofix, disconnettiti da internet, disabilita e chiudi antivirus, antispyware e firewall. Manda in esecuzione il programma. Digita 1 e premi invio poi attendi il termine degli stage di scansione. Posta il log che troverai alla fine in C:\Combofix.txt.

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

ciao

fai cosi;

* da installazioni/applicazioni disinstalla se presente;

C:\Programmi\SpySpotter3

* Scarica Ccleaner

* Disconnetti completamente da Internet (cavo tirato o modem spento)

* Assicurati di avere accesso a file e cartelle nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione) 

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* disattiva il ripristino configurazione di sistema

* Avvia in modalità provvisoria 

* Avvia hijackthis,clicca su Do a system scan only metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet, premi su fix checked

O4 - HKLM\..\Run: [spySpotter System Defender] C:\Programmi\SpySpotter3\Defender.exe -startup

O4 - HKLM\..\Run: [442b2c5b] rundll32.exe "C:\WINDOWS\system32\cvfowibb.dll",b

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduxa.exe] C:\WINDOWS\system32\kduxa.exe

O4 - HKCU\..\Run: [AliceMessenger] C:\Programmi\Alice Messenger\alicemessenger.exe

O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Programmi\Applications\wcs.exe

O9 - Extra button: Umail - {9E6687D2-153E-4C8D-8B7E-44B6258C076A} - http://www.umail.it (file missing) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip\..\{73FD7F35-525C-4675-ACEA-4CE2A2EEDFC4}: NameServer = 85.255.116.134,85.255.112.139

O17 - HKLM\System\CCS\Services\Tcpip\..\{D9E21FB2-84CC-4F0E-A6C9-268E89BBB015}: NameServer = 85.255.116.134,85.255.112.139

O20 - AppInit_DLLs: MsgPlusLoader.dll tpilbw.dll

le 024 se non hai messo tu le due immagini

* * Dai una ripulita a cookie,cache e prefetch con Ccleaner 

(Quando lo installi ricordati che se lasci le spunte di defuat ,verrà installata anche la toolbar yahoo)

(prima di usarlo vai in Opzioni/avanzate e togli la spunta da :Elimina file temp di Windows solo se piu vecchi di 48 ore)

* Svuota la cartella C:\Windows\Tasks

* Ritorna in modalità normale e connettiti ad internet 

* Fai anche uno scan online Kaspersky in questo modo 

_____________________________________________

Alla fine delle procedure di pulizia è fondamentale :

1) ri-nascondere i file e le cartelle di sistema

2) Riattivare il ripristino configurazione di sistema (XP / ME)

3) Creare un nuovo punto di ripristino

 :)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Salve,

ho fixato le voci tranne due, perché avviando in modalità provvisoria hijackthis non ci sono e sono queste due:

O4 - HKLM\..\Run: [442b2c5b] rundll32.exe "C:\WINDOWS\system32\cvfowibb.dll",b

O17 - HKLM\System\CCS\Services\Tcpip\..\{73FD7F35-525C-4675-ACEA-4CE2A2EEDFC4}: NameServer = 85.255.116.134,85.255.112.139

non so come mai...

Per il resto ho fatto tutto. Ancora la scansione con kasperky non l'ho fatta, intanto posto il nuovo log di hijackhis.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15.25.25, on 27/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programmi\Agassi Tennis Generation\SMSTray.exe

C:\Programmi\MarkAny\ContentSafer\MAAgent.exe

C:\Programmi\Canon\MyPrinter\BJMyPrt.exe

C:\Programmi\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe

C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\System32\alg.exe

C:\Programmi\WinZip\WZQKPICK.EXE

C:\Programmi\Internet Explorer\iexplore.exe

C:\HJT\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\WINDOWS\system32\spoolsv.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.virgilio.it/free.minisearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [sMSTray] C:\Programmi\Agassi Tennis Generation\SMSTray.exe

O4 - HKLM\..\Run: [MAAgent] C:\Programmi\MarkAny\ContentSafer\MAAgent.exe

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programmi\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduxa.exe] C:\WINDOWS\system32\kduxa.exe

O4 - HKLM\..\Run: [bM47181fc7] Rundll32.exe "C:\WINDOWS\system32\uwekeaec.dll",s

O4 - HKLM\..\RunOnce: [symLnch] "C:\Documents and Settings\xxxx\Dati applicazioni\Symantec\Layouts\Norton AntiVirus\15.0\SymAllLanguages\NAVCD_RETAIL\20070828\Support\SymLnch\SymLnch.exe" "C:\Documents and Settings\xxxx\Dati applicazioni\Symantec\Layouts\Norton AntiVirus\15.0\SymAllLanguages\NAVCD_RETAIL\20070828\Setup.exe" "/REALUPREBOOT /temp /patched"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it/free

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/as...abs/tgctlsr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1097764853060

O17 - HKLM\System\CCS\Services\Tcpip\..\{63A316EF-F8B7-43FD-BCD1-17FFE6C4F297}: NameServer = 151.99.125.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{73FD7F35-525C-4675-ACEA-4CE2A2EEDFC4}: NameServer = 85.255.116.134,85.255.112.139

O17 - HKLM\System\CCS\Services\Tcpip\..\{D9E21FB2-84CC-4F0E-A6C9-268E89BBB015}: NameServer = 85.255.116.134,85.255.112.139

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe

O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O24 - Desktop Component 0: (no name) - http://images.virgilio.it/search/6.0/logo_v.gif

O24 - Desktop Component 1: (no name) - file:///D:/Immagini/giochi/flatout.jpg

--

End of file - 7689 bytes

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

fai cosi;

Disinstalla gli sponsor di MSNPlus

con hijackthis fixa queste voci;

O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduxa.exe] C:\WINDOWS\system32\kduxa.exe

O4 - HKLM\..\Run: [bM47181fc7] Rundll32.exe "C:\WINDOWS\system32\uwekeaec.dll",s

O17 - HKLM\System\CCS\Services\Tcpip\..\{73FD7F35-525C-4675-ACEA-4CE2A2EEDFC4}: NameServer = 85.255.116.134,85.255.112.139

O17 - HKLM\System\CCS\Services\Tcpip\..\{D9E21FB2-84CC-4F0E-A6C9-268E89BBB015}: NameServer = 85.255.116.134,85.255.112.139

poi fai uno scan con combofix

http://steven.altervista.org/files/tools.html#tools1

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Grazie per l'aiuto...

Ma le voci le devo fixare in modalità normale? o provvisoria? :)

Disconnesso da internet?

Ciao e grazie ancora.

Modificato da moro83

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

in normale se in provvisoria non appaiono...

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao,

ho fixato le voci, tranne una che nonostante abbia fatto tutta in modalità normale non la vedo, forse perché era relativa a MSN Plus che ho precedentemente disinstallato. E' questa:

O17 - HKLM\System\CCS\Services\Tcpip\..\{73FD7F35-525C-4675-ACEA-4CE2A2EEDFC4}: NameServer = 85.255.116.134,85.255.112.139

Ho lanciato anche Combofix, allego il log.

Spero vada tutto ok, anche se il computer durante queste operazioni è stato molto lento...

Grazie per l'aiuto!

ComboFix.txt

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

ciao

sei ancora infetto.... fai cosi;

* Scarica ATF Cleaner

- Avvialo con un doppio click

- clicca sul menu main

- seleziona la casella Select All

- clicca sul pulsante Empty selected

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni)

* Ora con avenger come spiegato qui, inserisci lo script che segue;

files to delete:

C:\Autorun.inf

C:\DOCUME~1\xxxx\IMPOST~1\Temp\tmp2.tmp

C:\Documents and Settings\xxxx\Documenti\My Documents.url

C:\Documents and Settings\xxxx\Menu Avvio\Programmi\Videos.url

C:\Documents and Settings\xxxx\Preferiti\Videos.url

C:\Programmi\Applications\myd.ico

C:\Programmi\Applications\mym.ico

C:\Programmi\Applications\myp.ico

C:\Programmi\Applications\myv.ico

C:\WINDOWS\BM47181fc7.txt

C:\WINDOWS\BM47181fc7.xml

C:\WINDOWS\pskt.ini

C:\WINDOWS\system32\bbiwofvc.ini

C:\WINDOWS\system32\cjyrfgxl.dll

C:\WINDOWS\system32\cojlww.dll

C:\WINDOWS\system32\crsbnwiu.ini

C:\WINDOWS\system32\fwhxiker.dll

C:\WINDOWS\system32\gvlbkjap.dll

C:\WINDOWS\system32\ifljapfw.ini

C:\WINDOWS\system32\jarfcwrd.dll

C:\WINDOWS\system32\ljyyeg.dll

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\nsreg.dat

C:\WINDOWS\WLXPGSS.SCR

C:\WINDOWS\system32\ljyyeg.dll

C:\WINDOWS\system32\pmnoMfFx.dll

C:\WINDOWS\system32\kduxa.exe

C:\WINDOWS\system32\mbmufspi.dll

folders to delete:

C:\Windows\Temp

C:\Programmi\newdotnet

Registry values to replace with dummy: 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

 

Adesso portati nelle chiavi di registro seguono (Start/esegui/regedit)

controlla e se ci sono elimina le voci e i file riportati;

* HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows

"AppInit_DLLs"=ljyyeg.dll

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

BM47181fc7

C:\WINDOWS\system32\kduxa.exe

* HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com c:

\Shell\Open\command - C:\resycled\boot.com c:

* fai uno scan con MalwareBytes Antimalware e posta il suo log (elimina quello che trova)

http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html

* Posta il log C:\Avenger.txt

PS__Non inserire la tua chiave USB per adesso

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Vai alla lista Discussioni HiJackThis - Posta qui i Log