Antivirus Sparito

[ran85]

Ciao a tutti.... ho un problema:

mi sono beccata qualche virus malefico che mi ha disattivato antivirus e simili... la maggior parte dei programmi per rilevare virus non funziona (nod32, hijackthis, avenger, combofix e simili)... il computer mi si è rallentato tantissimo e ogni tanto salta la connessione ad internet...

Che posso fare? Tra l'altro non è che sia molto pratica coi computer... non so dove mettere le mani

[Steve75]

Benvenuto/a!

Ciao e Benvenuto/a nel forum, . Perché non personalizzi la tua presenza in WinInizio aggiungendo una firma e un'immagine al tuo profilo personale ? se non sai come fare, clicca qui. Se sei una ragazza e vuoi essere aggiunta al gruppo delle WinGirls non dovrai fare altro che presentarti in questo thread o contattare un membro dello staff; se invece hai meno di 18 anni potresti far parte degli Juniores, per farlo presentati qui o contatta un membro dello staff. Il gruppo WinGirls e Juniores offrono alcuni vantaggi speciali, scoprili nell'apposito thread di presentazione! Ricordati, infine, che un titolo appropriato per dare visibilità alle tue nuove discussioni è essenziale: chiamare una discussione "Aiuto" o "Consiglio" non permette di capire subito la tua richiesta e rende più difficili le ricerche per gli altri utenti. Link utili: - Regolamento - Netiquette - Glossario - Thread di Benvenuto - Guida all'uso di WinInizio

fai cosi;

vai qui e scarica FindyKill

http://rapidshare.com/files/154897234/FindyKill.rar.html

segui la procedura per eseguirlo e posta il suo log

http://www.steven.altervista.org/files/findykill.html

[ran85]

Fatto... ti posto il log:

----------------- FindyKill V4.005 ------------------

* User : Administrator - ATHLON64DUAL

* Emplacement : C:\Programmi\FindyKill

* Outils Mis a jours le 15/10/08 par Chiquitine29

* Recherche effectuée à 16:29:06 le 2008-10-17

* Windows XP - Internet Explorer 6.0.2900.5512

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programmi\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\iTunes\iTunesHelper.exe

C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

C:\Programmi\Unlocker\UnlockerAssistant.exe

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe

C:\Programmi\DAEMON Tools\daemon.exe

C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programmi\iPod\bin\iPodService.exe

C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Programmi\HP\Smart Web Printing\hpswp_clipbook.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Eset\nod32krn.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\Administrator\Dati applicazioni

»»»» Presence des fichiers dans C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

iTunesHelper REG_SZ "C:\Programmi\iTunes\iTunesHelper.exe"

HP Software Update REG_SZ C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

UnlockerAssistant REG_SZ "C:\Programmi\Unlocker\UnlockerAssistant.exe"

QuickTime Task REG_SZ "C:\Programmi\QuickTime\qttask.exe" -atboottime

TkBellExe REG_SZ "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

nod32kui REG_SZ "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

MSConfig REG_SZ C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

MsnMsgr REG_SZ "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

DAEMON Tools REG_SZ "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033

--------------- [ Registre / Clés infectieuses ] ----------------

Présent ! - HKEY_USERS\S-1-5-21-1177238915-2000478354-682003330-500\Software\Local AppWizard-Generated Applications\Apimac_Slide_Show_7.0.2_(Cracked)

Présent ! - HKEY_USERS\S-1-5-21-1177238915-2000478354-682003330-500\Software\Local AppWizard-Generated Applications\hldrrr

Présent ! - HKEY_USERS\S-1-5-21-1177238915-2000478354-682003330-500\Software\Local AppWizard-Generated Applications\mdelk

Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Apimac_Slide_Show_7.0.2_(Cracked)

Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr

Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\mdelk

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/!\ Ip6Fw - Type de démarrage = 4

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Unit… fissa

+- presence des fichiers :

--------------- [ Registre / Moutpoint2 ] ----------------

-> Recherche négative.

------------------- ! Fin du rapport ! --------------------

[Steve75]

adesso usa l'opzione 2

e poi fai anche un fix con ELIBAGLA

Assicurati che la casella Eliminar Ficheros Automaticamente sia spuntata e clicca su Explorar

Posta il log C:infosat.txt

[ran85]

Fatto con entrambi i programmi ma il problema persiste...

Comunque sono quasi certa non sia un bagle...

Elibagle non ha trovato nessuna infezione...

[Steve75]

tracce del bagle ve ne sono, hai usato l'opzione 2 di findykill?

fai anche cosi;

Vai nel registro, portati in questa chiave;

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\explorer.exe

e controlla che non ci sia un valore debugger che punti ad un file strano

esempio

Debugger="c:\windows\system32\xghjwo.jpg"

in quel caso , non eliminare il file altrimenti sparisce il desktop

[ran85]

Dovrei aver risolto... ovvero il Nod32 è riapparso...

Praticamente ho eliminato questi con combofix:

File::

C:\WINDOWS\system32\d1ae6bf2a2fdd47d259b1c5be3f614d7.sys

Registry::

[-HKLM\SYSTEM\ControlSet002\Services\d1ae6bf2a2fdd47d259b1c5be3f614d7]

[-HKLM\SYSTEM\CurrentControlSet\Services\d1ae6bf2a2fdd47d259b1c5be3f614d]

Grazie mille dell'aiuto

[Steve75]

contento che hai risolto..

ma non hai detto che non partiva? 

[ran85]

Se provavo a fare la scansione normale non andava... ho provato manualmente a farlo partire col file CFScript e si è avviato

[$angelique!?]

Ciao ran85,

stai portando avanti la tua discussione in due forum contemporaneamente

non pensi che questo potrebbe creare confusione tra le procedure?

[ran85]

Se non si poteva fare mi dispiace e mi scuso...

Semplicemente cercavo il prima possibile una soluzione...

Grazie comunque (prometto che non lo faccio più )

[$angelique!?]