| Autore |
 Discussione  |
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 17/09/2008 : 23:58:38
|
torna in modalita' normale e fai quello che ti dico:
scarica Avenger da qui
htt*://swandog46.geekstogo[.com]/avenger.zip
lo installi e lo lanci
Copi e incolli nella finestra: "Input script here" il testo in rosso così come lo vedi scritto:
files to delete:
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\drivers\tdssserv.sys
C:\Documents and Settings\G&B\Impostazioni locali\Temp\.tt15.tmp
C:\Documents and Settings\G&B\Impostazioni locali\Temp\.tt9.tmp
folders to delete:
C:\WINDOWS\system32\drivers\downld
keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
HKEY_LOCAL_MACHINE\SOFTWARE\tdss
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
posta il log di avenger che trovi in c:\
|
 |
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 18/09/2008 : 00:05:56
|
ciao shang
fatto tutto come hai detto, ha fatto il riavvioe all'apertura ho trovato questa finetrsa aperta:
Logfile of The Avenger Version 2.0, (c) by Swandog46
htt*://swandog46.geekstogo[.com]
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\WINDOWS\system32\tdssadw.dll" not found!
Deletion of file "C:\WINDOWS\system32\tdssadw.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\tdssl.dll" not found!
Deletion of file "C:\WINDOWS\system32\tdssl.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\tdssserf.dll" not found!
Deletion of file "C:\WINDOWS\system32\tdssserf.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\tdssmain.dll" not found!
Deletion of file "C:\WINDOWS\system32\tdssmain.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\tdssinit.dll" not found!
Deletion of file "C:\WINDOWS\system32\tdssinit.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\tdsslog.dll" not found!
Deletion of file "C:\WINDOWS\system32\tdsslog.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\tdssservers.dat" not found!
Deletion of file "C:\WINDOWS\system32\tdssservers.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\drivers\tdssserv.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\tdssserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Documents and Settings\G&B\Impostazioni locali\Temp\.tt15.tmp" not found!
Deletion of file "C:\Documents and Settings\G&B\Impostazioni locali\Temp\.tt15.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\Documents and Settings\G&B\Impostazioni locali\Temp\.tt9.tmp" not found!
Deletion of file "C:\Documents and Settings\G&B\Impostazioni locali\Temp\.tt9.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "C:\WINDOWS\system32\drivers\downld" not found!
Deletion of folder "C:\WINDOWS\system32\drivers\downld" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "keys to delete:" not found!
Deletion of folder "keys to delete:" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: could not open folder "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata"
Deletion of folder "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Error: could not open folder "HKEY_LOCAL_MACHINE\SOFTWARE\tdss"
Deletion of folder "HKEY_LOCAL_MACHINE\SOFTWARE\tdss" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Completed script processing.
*******************
Finished! Terminate.
COSA NE PENSI? scusa s lo metto con C/I ma non riesco a allegarlo.
ora dici che posso stare tranquillo o cosaltro? attendo altre tue info se devo fare altre operazioni e se mi spieghi cosa ho preso e dove lo preso per capire....un po cosa faccio di sbagliato.
o scaricato qcosa? mi manca una protezione' devo aggiungere qualche programma di difesa??
attendo tue info. sono online.
|
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 18/09/2008 : 00:09:55
|
shang elibagle che mi hai fatto scaricare prima lo devo usare o lo butto via??? l'ho qui sul desktop
e dei vari malware prsi da avira elencatoti sopra, ora non torneranno +???
insoma potresti farmi un sunto della situation e spiegarmi anche xche' non entro in hotmail e perche' se andavo in google molti lin mi portavano su pagine che voleva lui, varie...??? |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 18/09/2008 : 08:10:24
|
shang volevo ringraziarti pubblicamente x l'aiuto prestatomi.
..... sembrerebbe tutto ok ora il pc.
dici che abbiamo risolto completamente???
potresti in parole povere spiegarmi cosa ho preso e dove l'ho prso probabilmnte,
siccome in un mese 2 volte mi e' capitato, non ho capito dove posso averlo preso, o magari mentre usa il pc mia moglie e cosa devo fare per prevenire questo possibile inconveniente.
grazie mille GIO!
ps= a tutti gli admin scusate per l'inserimento C/I ma ero impossibilitato ad usare i sit per incollare i log, causa virus. |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 18/09/2008 : 11:44:47
|
shang stamattina alle 11:43 il mio avira mi ha fatto un beep e mi ha avvisato di questo malware:
Virus or unwanted program 'BDS/Agent.roc [backdoor]'
detected in file 'C:\System Volume Information\_restore{7D75B2AE-D637-4F17-B1C0-705C186E842C}\RP47\A0004082.sys.
Action performed: Delete file
ho fatte delete.:-)
ma come mai?? ho ancora i malware dentro al pc?? cosa devo fare x essere sicuro di aver pulito tutto? eppure dopo il tuo aiuto mi sembrava tutto ok!:-(
aiutami a capie da dove arriva sempre questo troja malware.... |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 18/09/2008 : 12:14:55
|
scarica htt*://[www].filehippo[.com]/download_ccleaner/
esegui la pulizia, compresa quella del registro
fai un back up del registro(te lo chiedera'- accetta)
vai qui >> htt*://[www].bitdefender[.com]/scan8/ie.html
fai una scansione ed elimina tutto cio' che trova |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 18/09/2008 : 13:59:50
|
ciao shang
fatto pulizia con cccleaner e poi scansione onlie come propostomi.
ha trovato 3 files trojan backdoor in impostazioni locali e sono 3file.tmp.
ora una volta che ha finito e mi ha scritto 3 file trovati e deleted 3. ho riavviato la scansione x vedere cosa ritrova.
shang mi diresti per cortesia che cosa ho beccato e come ho potuto prenderlo cosi mi togli la curiosita' e magari se si anche dirmi come mai avira stamattina alle 11 mi ha bloccato quel famoso malware..sai spiearmi in parole povere?:-)
cia gio |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 18/09/2008 : 21:11:57
|
| posta un nuovo log di hjt e non toccare altro |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 18/09/2008 : 23:10:30
|
ciao shang.
eccoti il log: ( e scusa se lo posto cosi'):
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.06.38, on 18/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].tgcom.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*://go.microsoft[.com]/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://go.microsoft[.com]/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - htt*://gfx2.hotmail[.com]/mail/w3/pr01/resources/MSNPUpld .cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - htt*://download.bitdefender[.com]/resources/scan8/oscan8 .cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler[.com] - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
cosa ne dici, posso stare DEFINITIVAMENTE tranquillo? e mi spieghi cosa ho preso e come??? mi togli la curiosita'???
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 19/09/2008 : 11:43:16
|
il log e' pulito
hai un firewall attivo nel pc? |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 19/09/2008 : 12:22:54
|
ciaso shang.
forse ho capito,,...mi succede quando vado nel sito [www].super-st.org,appena entro avia mi dice di aver bloccato:
tipo 10 minuti fa ha blccato questo con Deny access, appena sono entrato nel sito:
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Documents and Settings\G&B\Impostazioni locali\Temp\wJQs.exe.
Action performed: Delete file
e questo:
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Documents and Settings\G&B\Impostazioni locali\Temporary Internet Files\Content.IE5\JX7D5BWD\._file[1].exe.
Action performed: Deny access
come mai? cosa ha sto sito di cosi pericoloso?? forse e' questo sito che mi dava sto problemi??
attendo tue info.
se vuoi ti mando un log ancora per farti ricpntrollare? subito dopo questi 2 avvisi ho rifatto cccleaner e spyware. ok?? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 19/09/2008 : 12:43:44
|
Citazione:
forse ho capito,,...mi succede quando vado nel sito [www].super-st.org,appena entro avia mi dice di aver bloccato:
non entrarci e mettilo nella lista dei siti non attendibili |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 19/09/2008 : 23:07:11
|
shang hai provato te a vedere se effettivamente e' infetto come sito??
ciao GIO! e grazie |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 19/09/2008 : 23:20:06
|
Citazione:
shang hai provato te a vedere se effettivamente e' infetto come sito??
no no grazie  meglio se provi tu |
|
|
|
gio1977
Senior Member
138 Messaggi |
Inserito il - 21/09/2008 : 19:07:54
|
shang ma dici che il trojan server che mi dicevi , proviene da li al 100%?? il mio malware e' dovuto a lui??
inoltre eì possibile che un mese fa accedevo senza problemi e ora mi avvisa subito appena prvo a cliccare?? o forse ho qualciosa io nel pc????
grazie mille.
ciao gio |
|
|
|
Discussione |
|
aiuto urgente!! virus o no??
Forum Bloccato
