• User

    [Risolto] ancora virtumonde

    Ciao a tutti. è il mio primo post e ..abbiate compassione di me che non sono affatto esperto come tutti qua dentro.... !
    Come dichiarato nel titolo il problema è il maledetto virtumonde. Il problema è a voi arcinoto : mancano 2 dll e impossibilità a navigare "umanamente " e quindi vi allego direttamente lo scan di Hiyack . Tenete conto che per potere accedere a Internet ho dovuto chiuder il nod 32 poichè mi dava in continuazione il pop up di di cancellare il file Virtumonde ma, ovviamente, non ci riusciva.
    Sbaglio o sto maledetto adware oltretutto,disattiva il firewall di Xp e l'aggiornamento di Nod?

    Grazie a tutti!!
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23.58.03, on 19/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\winupdt.exe
    C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
    C:\WINDOWS\system32\drivers\svchost.exe
    C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\Programmi\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\user\Desktop\HiJackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: (no name) - {2BFA371F-567F-490E-BA52-5156D4A317DD} - C:\WINDOWS\system32\nnnnKday.dll (file missing)
    O2 - BHO: (no name) - {42BFABD3-B070-4053-9485-30D7E000D3D3} - C:\WINDOWS\system32\nnnlmjGw.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: {e7cd19db-1e70-c588-2ff4-0c79797b4e2b} - {b2e4b797-97c0-4ff2-885c-07e1bd91dc7e} - C:\WINDOWS\system32\nqrzyp.dll (file missing)
    O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
    O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [C:\WINDOWS\system32\kdzyc.exe] C:\WINDOWS\system32\kdzyc.exe
    O4 - HKLM..\Run: [68c35433] rundll32.exe "C:\WINDOWS\system32\cpqhdbaf.dll",b
    O4 - HKLM..\Run: [BM6bf067af] Rundll32.exe "C:\WINDOWS\system32\minlnyxv.dll",s
    O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
    O4 - HKCU..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
    O4 - HKLM..\Policies\Explorer\Run: [win aggior] C:\WINDOWS\winupdt.exe
    O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip..{6CE55B15-B60B-4DFA-ACCF-0C55F2B1ADC3}: NameServer = 85.37.17.46 85.38.28.84
    O20 - Winlogon Notify: nnnlmjGw - C:\WINDOWS\SYSTEM32\nnnlmjGw.dll
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

    End of file - 4181 bytes


  • User

    disattiva il ripristino

    Start/tasto destro del mouse su risorse del computer/proprietà/Ripristino configurazione del sistema/e metti la spunta su "disattiva ripristino configurazione del sistema"

    scarica cureit dr web (cerca con google)
    avvialo, aggiornalo e fai la scansione preliminare...quando sara' finita fai quella completa. Ci sono parecchie cose da togliere ma facciamo prima cosi' ed e' piu' sicuro

    quando avra' terminato, posta un nuovo log di hjt

    questa e' la soluzione piu' rapida lascia perdere quell'altra

    elimina queste voci con hjt:

    O2 - BHO: (no name) - {2BFA371F-567F-490E-BA52-5156D4A317DD} - C:\WINDOWS\system32\nnnnKday.dll (file missing)

    O2 - BHO: {e7cd19db-1e70-c588-2ff4-0c79797b4e2b} - {b2e4b797-97c0-4ff2-885c-07e1bd91dc7e} - C:\WINDOWS\system32\nqrzyp.dll (file missing)

    C:\WINDOWS\winupdt.exe

    C:\WINDOWS\system32\drivers\svchost.exe

    O4 - HKCU..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe

    O4 - HKLM..\Policies\Explorer\Run: [win aggior] C:\WINDOWS\winupdt.exe

    per l'altra devo controllare bene

    appena fixate queste posta un nuovo log

    fai questa procedura


  • User Attivo

    @ maniac: Purtroppo da hijackthis non si possono cancellare file, quindi è impossibile che troverà
    C:\WINDOWS\winupdt.exe
    C:\WINDOWS\system32\drivers\svchost.exe
    in hijackthis.

    @gibson3, fai così:
    Da hijackthis fixa queste voci:
    O2 - BHO: (no name) - {2BFA371F-567F-490E-BA52-5156D4A317DD} - C:\WINDOWS\system32\nnnnKday.dll (file missing)
    O2 - BHO: {e7cd19db-1e70-c588-2ff4-0c79797b4e2b} - {b2e4b797-97c0-4ff2-885c-07e1bd91dc7e} - C:\WINDOWS\system32\nqrzyp.dll (file missing)
    O4 - HKLM..\Run: [68c35433] rundll32.exe "C:\WINDOWS\system32\cpqhdbaf.dll",b
    O4 - HKLM..\Run: [BM6bf067af] Rundll32.exe "C:\WINDOWS\system32\minlnyxv.dll",s
    O4 - HKCU..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
    O4 - HKLM..\Policies\Explorer\Run: [win aggior] C:\WINDOWS\winupdt.exe

    Poi scarica avenger http://swandog46.geekstogo.com/avenger2/download.php avvialo e nella casella bianca incolla quello che scrivo in grassetto:

    **Files to delete:
    C:\WINDOWS\system32\cpqhdbaf.dll
    C:\WINDOWS\system32\minlnyxv.dll

    Files to replace with dummy:
    C:\WINDOWS\system32\drivers\svchost.exe
    C:\WINDOWS\winupdt.exe**

    Adesso premi execute, il computer si riavvierà. Alla riaccensione posta il log che comparirà più un nuovo log hijackthis:)


  • User

    bene gio e' stata una svista ma tanto non li avrebbe tolti visto che non sono chiavi di registro


  • User

    grazie ragazzi! Gio ho seguito il tuo procedimento. ti posto i log. Tieni presente che al raivvio il Nod mi segnala ancora ilvirus su Win\System32\nnlmijGw.dll

    Logfile of The Avenger Version 2.0, (c) by Swandog46

    Platform: Windows XP


    Script file opened successfully.
    Script file read successfully.
    Backups directory opened successfully at C:\Avenger


    Beginning to process script file:
    Rootkit scan active.
    No rootkits found!

    Error: file "C:\WINDOWS\system32\cpqhdbaf.dll" not found!
    Deletion of file "C:\WINDOWS\system32\cpqhdbaf.dll" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Error: file "C:\WINDOWS\system32\minlnyxv.dll" not found!
    Deletion of file "C:\WINDOWS\system32\minlnyxv.dll" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist
    File "C:\WINDOWS\system32\drivers\svchost.exe" replaced with dummy successfully.
    File "C:\WINDOWS\winupdt.exe" replaced with dummy successfully.
    Completed script processing.


    Finished! Terminate.

    e

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 0.08.57, on 21/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
    C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\Programmi\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\Documents and Settings\user\Desktop\HiJackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.it/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: (no name) - {42BFABD3-B070-4053-9485-30D7E000D3D3} - C:\WINDOWS\system32\nnnlmjGw.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
    O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
    O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [C:\WINDOWS\system32\kdzyc.exe] C:\WINDOWS\system32\kdzyc.exe
    O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
    O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip..{6CE55B15-B60B-4DFA-ACCF-0C55F2B1ADC3}: NameServer = 85.37.17.46 85.38.28.84
    O20 - Winlogon Notify: nnnlmjGw - C:\WINDOWS\SYSTEM32\nnnlmjGw.dll
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

    End of file - 3579 bytes

    ciao e grazie


  • User

    scarica cureit dr web avvialo e dopo che avra' fatto la scansione preliminare fai quella completa


  • User

    grazie maniac.. prima di installare ( questo antivirus è più efficace del Nod nel rimuovere virtumonde?) volevo capire se non fosse meglio andare avanti con la procedura di Gio, anche perchè se non ho capito male, dal log mi sembra che uno dei due file da cancellare non sia andato a buon fine :

    Error: file "C:\WINDOWS\system32\cpqhdbaf.dll" not found!
    Deletion of file "C:\WINDOWS\system32\cpqhdbaf.dll" failed!

    uhmm. che faccio?
    grazie


  • User

    anche perchè se non ho capito male, dal log mi sembra che uno dei due file da cancellare non sia andato a buon fine

    per questo ti ho consigliato di usare dr web cureit comunque se ritieni di proseguire con l'altra procedura NO PROBLEM


  • User

    maniac,
    ho scaricato a scansito con Dr Web: dopo una pulita + quarantena di 5 virus nella scansione express, in quella completa si è soffermato tipo 30-40 min su C\doc e settings\user\impostazioni locali\temp\drw....temp . Mi è sembrato un po' esagerato come se trovasse intoppi (avevo già cancellato con Ccleaner) ma quello che è più strano è che quando sono tornato il programma si era chiuso e quindi non so se se avesse finito o si fosse auto-chiuso per problemi.
    Aspetto vostre notizie !! grazie


  • User

    maniac,
    ho scaricato a scansito con Dr Web: dopo una pulita + quarantena di 5 virus nella scansione express, in quella completa si è soffermato tipo 30-40 min su C\doc e settings\user\impostazioni locali\temp\drw....temp . Mi è sembrato un po' esagerato come se trovasse intoppi (avevo già cancellato con Ccleaner) ma quello che è più strano è che quando sono tornato il programma si era chiuso e quindi non so se se avesse finito o si fosse auto-chiuso per problemi.

    no no tranquillo sicuramente il programma si e' bloccato (succede)

    fai una nuova scansione con hijackthis e posta il log


  • User

    si è richiuso (come prima non so se ha finito o è bloccato)
    cmq ecco il log
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11.25.25, on 23/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
    C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\Programmi\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\user\Desktop\HiJackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: (no name) - {42BFABD3-B070-4053-9485-30D7E000D3D3} - C:\WINDOWS\system32\nnnlmjGw.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
    O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
    O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [C:\WINDOWS\system32\kdzyc.exe] C:\WINDOWS\system32\kdzyc.exe
    O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
    O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip..{6CE55B15-B60B-4DFA-ACCF-0C55F2B1ADC3}: NameServer = 85.37.17.46 85.38.28.84
    O20 - Winlogon Notify: nnnlmjGw - C:\WINDOWS\SYSTEM32\nnnlmjGw.dll
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

    End of file - 3528 bytes
    ciao
    grazie


  • User

    sembra che dr web abbia ripulito per bene\ controlla questa voce con VIRUSTOTAL

    C:\WINDOWS\system32\nnnlmjGw.dll


  • User

    mi dà questa risposta: non ha inviato nulla credo
    0 bytes size received / Se ha recibido un archivo vacio


  • User

    @maniac

    l'ho analizzato con Nod e trova che è infettato da virtumonde> opzione disinfetta> ma mi dice che non può perchè il file è in esecuzione> riavviare> ok > ma come ben sai, si rigenera all'accensione


  • User

    abbandonato?


  • User

    abbandonato?

    no, bannato!!

    posta un log di hijackthis


  • User Attivo

    Prima del log sempre con avenger esegui questo:
    **
    Files to delete:
    C:\WINDOWS\system32\nnnlmjGw.dll

    Files to replace with dummy:
    C:\WINDOWS\system32\nnnlmjGw.dll **

    Premi execute, fai riavviare il pc e posta il log avenger seguito da quello hijackthis.


  • User

    grazie per il vostro conforto!

    ok eseguito il comando,forse qualcosa non è andato a buon fine MA al riavvio non mi viene più visualizzato l'avviso di presenza di virtumonde dal Nod . Battaglia vinta?

    Logfile of The Avenger Version 2.0, (c) by Swandog46

    Platform: Windows XP


    Script file opened successfully.
    Script file read successfully.
    Backups directory opened successfully at C:\Avenger


    Beginning to process script file:
    Rootkit scan active.
    No rootkits found!
    File "C:\WINDOWS\system32\nnnlmjGw.dll" deleted successfully.
    Error: file "C:\WINDOWS\system32\nnnlmjGw.dll" not found!
    Replacement with dummy of file "C:\WINDOWS\system32\nnnlmjGw.dll" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    Completed script processing.


    Finished! Terminate.

    e

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15.12.33, on 02/09/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\savedump.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programmi\Eset\nod32kui.exe
    C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
    C:\Programmi\Messenger\msmsgs.exe
    C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
    C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\Programmi\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\Documents and Settings\user\Desktop\logs\HiJackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    O2 - BHO: (no name) - {42BFABD3-B070-4053-9485-30D7E000D3D3} - C:\WINDOWS\system32\nnnlmjGw.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
    O4 - HKLM..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
    O4 - HKLM..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
    O4 - HKLM..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [C:\WINDOWS\system32\kdzyc.exe] C:\WINDOWS\system32\kdzyc.exe
    O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
    O4 - HKCU..\Run: [CTSyncU.exe] "C:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
    O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
    O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
    O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip..{6CE55B15-B60B-4DFA-ACCF-0C55F2B1ADC3}: NameServer = 85.37.17.46 85.38.28.84
    O20 - Winlogon Notify: nnnlmjGw - nnnlmjGw.dll (file missing)
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

    End of file - 3637 bytes


  • User

    manca mezzo log (e' tagliato)


  • User Attivo

    Per quanto riguarda avenger, ha eliminato con successo il file.
    L'errore di file not found è capitato poichè ho ripetuto lo script due volte per lo stesso file ma con comandi diversi in modo che se il primo falliva probabilmente il secondo avrebbe avuto effetto;)

    Per quanto riguarda hijackthis il log è completo, fixa queste voci:
    O2 - BHO: (no name) - {42BFABD3-B070-4053-9485-30D7E000D3D3} - C:\WINDOWS\system32\nnnlmjGw.dll (file missing)
    O20 - Winlogon Notify: nnnlmjGw - nnnlmjGw.dll (file missing)
    Poi dovresti essere a posto:)