Sicurezza & Privacy
Il forum é stato trasferito su un nuovo dominio. Novità e tanto altro vi aspettano al nuovo indirizzo del forum, www.sicurezzaeprivacy.net/forum.

Grazie , Lo staff.



virus alcomrg.exe

Pagina 1 di 3 1, 2, 3  Seguente

Vedere l'argomento precedente Vedere l'argomento seguente Andare in basso

virus alcomrg.exe

Messaggio  grypsleroy il Dom Gen 18, 2009 4:39 pm

Salve a tutti!!! sn nuovo in questo forum... Mi sono iscritto perchè via answers di yahoo un certo "stockand"( lo conoscete ) mi ha consigliato di contattare questo forum in caso di necessità. Purtroppo da alcuni giorni sul desktop di un mio pc con sistema operativo w.xp compare una scritta che è più o meno questa: errore da System32\drivers\alcomrg.exe etc etc...... Prima ancora ho avuto problemi con NT AUTHORITY / SYSTEM.... Sconfitto tale virus con avg è subito comparso l'errore del system 32. Ho tentato in tutti i modi ,a me noti, di eliminarlo: avg, avira, ripristino configurazione etc etc..... Purtroppo mi è rimasta una sola opzione: installare norton...... Ma nonostante il fatto che il disco venga letto, il pc non mi fa partire l'autorun.... sono disperato. pleaze help me!!!

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Torukk il Dom Gen 18, 2009 4:46 pm

Ciao e benvenuto nel forum!
Posta un log di hijackthis usando queste indicazioni http://pc-security.forumattivo.com/aiuto-sono-infetto-f3/come-creare-un-log-hijackthis-t72.htm

Torukk
Moderatore
Moderatore

Numero di messaggi : 204
Data d'iscrizione : 06.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Steve75 il Dom Gen 18, 2009 5:31 pm

ciao e benveuto anche da parte mia grypsleroy....

se vuoi presentarti , fai un salto nella sezione Benvenuto nuovo utente

Steve75
Admin
Admin

Numero di messaggi : 614
Data d'iscrizione : 11.05.08

Vedere il profilo dell'utente http://pc-security.forumattivo.com

Tornare in alto Andare in basso

analisi effettuata....

Messaggio  grypsleroy il Mar Gen 20, 2009 3:37 pm

Torukk ha scritto:Ciao e benvenuto nel forum!
Posta un log di hijackthis usando queste indicazioni http://pc-security.forumattivo.com/aiuto-sono-infetto-f3/come-creare-un-log-hijackthis-t72.htm


ora riporto l'analisi...... spero di aver fatto tutto come doveva essere fatto!!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.27.10, on 20/01/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Erik.123-7ZOQJGP2J79\Impostazioni locali\Temp\Directory temporanea 1 per HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\alcomrg.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5566 bytes

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Torukk il Mar Gen 20, 2009 4:14 pm

Ciao allora 1a cosa devi assolutamente aggiornare windows attraverso windows update.. Vai su PANNELLO DI CONTROLLO>AGGIORNAMENTI AUTOMATICI clicca su AUTOMATICO poi clicca su applica. Installa tutti gli aggiornamenti disponibili.

Avvia hijackthis clicca su do a sistem scan only,metti la spunta alla seguente voce e premi fix checked:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



Su opzioni cartella abilita la visualizzazione di file e cartelle nascoste,trova il file c:\windows\System32\drivers\alcomrg.exe e analizzalo su virus total http://www.virustotal.com/it/ posta la pagina con i risultati dell'analisi.

Disinstalla AVG e NORTON,aggiorna Avira ed effettua una scansione completa,poi posta il log di fine scansione.


Scarica malwarebytes http://www.malwarebytes.org/mbam.php installalo aggiornalo ed effettua una scansione completa eliminando ciò che trova. Posta il log di fine scansione.

Torukk
Moderatore
Moderatore

Numero di messaggi : 204
Data d'iscrizione : 06.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

grazie..... ma......

Messaggio  grypsleroy il Sab Gen 24, 2009 9:39 pm

scusa.... appena ho tempo faccio il tutto. è solo che mercoledì ho un esame alla uni e nn ho molto tempo per afre altro.
ps: è un problema il fatto che mi sia impossibile scaricare gli aggiornamenti? diciamo che la versione che ho io è un po' diversa dale altre....
credo che ci siamo capiti. ritornando alla mi domanda.... se nn scarico gli aggiornamenti il virus si può elimianre lo stesso? Surprised

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Steve75 il Sab Gen 24, 2009 9:45 pm

ho unito i post...

si il virus si puo eliminare ugualmente, ma sappi che un sistema senza aggiornamenti e come una finestra senza vetri....

Steve75
Admin
Admin

Numero di messaggi : 614
Data d'iscrizione : 11.05.08

Vedere il profilo dell'utente http://pc-security.forumattivo.com

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Torukk il Sab Gen 24, 2009 10:24 pm

grypsleroy ha scritto:ps: è un problema il fatto che mi sia impossibile scaricare gli aggiornamenti? diciamo che la versione che ho io è un po' diversa dale altre....
Ciao grypsleroy, si in effetti quando ho visto che non avevi neanche il SP1 sono rimasto un pò sconcertato,poi dopo un pò ho capito perchè...
Comunque come giustamente ha già detto Steve si può eliminare tutto anche senza gli aggiornamenti,il problema però è che dopo 5 min su internet potresti (è un eufemismo) riprendere parecchie infezioni...
A parte ciò quando avrai tempo fai le cose che ti ho scritto sopra (ovviamente tranne gli aggiornamenti),così almeno ripuliamo il pc da quello che già c'è..

Torukk
Moderatore
Moderatore

Numero di messaggi : 204
Data d'iscrizione : 06.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

grazie e swcustae il ritardo...

Messaggio  grypsleroy il Mer Gen 28, 2009 11:38 pm

Ciao! chiedo scusa per il ritardo.... ma 'sti esami alla uni sn un pò impegnativi.
Cmq io su opzioni cartella dopo aver abilitato la visualizzazione di file e cartelle nascoste... purtroppo non ho trovato il file c:\windows\System32\drivers\alcomrg.exe Vi sono presenti solo ( relativi all'iniziale alc ): alcxinit, alcxsens, ALCXWDM.

Cosa mi consigliate di fare? Shocked

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Torukk il Gio Gen 29, 2009 12:41 am

Potresti specificare con più precisione la scritta che ti compare e quando ti compare?

Sempre in opzioni cartella togli la spunta a "nascondi i file protetti di sistema" e vedi se ora riesci a trovarlo.. Se non riesci neanche così a trovarlo rimetti la spunta a "nascondi i file protetti di sistema" e disabilita di nuovo la visualizzazione di file e cartelle nascoste.


Comunque esegui le altre cose e cioè:

Torukk ha scritto:Avvia hijackthis clicca su do a sistem scan only,metti la spunta alla seguente voce e premi fix checked:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



Disinstalla AVG e NORTON,aggiorna Avira ed effettua una scansione completa,poi posta il log di fine scansione.


Scarica malwarebytes http://www.malwarebytes.org/mbam.php installalo aggiornalo ed effettua una scansione completa eliminando ciò che trova. Posta il log di fine scansione.

Torukk
Moderatore
Moderatore

Numero di messaggi : 204
Data d'iscrizione : 06.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  grypsleroy il Gio Gen 29, 2009 10:20 pm

Torukk ha scritto:Potresti specificare con più precisione la scritta che ti compare e quando ti compare?

Sempre in opzioni cartella togli la spunta a "nascondi i file protetti di sistema" e vedi se ora riesci a trovarlo.. Se non riesci neanche così a trovarlo rimetti la spunta a "nascondi i file protetti di sistema" e disabilita di nuovo la visualizzazione di file e cartelle nascoste.


Comunque esegui le altre cose e cioè:

Torukk ha scritto:Avvia hijackthis clicca su do a sistem scan only,metti la spunta alla seguente voce e premi fix checked:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1



Disinstalla AVG e NORTON,aggiorna Avira ed effettua una scansione completa,poi posta il log di fine scansione.


Scarica malwarebytes http://www.malwarebytes.org/mbam.php installalo aggiornalo ed effettua una scansione completa eliminando ciò che trova. Posta il log di fine scansione.


allora... ho fatto tutto quello che hai detto riguardo alla ricerca dell'alcomrg.exe ma... sarò io ceco, però non l'ho trovato.
La parte relativa al regedit l'ho fatta.
Norton e avg sn stati disinstallati, e ho fatto partire lo scan di avira.

ecco il log di fine scansione:

Avira AntiVir Personal
Report file date: giovedì 29 gennaio 2009 17:42

Scanning for 1300021 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: 123-7ZOQJGP2J79

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:26
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 14:59:51
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23/01/2009 11:58:23
ANTIVIR3.VDF : 7.1.1.202 394240 Bytes 29/01/2009 16:23:14
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 22/01/2009 16:56:53
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 18/01/2009 15:02:00
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 18/01/2009 15:01:39
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 22/01/2009 16:56:02
AEHELP.DLL : 8.1.2.0 119159 Bytes 18/01/2009 15:00:51
AEGEN.DLL : 8.1.1.10 323957 Bytes 18/01/2009 15:00:39
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 18/01/2009 15:00:11
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programmi\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: giovedì 29 gennaio 2009 17:42

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'UsrPrmpt.exe' - '1' Module(s) have been scanned
Scan process 'ccApp.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'NPFMntor.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'ccEvtMgr.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ccSetMgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
24 processes with 24 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '44' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\erik\Desktop\harry potter\[PC GAME - CRACK] Harry Potter e il prigioniero di Azkaban - (Crack e Keygen).rar
[0] Archive type: RAR
--> Keygen.exe
[DETECTION] Is the TR/Renaz.4528 Trojan
[NOTE] The file was moved to '49c4ddca.qua'!
C:\Documents and Settings\erik\Impostazioni locali\Temp\000200C0.cab
[0] Archive type: CAB (Microsoft)
--> descriptor.xml
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005515.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e394.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005516.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '48c2fca5.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005517.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e395.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005518.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e396.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005519.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '48c2fca7.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005520.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e397.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005521.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '48c2fca8.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005522.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e398.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP8\A0011694.exe
[DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus
[NOTE] The file was moved to '49b1e3a2.qua'!


End of the scan: giovedì 29 gennaio 2009 18:16
Used time: 33:30 Minute(s)

The scan has been done completely.

4872 Scanning directories
225738 Files were scanned
10 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
10 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
225727 Files not concerned
2600 Archives were scanned
2 Warnings
10 Notes






malawarebytes installato ed ecco il log:

Malwarebytes' Anti-Malware 1.33
Versione del database: 1705
Windows 5.1.2600

29/01/2009 20.17.35
mbam-log-2009-01-29 (20-17-32).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 112424
Tempo trascorso: 1 hour(s), 50 minute(s), 16 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


penso di aver fatto tutto....



grazie mille!

ps: malawarebytes mi ha consigliato di cancellare hijackthis perchè lo riconosceva come "virus", fonte sospetta..... non mi ricordo il terimne esatto. che significa?

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Steve75 il Gio Gen 29, 2009 10:29 pm

ciao,

con malwarebytes quando finisce lo scan devi rimuovere quello che trova tramite il bottone rimuovi selezionati, non lo fà in automatico

poi, disattiva il ripristino configurazione di sistema
non dimenticare di riattivarlo e di creare un punto di ripristino pulito

fai girare combofix com spiegato QUI e posta il suo log

Steve75
Admin
Admin

Numero di messaggi : 614
Data d'iscrizione : 11.05.08

Vedere il profilo dell'utente http://pc-security.forumattivo.com

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Torukk il Gio Gen 29, 2009 10:43 pm

grypsleroy ha scritto:ps: malawarebytes mi ha consigliato di cancellare hijackthis perchè lo riconosceva come "virus", fonte sospetta..... non mi ricordo il terimne esatto. che significa?
Quello che ha trovato malwarebytes è un hijacker,cioè un tipo di malware, non il programma hijackthis,che probabilmente prende il suo nome proprio da questi...

Per terminare la pulizia segui i consigli che ti ha dato qui sopra Steve

Torukk
Moderatore
Moderatore

Numero di messaggi : 204
Data d'iscrizione : 06.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  grypsleroy il Ven Gen 30, 2009 9:48 pm

Torukk ha scritto:
grypsleroy ha scritto:ps: malawarebytes mi ha consigliato di cancellare hijackthis perchè lo riconosceva come "virus", fonte sospetta..... non mi ricordo il terimne esatto. che significa?
Quello che ha trovato malwarebytes è un hijacker,cioè un tipo di malware, non il programma hijackthis,che probabilmente prende il suo nome proprio da questi...

Per terminare la pulizia segui i consigli che ti ha dato qui sopra Steve

grazie per la spiegazione Smile

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Torukk il Sab Gen 31, 2009 1:04 am

Di niente figurati!! Smile

Torukk
Moderatore
Moderatore

Numero di messaggi : 204
Data d'iscrizione : 06.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  grypsleroy il Dom Feb 01, 2009 4:28 pm

Steve75 ha scritto:ciao,

con malwarebytes quando finisce lo scan devi rimuovere quello che trova tramite il bottone rimuovi selezionati, non lo fà in automatico

poi, disattiva il ripristino configurazione di sistema
non dimenticare di riattivarlo e di creare un punto di ripristino pulito

fai girare combofix com spiegato QUI e posta il suo log


allora: rimosso tutto cn malaware bytes.
posto il log:
Malwarebytes' Anti-Malware 1.33
Versione del database: 1705
Windows 5.1.2600

29/01/2009 20.17.35
mbam-log-2009-01-29 (20-17-32).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 112424
Tempo trascorso: 1 hour(s), 50 minute(s), 16 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)


disattivato e riattivato il punto di ripristino.

fatto girare il combofix: nn sn riuscito a postare il log però...

riporto il "risultato":
scan completed succesfully: hidden process 0, hidden service 0, hidden files 0.

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Steve75 il Dom Feb 01, 2009 4:41 pm

Ciao grypsleroy,

il log di malwarebytes é quello dello scan , alla fine hai cliccato su rimuovi selezionati?

per quanto riguarda combofix, il log é obbligatorio controllarlo, in quanto anche se riporta, scan completed succesfully: hidden process 0, hidden service 0, hidden files 0., non vuol dire che non ci sia niente.

Per postarlo , caricalo su questo server, www.mediafire.com e poi postaci il log per scaricarlo

Buona domenica

Steve75
Admin
Admin

Numero di messaggi : 614
Data d'iscrizione : 11.05.08

Vedere il profilo dell'utente http://pc-security.forumattivo.com

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  grypsleroy il Lun Feb 02, 2009 10:26 pm

Torukk ha scritto:Di niente figurati!! Smile

ps: riguardo al fatto che nn trovavo il file alcomrg.exe....

Ogni volta che accendo il pc compare questa scritta:

Impossibile trovare il file: C.\WINDOWS\System32\drivers\alcomrg.exe Verificare che il percorso e il nome del file siano corretti e ritentare. Per cercare un file fare clic sul pulstante start, quindi scegliere trova.. Ho solo l'ok o la x in alto a sinistra.


Grazie per l'aiuto! Very Happy

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Torukk il Lun Feb 02, 2009 10:48 pm

Ok fai così:

Chiudi tutte le applicazioni, avvia hijackthis clicca su Do a sistem scan only,metti la spunta nel quadratino a sinistra alla seguente voce e premi fix checked:
Codice:
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\alcomrg.exe

Segui anche i consigli di Steve,potrebbero esserci altri problemi...
Steve75 ha scritto:il log di malwarebytes é quello dello scan , alla fine hai cliccato su rimuovi selezionati?

per quanto riguarda combofix, il log é obbligatorio controllarlo, in quanto anche se riporta, scan completed succesfully: hidden process 0, hidden service 0, hidden files 0., non vuol dire che non ci sia niente.

Per postarlo , caricalo su questo server, www.mediafire.com e poi postaci il log per scaricarlo


Il log di combofix lo trovi in c:\

Torukk
Moderatore
Moderatore

Numero di messaggi : 204
Data d'iscrizione : 06.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  grypsleroy il Mar Feb 03, 2009 11:26 pm

Torukk ha scritto:Ok fai così:

Chiudi tutte le applicazioni, avvia hijackthis clicca su Do a sistem scan only,metti la spunta nel quadratino a sinistra alla seguente voce e premi fix checked:
Codice:
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\alcomrg.exe

Segui anche i consigli di Steve,potrebbero esserci altri problemi...
Steve75 ha scritto:il log di malwarebytes é quello dello scan , alla fine hai cliccato su rimuovi selezionati?

per quanto riguarda combofix, il log é obbligatorio controllarlo, in quanto anche se riporta, scan completed succesfully: hidden process 0, hidden service 0, hidden files 0., non vuol dire che non ci sia niente.

Per postarlo , caricalo su questo server, www.mediafire.com e poi postaci il log per scaricarlo


Il log di combofix lo trovi in c:\


scusate il ritardo ma sto avendo nelle difficoltà a far ripartire il combofix. dopo aver seguito le istruzioni riguardo al [code]F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\alcomrg.exe , il mess. a accensione pc è sparito. purtropop adesso ogni volta che decido di far partire combofix mi riappare la finestra dell'nsauthority ( che precedentemente era sparita ) e il pc si riavvia...

proverò meglio domani... oggi mi han fatto lavorare duramente... e in più adexo devo studiare diritto privatoooooo Evil or Very Mad

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Torukk il Mer Feb 04, 2009 12:00 am

Comunque se tu vai in c:\ troverai un file dal nome combofix.txt (a meno che non l'hai cancellato ma non credo) il quale sarebbe il log della scansione che hai già fatto l'altra volta,puoi postare tranquillamente anche quello senza rifare nuovamente la scansione...

Per quanto riguarda il problema del riavvio quando fai partire combofix non ho capito molto bene il problema,cerca di inserire più dettagli..

Per diritto privato ti capisco,ci sono passato...
Ciao! Smile

Torukk
Moderatore
Moderatore

Numero di messaggi : 204
Data d'iscrizione : 06.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  grypsleroy il Mer Feb 04, 2009 9:01 pm

Steve75 ha scritto:Ciao grypsleroy,

il log di malwarebytes é quello dello scan , alla fine hai cliccato su rimuovi selezionati?

per quanto riguarda combofix, il log é obbligatorio controllarlo, in quanto anche se riporta, scan completed succesfully: hidden process 0, hidden service 0, hidden files 0., non vuol dire che non ci sia niente.

Per postarlo , caricalo su questo server, www.mediafire.com e poi postaci il log per scaricarlo

Buona domenica


si ho rimosso i selezionati d malawarebytes.

ecco il log di combofix.

ComboFix 09-02-02.04 - Erik 2009-02-04 18:07:41.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1040.18.255.56 [GMT 1:00]
Eseguito da: D:\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\fcdveyzps.exe
c:\windows\system32\spoolsvc.exe
c:\windows\system32\winiogon.exe

.
((((((((((((((((((((((((( Files Creati Da 2009-01-04 al 2009-02-04 )))))))))))))))))))))))))))))))))))
.

2009-02-04 18:02 . 2009-02-04 18:02 29,184 --a------ c:\windows\system32\scumr.exe
2009-02-03 21:15 . 2009-02-03 21:15 127 --a------ c:\windows\system32\rwfnmgrg.bat
2009-02-03 21:14 . 2009-02-03 21:14 70,706 --ah----- c:\windows\system32\idqsvrh.exe
2009-02-03 21:12 . 2009-02-03 21:12 68 --a------ c:\windows\system32\ii
2009-01-30 22:05 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix
2009-01-29 18:23 . 2009-01-29 20:17 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-01-29 18:23 . 2009-01-29 18:23 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Malwarebytes
2009-01-29 18:23 . 2009-01-29 18:23 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Malwarebytes
2009-01-29 18:23 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-29 18:23 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-29 17:31 . 2009-01-29 17:31 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Avg7
2009-01-18 14:41 . 2009-01-18 14:41 <DIR> d-------- c:\programmi\Avira
2009-01-18 14:41 . 2009-01-18 14:41 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Avira
2009-01-16 20:48 . 2009-01-16 20:48 4,608 --a------ c:\windows\system32\drivers\symlcbrd.sys
2009-01-16 20:47 . 2009-01-16 20:58 <DIR> d-------- c:\programmi\Norton AntiVirus
2009-01-16 20:47 . 2009-01-16 20:47 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Symantec
2009-01-16 20:47 . 2004-08-26 14:03 104,144 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-16 20:47 . 2004-08-26 14:03 83,168 --a------ c:\windows\system32\S32EVNT1.DLL
2009-01-16 20:46 . 2009-01-29 17:38 <DIR> d-------- c:\programmi\Symantec
2009-01-16 20:46 . 2009-01-29 17:38 <DIR> d-------- c:\programmi\File comuni\Symantec Shared
2009-01-16 20:46 . 2009-01-16 20:55 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Symantec
2009-01-16 14:15 . 2009-01-16 14:15 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\.housecall6.6
2009-01-16 13:00 . 2009-01-17 12:47 64 --a------ c:\windows\system32\o

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-03 19:28 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Skype
2009-02-03 18:39 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\skypePM
2009-01-27 15:32 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\OpenOffice.org2
2009-01-14 18:32 133,120 ----a-w c:\windows\system32\sfc_os.dll
2008-12-28 10:27 --------- d-----w c:\programmi\Trust
2008-12-28 10:24 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\EPSON
2008-12-06 10:28 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-12-06 10:26 --------- d-----w c:\programmi\File comuni\InstallShield
2008-12-06 10:24 --------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\UDL
2008-12-06 10:21 --------- d-----w c:\programmi\EPSON
2008-12-06 10:16 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\InstallShield
2008-12-06 10:15 --------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\EPSON
2007-12-26 12:15 32,768 --sha-w c:\programmi\Thumbs.db
.

((((((((((((((((((((((((((((( snapshot@2009-02-03_20.51.53,09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-08 13:08:46 39,992 ----a-w c:\windows\system32\perfc009.dat
+ 2009-02-03 20:10:23 39,992 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-08 13:08:46 47,592 ----a-w c:\windows\system32\perfc010.dat
+ 2009-02-03 20:10:23 47,592 ----a-w c:\windows\system32\perfc010.dat
- 2008-12-08 13:08:46 311,604 ----a-w c:\windows\system32\perfh009.dat
+ 2009-02-03 20:10:23 311,604 ----a-w c:\windows\system32\perfh009.dat
- 2008-12-08 13:08:46 345,010 ----a-w c:\windows\system32\perfh010.dat
+ 2009-02-03 20:10:23 345,010 ----a-w c:\windows\system32\perfh010.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2004-08-24 58488]
"SSC_UserPrompt"="c:\programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-08-18 218240]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-31 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-01-18 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-01-18 45376]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenuto della cartella 'Scheduled Tasks'

2009-02-04 c:\windows\Tasks\1-Click Maintenance.job
- c:\programmi\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:09]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-Spooler SubSystem App - c:\windows\System32\spoolsvc.exe


.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
FF - ProfilePath - c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Mozilla\Firefox\Profiles\i73mtetv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it
FF - component: c:\programmi\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-04 18:11:17
Windows 5.1.2600 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

- - - - - - - > 'lsass.exe'(688)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
Ora fine scansione: 2009-02-04 18:13:27
ComboFix-quarantined-files.txt 2009-02-04 17:13:14
ComboFix2.txt 2009-02-03 19:52:48

Pre-Run: 34,493,734,912 byte disponibili
Post-Run: 34,486,910,976 byte disponibili

134





grazie ancoraaa

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Steve75 il Mer Feb 04, 2009 9:58 pm

ciao,

siamo a buon punto, fai cosi;

* Scarica ATF Cleaner
- Avvialo con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)

Ora apri una pagina del blocco note e copia incolla quanto segue;


file::
c:\windows\system32\scumr.exe
c:\windows\system32\rwfnmgrg.bat
c:\windows\system32\idqsvrh.exe
c:\windows\system32\ii
c:\windows\system32\o

salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine, riposta il suo log e dicci come va...

dovresti anche evitare di usare piu di un antivirus, eliminando tutti i residui degli altri precendentemente installati..

Steve75
Admin
Admin

Numero di messaggi : 614
Data d'iscrizione : 11.05.08

Vedere il profilo dell'utente http://pc-security.forumattivo.com

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  grypsleroy il Sab Feb 07, 2009 12:52 am

Steve75 ha scritto:ciao,

siamo a buon punto, fai cosi;

* Scarica ATF Cleaner
- Avvialo con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)

Ora apri una pagina del blocco note e copia incolla quanto segue;


file::
c:\windows\system32\scumr.exe
c:\windows\system32\rwfnmgrg.bat
c:\windows\system32\idqsvrh.exe
c:\windows\system32\ii
c:\windows\system32\o

salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine, riposta il suo log e dicci come va...

dovresti anche evitare di usare piu di un antivirus, eliminando tutti i residui degli altri precendentemente installati..




fatto: ecco il log:


ComboFix 09-02-02.04 - Erik 2009-02-06 22.41.05.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1040.18.255.79 [GMT 1:00]
Eseguito da: D:\ComboFix.exe
Opzioni usate :: c:\documents and settings\Erik.123-7ZOQJGP2J79\Desktop\CFScript.txt
* Creato nuovo punto di ripristino

FILE ::
c:\windows\system32\idqsvrh.exe
c:\windows\system32\ii
c:\windows\system32\o
c:\windows\system32\rwfnmgrg.bat
c:\windows\system32\scumr.exe
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Esecuzione precedente -------
.
c:\windows\system32\idqsvrh.exe
c:\windows\system32\ii
c:\windows\system32\o
c:\windows\system32\rwfnmgrg.bat
c:\windows\system32\scumr.exe

.
((((((((((((((((((((((((( Files Creati Da 2009-01-06 al 2009-02-06 )))))))))))))))))))))))))))))))))))
.

2009-01-30 22:05 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix
2009-01-29 18:23 . 2009-01-29 20:17 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-01-29 18:23 . 2009-01-29 18:23 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Malwarebytes
2009-01-29 18:23 . 2009-01-29 18:23 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Malwarebytes
2009-01-29 18:23 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-29 18:23 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-29 17:31 . 2009-01-29 17:31 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Avg7
2009-01-18 14:41 . 2009-01-18 14:41 <DIR> d-------- c:\programmi\Avira
2009-01-18 14:41 . 2009-01-18 14:41 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Avira
2009-01-16 20:48 . 2009-01-16 20:48 4,608 --a------ c:\windows\system32\drivers\symlcbrd.sys
2009-01-16 20:47 . 2009-01-16 20:58 <DIR> d-------- c:\programmi\Norton AntiVirus
2009-01-16 20:47 . 2009-01-16 20:47 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Symantec
2009-01-16 20:47 . 2004-08-26 14:03 104,144 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-16 20:47 . 2004-08-26 14:03 83,168 --a------ c:\windows\system32\S32EVNT1.DLL
2009-01-16 20:46 . 2009-01-29 17:38 <DIR> d-------- c:\programmi\Symantec
2009-01-16 20:46 . 2009-01-29 17:38 <DIR> d-------- c:\programmi\File comuni\Symantec Shared
2009-01-16 20:46 . 2009-01-16 20:55 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Symantec
2009-01-16 14:15 . 2009-01-16 14:15 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\.housecall6.6

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-06 19:50 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Skype
2009-02-06 19:17 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\skypePM
2009-01-27 15:32 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\OpenOffice.org2
2009-01-14 18:32 133,120 ----a-w c:\windows\system32\sfc_os.dll
2008-12-28 10:27 --------- d-----w c:\programmi\Trust
2008-12-28 10:24 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\EPSON
2008-12-06 10:28 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-12-06 10:26 --------- d-----w c:\programmi\File comuni\InstallShield
2008-12-06 10:24 --------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\UDL
2008-12-06 10:21 --------- d-----w c:\programmi\EPSON
2008-12-06 10:16 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\InstallShield
2008-12-06 10:15 --------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\EPSON
2007-12-26 12:15 32,768 --sha-w c:\programmi\Thumbs.db
.

((((((((((((((((((((((((((((( snapshot@2009-02-03_20.51.53,09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-08 13:08:46 39,992 ----a-w c:\windows\system32\perfc009.dat
+ 2009-02-03 20:10:23 39,992 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-08 13:08:46 47,592 ----a-w c:\windows\system32\perfc010.dat
+ 2009-02-03 20:10:23 47,592 ----a-w c:\windows\system32\perfc010.dat
- 2008-12-08 13:08:46 311,604 ----a-w c:\windows\system32\perfh009.dat
+ 2009-02-03 20:10:23 311,604 ----a-w c:\windows\system32\perfh009.dat
- 2008-12-08 13:08:46 345,010 ----a-w c:\windows\system32\perfh010.dat
+ 2009-02-03 20:10:23 345,010 ----a-w c:\windows\system32\perfh010.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2004-08-24 58488]
"SSC_UserPrompt"="c:\programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-08-18 218240]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-31 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-01-18 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-01-18 45376]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenuto della cartella 'Scheduled Tasks'

2009-02-06 c:\windows\Tasks\1-Click Maintenance.job
- c:\programmi\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:09]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
FF - ProfilePath - c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Mozilla\Firefox\Profiles\i73mtetv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it
FF - component: c:\programmi\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 22:43:52
Windows 5.1.2600 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

- - - - - - - > 'lsass.exe'(688)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
Ora fine scansione: 2009-02-06 22.46.02
ComboFix-quarantined-files.txt 2009-02-06 21:45:59
ComboFix2.txt 2009-02-04 17:13:28
ComboFix3.txt 2009-02-03 19:52:48

Pre-Run: 34.404.831.232 byte disponibili
Post-Run: 34,398,162,944 byte disponibili

140


ps: riguardo agli antivirus..li ho disinstallati tramite pannello di controllo... forse era meglio se usavo regcleaner. Very Happy

grypsleroy

Numero di messaggi : 19
Data d'iscrizione : 18.01.09

Vedere il profilo dell'utente

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Steve75 il Sab Feb 07, 2009 5:18 pm

come vanno adesso le cose?

Steve75
Admin
Admin

Numero di messaggi : 614
Data d'iscrizione : 11.05.08

Vedere il profilo dell'utente http://pc-security.forumattivo.com

Tornare in alto Andare in basso

Re: virus alcomrg.exe

Messaggio  Contenuto sponsorizzato Oggi a 3:23 am


Contenuto sponsorizzato


Tornare in alto Andare in basso

Pagina 1 di 3 1, 2, 3  Seguente

Vedere l'argomento precedente Vedere l'argomento seguente Tornare in alto

- Argomenti simili

 
Permesso di questo forum:
Non puoi rispondere agli argomenti in questo forum