virus alcomrg.exe
4 partecipanti
Pagina 1 di 3
Pagina 1 di 3 • 1, 2, 3
virus alcomrg.exe
Salve a tutti!!! sn nuovo in questo forum... Mi sono iscritto perchè via answers di yahoo un certo "stockand"( lo conoscete ) mi ha consigliato di contattare questo forum in caso di necessità. Purtroppo da alcuni giorni sul desktop di un mio pc con sistema operativo w.xp compare una scritta che è più o meno questa: errore da System32\drivers\alcomrg.exe etc etc...... Prima ancora ho avuto problemi con NT AUTHORITY / SYSTEM.... Sconfitto tale virus con avg è subito comparso l'errore del system 32. Ho tentato in tutti i modi ,a me noti, di eliminarlo: avg, avira, ripristino configurazione etc etc..... Purtroppo mi è rimasta una sola opzione: installare norton...... Ma nonostante il fatto che il disco venga letto, il pc non mi fa partire l'autorun.... sono disperato. pleaze help me!!!
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
Ciao e benvenuto nel forum!
Posta un log di hijackthis usando queste indicazioni https://pc-security.forumattivo.com/aiuto-sono-infetto-f3/come-creare-un-log-hijackthis-t72.htm
Posta un log di hijackthis usando queste indicazioni https://pc-security.forumattivo.com/aiuto-sono-infetto-f3/come-creare-un-log-hijackthis-t72.htm
Torukk- Moderatore
- Numero di messaggi : 204
Data d'iscrizione : 06.01.09
Re: virus alcomrg.exe
ciao e benveuto anche da parte mia grypsleroy....
se vuoi presentarti , fai un salto nella sezione Benvenuto nuovo utente
se vuoi presentarti , fai un salto nella sezione Benvenuto nuovo utente
analisi effettuata....
Torukk ha scritto:Ciao e benvenuto nel forum!
Posta un log di hijackthis usando queste indicazioni https://pc-security.forumattivo.com/aiuto-sono-infetto-f3/come-creare-un-log-hijackthis-t72.htm
ora riporto l'analisi...... spero di aver fatto tutto come doveva essere fatto!!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.27.10, on 20/01/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Erik.123-7ZOQJGP2J79\Impostazioni locali\Temp\Directory temporanea 1 per HiJackThis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\alcomrg.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 5566 bytes
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
Ciao allora 1a cosa devi assolutamente aggiornare windows attraverso windows update.. Vai su PANNELLO DI CONTROLLO>AGGIORNAMENTI AUTOMATICI clicca su AUTOMATICO poi clicca su applica. Installa tutti gli aggiornamenti disponibili.
Avvia hijackthis clicca su do a sistem scan only,metti la spunta alla seguente voce e premi fix checked:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Su opzioni cartella abilita la visualizzazione di file e cartelle nascoste,trova il file c:\windows\System32\drivers\alcomrg.exe e analizzalo su virus total http://www.virustotal.com/it/ posta la pagina con i risultati dell'analisi.
Disinstalla AVG e NORTON,aggiorna Avira ed effettua una scansione completa,poi posta il log di fine scansione.
Scarica malwarebytes http://www.malwarebytes.org/mbam.php installalo aggiornalo ed effettua una scansione completa eliminando ciò che trova. Posta il log di fine scansione.
Avvia hijackthis clicca su do a sistem scan only,metti la spunta alla seguente voce e premi fix checked:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Su opzioni cartella abilita la visualizzazione di file e cartelle nascoste,trova il file c:\windows\System32\drivers\alcomrg.exe e analizzalo su virus total http://www.virustotal.com/it/ posta la pagina con i risultati dell'analisi.
Disinstalla AVG e NORTON,aggiorna Avira ed effettua una scansione completa,poi posta il log di fine scansione.
Scarica malwarebytes http://www.malwarebytes.org/mbam.php installalo aggiornalo ed effettua una scansione completa eliminando ciò che trova. Posta il log di fine scansione.
Torukk- Moderatore
- Numero di messaggi : 204
Data d'iscrizione : 06.01.09
grazie..... ma......
scusa.... appena ho tempo faccio il tutto. è solo che mercoledì ho un esame alla uni e nn ho molto tempo per afre altro.
ps: è un problema il fatto che mi sia impossibile scaricare gli aggiornamenti? diciamo che la versione che ho io è un po' diversa dale altre....
credo che ci siamo capiti. ritornando alla mi domanda.... se nn scarico gli aggiornamenti il virus si può elimianre lo stesso?
ps: è un problema il fatto che mi sia impossibile scaricare gli aggiornamenti? diciamo che la versione che ho io è un po' diversa dale altre....
credo che ci siamo capiti. ritornando alla mi domanda.... se nn scarico gli aggiornamenti il virus si può elimianre lo stesso?
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
ho unito i post...
si il virus si puo eliminare ugualmente, ma sappi che un sistema senza aggiornamenti e come una finestra senza vetri....
si il virus si puo eliminare ugualmente, ma sappi che un sistema senza aggiornamenti e come una finestra senza vetri....
Re: virus alcomrg.exe
Ciao grypsleroy, si in effetti quando ho visto che non avevi neanche il SP1 sono rimasto un pò sconcertato,poi dopo un pò ho capito perchè...grypsleroy ha scritto:ps: è un problema il fatto che mi sia impossibile scaricare gli aggiornamenti? diciamo che la versione che ho io è un po' diversa dale altre....
Comunque come giustamente ha già detto Steve si può eliminare tutto anche senza gli aggiornamenti,il problema però è che dopo 5 min su internet potresti (è un eufemismo) riprendere parecchie infezioni...
A parte ciò quando avrai tempo fai le cose che ti ho scritto sopra (ovviamente tranne gli aggiornamenti),così almeno ripuliamo il pc da quello che già c'è..
Torukk- Moderatore
- Numero di messaggi : 204
Data d'iscrizione : 06.01.09
grazie e swcustae il ritardo...
Ciao! chiedo scusa per il ritardo.... ma 'sti esami alla uni sn un pò impegnativi.
Cmq io su opzioni cartella dopo aver abilitato la visualizzazione di file e cartelle nascoste... purtroppo non ho trovato il file c:\windows\System32\drivers\alcomrg.exe Vi sono presenti solo ( relativi all'iniziale alc ): alcxinit, alcxsens, ALCXWDM.
Cosa mi consigliate di fare?
Cmq io su opzioni cartella dopo aver abilitato la visualizzazione di file e cartelle nascoste... purtroppo non ho trovato il file c:\windows\System32\drivers\alcomrg.exe Vi sono presenti solo ( relativi all'iniziale alc ): alcxinit, alcxsens, ALCXWDM.
Cosa mi consigliate di fare?
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
Potresti specificare con più precisione la scritta che ti compare e quando ti compare?
Sempre in opzioni cartella togli la spunta a "nascondi i file protetti di sistema" e vedi se ora riesci a trovarlo.. Se non riesci neanche così a trovarlo rimetti la spunta a "nascondi i file protetti di sistema" e disabilita di nuovo la visualizzazione di file e cartelle nascoste.
Comunque esegui le altre cose e cioè:
Sempre in opzioni cartella togli la spunta a "nascondi i file protetti di sistema" e vedi se ora riesci a trovarlo.. Se non riesci neanche così a trovarlo rimetti la spunta a "nascondi i file protetti di sistema" e disabilita di nuovo la visualizzazione di file e cartelle nascoste.
Comunque esegui le altre cose e cioè:
Torukk ha scritto:Avvia hijackthis clicca su do a sistem scan only,metti la spunta alla seguente voce e premi fix checked:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Disinstalla AVG e NORTON,aggiorna Avira ed effettua una scansione completa,poi posta il log di fine scansione.
Scarica malwarebytes http://www.malwarebytes.org/mbam.php installalo aggiornalo ed effettua una scansione completa eliminando ciò che trova. Posta il log di fine scansione.
Torukk- Moderatore
- Numero di messaggi : 204
Data d'iscrizione : 06.01.09
Re: virus alcomrg.exe
Torukk ha scritto:Potresti specificare con più precisione la scritta che ti compare e quando ti compare?
Sempre in opzioni cartella togli la spunta a "nascondi i file protetti di sistema" e vedi se ora riesci a trovarlo.. Se non riesci neanche così a trovarlo rimetti la spunta a "nascondi i file protetti di sistema" e disabilita di nuovo la visualizzazione di file e cartelle nascoste.
Comunque esegui le altre cose e cioè:Torukk ha scritto:Avvia hijackthis clicca su do a sistem scan only,metti la spunta alla seguente voce e premi fix checked:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Disinstalla AVG e NORTON,aggiorna Avira ed effettua una scansione completa,poi posta il log di fine scansione.
Scarica malwarebytes http://www.malwarebytes.org/mbam.php installalo aggiornalo ed effettua una scansione completa eliminando ciò che trova. Posta il log di fine scansione.
allora... ho fatto tutto quello che hai detto riguardo alla ricerca dell'alcomrg.exe ma... sarò io ceco, però non l'ho trovato.
La parte relativa al regedit l'ho fatta.
Norton e avg sn stati disinstallati, e ho fatto partire lo scan di avira.
ecco il log di fine scansione:
Avira AntiVir Personal
Report file date: giovedì 29 gennaio 2009 17:42
Scanning for 1300021 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: 123-7ZOQJGP2J79
Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:26
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 14:59:51
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23/01/2009 11:58:23
ANTIVIR3.VDF : 7.1.1.202 394240 Bytes 29/01/2009 16:23:14
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 22/01/2009 16:56:53
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 18/01/2009 15:02:00
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 18/01/2009 15:01:39
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 22/01/2009 16:56:02
AEHELP.DLL : 8.1.2.0 119159 Bytes 18/01/2009 15:00:51
AEGEN.DLL : 8.1.1.10 323957 Bytes 18/01/2009 15:00:39
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 18/01/2009 15:00:11
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programmi\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: giovedì 29 gennaio 2009 17:42
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'UsrPrmpt.exe' - '1' Module(s) have been scanned
Scan process 'ccApp.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'NPFMntor.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'ccEvtMgr.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ccSetMgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
24 processes with 24 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Starting to scan the registry.
The registry was scanned ( '44' files ).
Starting the file scan:
Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\erik\Desktop\harry potter\[PC GAME - CRACK] Harry Potter e il prigioniero di Azkaban - (Crack e Keygen).rar
[0] Archive type: RAR
--> Keygen.exe
[DETECTION] Is the TR/Renaz.4528 Trojan
[NOTE] The file was moved to '49c4ddca.qua'!
C:\Documents and Settings\erik\Impostazioni locali\Temp\000200C0.cab
[0] Archive type: CAB (Microsoft)
--> descriptor.xml
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005515.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e394.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005516.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '48c2fca5.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005517.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e395.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005518.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e396.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005519.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '48c2fca7.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005520.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e397.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005521.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '48c2fca8.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP6\A0005522.exe
[DETECTION] Contains recognition pattern of the WORM/SdBot.657408 worm
[NOTE] The file was moved to '49b1e398.qua'!
C:\System Volume Information\_restore{85EC551B-AF2E-403E-8569-987A94BE095E}\RP8\A0011694.exe
[DETECTION] Contains recognition pattern of the W32/Virut.AX Windows virus
[NOTE] The file was moved to '49b1e3a2.qua'!
End of the scan: giovedì 29 gennaio 2009 18:16
Used time: 33:30 Minute(s)
The scan has been done completely.
4872 Scanning directories
225738 Files were scanned
10 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
10 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
225727 Files not concerned
2600 Archives were scanned
2 Warnings
10 Notes
malawarebytes installato ed ecco il log:
Malwarebytes' Anti-Malware 1.33
Versione del database: 1705
Windows 5.1.2600
29/01/2009 20.17.35
mbam-log-2009-01-29 (20-17-32).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 112424
Tempo trascorso: 1 hour(s), 50 minute(s), 16 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
(Nessun elemento malevolo rilevato)
penso di aver fatto tutto....
grazie mille!
ps: malawarebytes mi ha consigliato di cancellare hijackthis perchè lo riconosceva come "virus", fonte sospetta..... non mi ricordo il terimne esatto. che significa?
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
ciao,
con malwarebytes quando finisce lo scan devi rimuovere quello che trova tramite il bottone rimuovi selezionati, non lo fà in automatico
poi, disattiva il ripristino configurazione di sistema
non dimenticare di riattivarlo e di creare un punto di ripristino pulito
fai girare combofix com spiegato QUI e posta il suo log
con malwarebytes quando finisce lo scan devi rimuovere quello che trova tramite il bottone rimuovi selezionati, non lo fà in automatico
poi, disattiva il ripristino configurazione di sistema
non dimenticare di riattivarlo e di creare un punto di ripristino pulito
fai girare combofix com spiegato QUI e posta il suo log
Re: virus alcomrg.exe
Quello che ha trovato malwarebytes è un hijacker,cioè un tipo di malware, non il programma hijackthis,che probabilmente prende il suo nome proprio da questi...grypsleroy ha scritto:ps: malawarebytes mi ha consigliato di cancellare hijackthis perchè lo riconosceva come "virus", fonte sospetta..... non mi ricordo il terimne esatto. che significa?
Per terminare la pulizia segui i consigli che ti ha dato qui sopra Steve
Torukk- Moderatore
- Numero di messaggi : 204
Data d'iscrizione : 06.01.09
Re: virus alcomrg.exe
Torukk ha scritto:Quello che ha trovato malwarebytes è un hijacker,cioè un tipo di malware, non il programma hijackthis,che probabilmente prende il suo nome proprio da questi...grypsleroy ha scritto:ps: malawarebytes mi ha consigliato di cancellare hijackthis perchè lo riconosceva come "virus", fonte sospetta..... non mi ricordo il terimne esatto. che significa?
Per terminare la pulizia segui i consigli che ti ha dato qui sopra Steve
grazie per la spiegazione
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
Di niente figurati!!
Torukk- Moderatore
- Numero di messaggi : 204
Data d'iscrizione : 06.01.09
Re: virus alcomrg.exe
Steve75 ha scritto:ciao,
con malwarebytes quando finisce lo scan devi rimuovere quello che trova tramite il bottone rimuovi selezionati, non lo fà in automatico
poi, disattiva il ripristino configurazione di sistema
non dimenticare di riattivarlo e di creare un punto di ripristino pulito
fai girare combofix com spiegato QUI e posta il suo log
allora: rimosso tutto cn malaware bytes.
posto il log:
Malwarebytes' Anti-Malware 1.33
Versione del database: 1705
Windows 5.1.2600
29/01/2009 20.17.35
mbam-log-2009-01-29 (20-17-32).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 112424
Tempo trascorso: 1 hour(s), 50 minute(s), 16 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 1
Cartelle infette: 0
File infetti: 0
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
(Nessun elemento malevolo rilevato)
Valori di registro infetti:
(Nessun elemento malevolo rilevato)
Elementi dato del registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
Cartelle infette:
(Nessun elemento malevolo rilevato)
File infetti:
(Nessun elemento malevolo rilevato)
disattivato e riattivato il punto di ripristino.
fatto girare il combofix: nn sn riuscito a postare il log però...
riporto il "risultato":
scan completed succesfully: hidden process 0, hidden service 0, hidden files 0.
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
Ciao grypsleroy,
il log di malwarebytes é quello dello scan , alla fine hai cliccato su rimuovi selezionati?
per quanto riguarda combofix, il log é obbligatorio controllarlo, in quanto anche se riporta, scan completed succesfully: hidden process 0, hidden service 0, hidden files 0., non vuol dire che non ci sia niente.
Per postarlo , caricalo su questo server, www.mediafire.com e poi postaci il log per scaricarlo
Buona domenica
il log di malwarebytes é quello dello scan , alla fine hai cliccato su rimuovi selezionati?
per quanto riguarda combofix, il log é obbligatorio controllarlo, in quanto anche se riporta, scan completed succesfully: hidden process 0, hidden service 0, hidden files 0., non vuol dire che non ci sia niente.
Per postarlo , caricalo su questo server, www.mediafire.com e poi postaci il log per scaricarlo
Buona domenica
Re: virus alcomrg.exe
Torukk ha scritto:Di niente figurati!!
ps: riguardo al fatto che nn trovavo il file alcomrg.exe....
Ogni volta che accendo il pc compare questa scritta:
Impossibile trovare il file: C.\WINDOWS\System32\drivers\alcomrg.exe Verificare che il percorso e il nome del file siano corretti e ritentare. Per cercare un file fare clic sul pulstante start, quindi scegliere trova.. Ho solo l'ok o la x in alto a sinistra.
Grazie per l'aiuto!
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
Ok fai così:
Chiudi tutte le applicazioni, avvia hijackthis clicca su Do a sistem scan only,metti la spunta nel quadratino a sinistra alla seguente voce e premi fix checked:
Segui anche i consigli di Steve,potrebbero esserci altri problemi...
Il log di combofix lo trovi in c:\
Chiudi tutte le applicazioni, avvia hijackthis clicca su Do a sistem scan only,metti la spunta nel quadratino a sinistra alla seguente voce e premi fix checked:
- Codice:
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\alcomrg.exe
Segui anche i consigli di Steve,potrebbero esserci altri problemi...
Steve75 ha scritto:il log di malwarebytes é quello dello scan , alla fine hai cliccato su rimuovi selezionati?
per quanto riguarda combofix, il log é obbligatorio controllarlo, in quanto anche se riporta, scan completed succesfully: hidden process 0, hidden service 0, hidden files 0., non vuol dire che non ci sia niente.
Per postarlo , caricalo su questo server, www.mediafire.com e poi postaci il log per scaricarlo
Il log di combofix lo trovi in c:\
Torukk- Moderatore
- Numero di messaggi : 204
Data d'iscrizione : 06.01.09
Re: virus alcomrg.exe
Torukk ha scritto:Ok fai così:
Chiudi tutte le applicazioni, avvia hijackthis clicca su Do a sistem scan only,metti la spunta nel quadratino a sinistra alla seguente voce e premi fix checked:
- Codice:
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\alcomrg.exe
Segui anche i consigli di Steve,potrebbero esserci altri problemi...Steve75 ha scritto:il log di malwarebytes é quello dello scan , alla fine hai cliccato su rimuovi selezionati?
per quanto riguarda combofix, il log é obbligatorio controllarlo, in quanto anche se riporta, scan completed succesfully: hidden process 0, hidden service 0, hidden files 0., non vuol dire che non ci sia niente.
Per postarlo , caricalo su questo server, www.mediafire.com e poi postaci il log per scaricarlo
Il log di combofix lo trovi in c:\
scusate il ritardo ma sto avendo nelle difficoltà a far ripartire il combofix. dopo aver seguito le istruzioni riguardo al [code]F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\alcomrg.exe , il mess. a accensione pc è sparito. purtropop adesso ogni volta che decido di far partire combofix mi riappare la finestra dell'nsauthority ( che precedentemente era sparita ) e il pc si riavvia...
proverò meglio domani... oggi mi han fatto lavorare duramente... e in più adexo devo studiare diritto privatoooooo
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
Comunque se tu vai in c:\ troverai un file dal nome combofix.txt (a meno che non l'hai cancellato ma non credo) il quale sarebbe il log della scansione che hai già fatto l'altra volta,puoi postare tranquillamente anche quello senza rifare nuovamente la scansione...
Per quanto riguarda il problema del riavvio quando fai partire combofix non ho capito molto bene il problema,cerca di inserire più dettagli..
Per diritto privato ti capisco,ci sono passato...
Ciao!
Per quanto riguarda il problema del riavvio quando fai partire combofix non ho capito molto bene il problema,cerca di inserire più dettagli..
Per diritto privato ti capisco,ci sono passato...
Ciao!
Torukk- Moderatore
- Numero di messaggi : 204
Data d'iscrizione : 06.01.09
Re: virus alcomrg.exe
Steve75 ha scritto:Ciao grypsleroy,
il log di malwarebytes é quello dello scan , alla fine hai cliccato su rimuovi selezionati?
per quanto riguarda combofix, il log é obbligatorio controllarlo, in quanto anche se riporta, scan completed succesfully: hidden process 0, hidden service 0, hidden files 0., non vuol dire che non ci sia niente.
Per postarlo , caricalo su questo server, www.mediafire.com e poi postaci il log per scaricarlo
Buona domenica
si ho rimosso i selezionati d malawarebytes.
ecco il log di combofix.
ComboFix 09-02-02.04 - Erik 2009-02-04 18:07:41.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1040.18.255.56 [GMT 1:00]
Eseguito da: D:\ComboFix.exe
ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\fcdveyzps.exe
c:\windows\system32\spoolsvc.exe
c:\windows\system32\winiogon.exe
.
((((((((((((((((((((((((( Files Creati Da 2009-01-04 al 2009-02-04 )))))))))))))))))))))))))))))))))))
.
2009-02-04 18:02 . 2009-02-04 18:02 29,184 --a------ c:\windows\system32\scumr.exe
2009-02-03 21:15 . 2009-02-03 21:15 127 --a------ c:\windows\system32\rwfnmgrg.bat
2009-02-03 21:14 . 2009-02-03 21:14 70,706 --ah----- c:\windows\system32\idqsvrh.exe
2009-02-03 21:12 . 2009-02-03 21:12 68 --a------ c:\windows\system32\ii
2009-01-30 22:05 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix
2009-01-29 18:23 . 2009-01-29 20:17 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-01-29 18:23 . 2009-01-29 18:23 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Malwarebytes
2009-01-29 18:23 . 2009-01-29 18:23 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Malwarebytes
2009-01-29 18:23 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-29 18:23 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-29 17:31 . 2009-01-29 17:31 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Avg7
2009-01-18 14:41 . 2009-01-18 14:41 <DIR> d-------- c:\programmi\Avira
2009-01-18 14:41 . 2009-01-18 14:41 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Avira
2009-01-16 20:48 . 2009-01-16 20:48 4,608 --a------ c:\windows\system32\drivers\symlcbrd.sys
2009-01-16 20:47 . 2009-01-16 20:58 <DIR> d-------- c:\programmi\Norton AntiVirus
2009-01-16 20:47 . 2009-01-16 20:47 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Symantec
2009-01-16 20:47 . 2004-08-26 14:03 104,144 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-16 20:47 . 2004-08-26 14:03 83,168 --a------ c:\windows\system32\S32EVNT1.DLL
2009-01-16 20:46 . 2009-01-29 17:38 <DIR> d-------- c:\programmi\Symantec
2009-01-16 20:46 . 2009-01-29 17:38 <DIR> d-------- c:\programmi\File comuni\Symantec Shared
2009-01-16 20:46 . 2009-01-16 20:55 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Symantec
2009-01-16 14:15 . 2009-01-16 14:15 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\.housecall6.6
2009-01-16 13:00 . 2009-01-17 12:47 64 --a------ c:\windows\system32\o
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-03 19:28 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Skype
2009-02-03 18:39 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\skypePM
2009-01-27 15:32 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\OpenOffice.org2
2009-01-14 18:32 133,120 ----a-w c:\windows\system32\sfc_os.dll
2008-12-28 10:27 --------- d-----w c:\programmi\Trust
2008-12-28 10:24 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\EPSON
2008-12-06 10:28 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-12-06 10:26 --------- d-----w c:\programmi\File comuni\InstallShield
2008-12-06 10:24 --------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\UDL
2008-12-06 10:21 --------- d-----w c:\programmi\EPSON
2008-12-06 10:16 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\InstallShield
2008-12-06 10:15 --------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\EPSON
2007-12-26 12:15 32,768 --sha-w c:\programmi\Thumbs.db
.
((((((((((((((((((((((((((((( snapshot@2009-02-03_20.51.53,09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-08 13:08:46 39,992 ----a-w c:\windows\system32\perfc009.dat
+ 2009-02-03 20:10:23 39,992 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-08 13:08:46 47,592 ----a-w c:\windows\system32\perfc010.dat
+ 2009-02-03 20:10:23 47,592 ----a-w c:\windows\system32\perfc010.dat
- 2008-12-08 13:08:46 311,604 ----a-w c:\windows\system32\perfh009.dat
+ 2009-02-03 20:10:23 311,604 ----a-w c:\windows\system32\perfh009.dat
- 2008-12-08 13:08:46 345,010 ----a-w c:\windows\system32\perfh010.dat
+ 2009-02-03 20:10:23 345,010 ----a-w c:\windows\system32\perfh010.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2004-08-24 58488]
"SSC_UserPrompt"="c:\programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-08-18 218240]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-31 13312]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-01-18 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-01-18 45376]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenuto della cartella 'Scheduled Tasks'
2009-02-04 c:\windows\Tasks\1-Click Maintenance.job
- c:\programmi\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:09]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -
HKLM-Run-Spooler SubSystem App - c:\windows\System32\spoolsvc.exe
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
FF - ProfilePath - c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Mozilla\Firefox\Profiles\i73mtetv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it
FF - component: c:\programmi\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-04 18:11:17
Windows 5.1.2600 NTFS
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
- - - - - - - > 'lsass.exe'(688)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
Ora fine scansione: 2009-02-04 18:13:27
ComboFix-quarantined-files.txt 2009-02-04 17:13:14
ComboFix2.txt 2009-02-03 19:52:48
Pre-Run: 34,493,734,912 byte disponibili
Post-Run: 34,486,910,976 byte disponibili
134
grazie ancoraaa
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Re: virus alcomrg.exe
ciao,
siamo a buon punto, fai cosi;
* Scarica ATF Cleaner
- Avvialo con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)
Ora apri una pagina del blocco note e copia incolla quanto segue;
salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine, riposta il suo log e dicci come va...
dovresti anche evitare di usare piu di un antivirus, eliminando tutti i residui degli altri precendentemente installati..
siamo a buon punto, fai cosi;
* Scarica ATF Cleaner
- Avvialo con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)
Ora apri una pagina del blocco note e copia incolla quanto segue;
file::
c:\windows\system32\scumr.exe
c:\windows\system32\rwfnmgrg.bat
c:\windows\system32\idqsvrh.exe
c:\windows\system32\ii
c:\windows\system32\o
salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine, riposta il suo log e dicci come va...
dovresti anche evitare di usare piu di un antivirus, eliminando tutti i residui degli altri precendentemente installati..
Re: virus alcomrg.exe
Steve75 ha scritto:ciao,
siamo a buon punto, fai cosi;
* Scarica ATF Cleaner
- Avvialo con un doppio click
- clicca sul menu main
- seleziona la casella Select All
- clicca sul pulsante Empty selected
- aspetta l'avviso Done Cleaning.
(se non vuoi eliminare le password togli la spunta)
(se usi opera o firefox,spunta anche le loro sezioni)
Ora apri una pagina del blocco note e copia incolla quanto segue;
file::
c:\windows\system32\scumr.exe
c:\windows\system32\rwfnmgrg.bat
c:\windows\system32\idqsvrh.exe
c:\windows\system32\ii
c:\windows\system32\o
salva la pagina nominandola obligatoriamente in CFScript.txt
a questo punto trascina e lascia il file CFScript.txt sull'icona di combofix
lascialo lavorare fino alla fine, riposta il suo log e dicci come va...
dovresti anche evitare di usare piu di un antivirus, eliminando tutti i residui degli altri precendentemente installati..
fatto: ecco il log:
ComboFix 09-02-02.04 - Erik 2009-02-06 22.41.05.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1040.18.255.79 [GMT 1:00]
Eseguito da: D:\ComboFix.exe
Opzioni usate :: c:\documents and settings\Erik.123-7ZOQJGP2J79\Desktop\CFScript.txt
* Creato nuovo punto di ripristino
FILE ::
c:\windows\system32\idqsvrh.exe
c:\windows\system32\ii
c:\windows\system32\o
c:\windows\system32\rwfnmgrg.bat
c:\windows\system32\scumr.exe
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Esecuzione precedente -------
.
c:\windows\system32\idqsvrh.exe
c:\windows\system32\ii
c:\windows\system32\o
c:\windows\system32\rwfnmgrg.bat
c:\windows\system32\scumr.exe
.
((((((((((((((((((((((((( Files Creati Da 2009-01-06 al 2009-02-06 )))))))))))))))))))))))))))))))))))
.
2009-01-30 22:05 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix
2009-01-29 18:23 . 2009-01-29 20:17 <DIR> d-------- c:\programmi\Malwarebytes' Anti-Malware
2009-01-29 18:23 . 2009-01-29 18:23 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Malwarebytes
2009-01-29 18:23 . 2009-01-29 18:23 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Malwarebytes
2009-01-29 18:23 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-29 18:23 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-29 17:31 . 2009-01-29 17:31 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Avg7
2009-01-18 14:41 . 2009-01-18 14:41 <DIR> d-------- c:\programmi\Avira
2009-01-18 14:41 . 2009-01-18 14:41 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Avira
2009-01-16 20:48 . 2009-01-16 20:48 4,608 --a------ c:\windows\system32\drivers\symlcbrd.sys
2009-01-16 20:47 . 2009-01-16 20:58 <DIR> d-------- c:\programmi\Norton AntiVirus
2009-01-16 20:47 . 2009-01-16 20:47 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Symantec
2009-01-16 20:47 . 2004-08-26 14:03 104,144 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2009-01-16 20:47 . 2004-08-26 14:03 83,168 --a------ c:\windows\system32\S32EVNT1.DLL
2009-01-16 20:46 . 2009-01-29 17:38 <DIR> d-------- c:\programmi\Symantec
2009-01-16 20:46 . 2009-01-29 17:38 <DIR> d-------- c:\programmi\File comuni\Symantec Shared
2009-01-16 20:46 . 2009-01-16 20:55 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Dati applicazioni\Symantec
2009-01-16 14:15 . 2009-01-16 14:15 <DIR> d-------- c:\documents and settings\Erik.123-7ZOQJGP2J79\.housecall6.6
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-06 19:50 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Skype
2009-02-06 19:17 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\skypePM
2009-01-27 15:32 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\OpenOffice.org2
2009-01-14 18:32 133,120 ----a-w c:\windows\system32\sfc_os.dll
2008-12-28 10:27 --------- d-----w c:\programmi\Trust
2008-12-28 10:24 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\EPSON
2008-12-06 10:28 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-12-06 10:26 --------- d-----w c:\programmi\File comuni\InstallShield
2008-12-06 10:24 --------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\UDL
2008-12-06 10:21 --------- d-----w c:\programmi\EPSON
2008-12-06 10:16 --------- d-----w c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\InstallShield
2008-12-06 10:15 --------- d-----w c:\documents and settings\All Users.WINDOWS\Dati applicazioni\EPSON
2007-12-26 12:15 32,768 --sha-w c:\programmi\Thumbs.db
.
((((((((((((((((((((((((((((( snapshot@2009-02-03_20.51.53,09 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-08 13:08:46 39,992 ----a-w c:\windows\system32\perfc009.dat
+ 2009-02-03 20:10:23 39,992 ----a-w c:\windows\system32\perfc009.dat
- 2008-12-08 13:08:46 47,592 ----a-w c:\windows\system32\perfc010.dat
+ 2009-02-03 20:10:23 47,592 ----a-w c:\windows\system32\perfc010.dat
- 2008-12-08 13:08:46 311,604 ----a-w c:\windows\system32\perfh009.dat
+ 2009-02-03 20:10:23 311,604 ----a-w c:\windows\system32\perfh009.dat
- 2008-12-08 13:08:46 345,010 ----a-w c:\windows\system32\perfh010.dat
+ 2009-02-03 20:10:23 345,010 ----a-w c:\windows\system32\perfh010.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programmi\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="c:\programmi\File comuni\Symantec Shared\ccApp.exe" [2004-08-24 58488]
"SSC_UserPrompt"="c:\programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-08-18 218240]
"avgnt"="c:\programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-31 13312]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-01-18 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-01-18 45376]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenuto della cartella 'Scheduled Tasks'
2009-02-06 c:\windows\Tasks\1-Click Maintenance.job
- c:\programmi\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:09]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://www.google.it/
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
FF - ProfilePath - c:\documents and settings\Erik.123-7ZOQJGP2J79\Dati applicazioni\Mozilla\Firefox\Profiles\i73mtetv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.it
FF - component: c:\programmi\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 22:43:52
Windows 5.1.2600 NTFS
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
- - - - - - - > 'lsass.exe'(688)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
Ora fine scansione: 2009-02-06 22.46.02
ComboFix-quarantined-files.txt 2009-02-06 21:45:59
ComboFix2.txt 2009-02-04 17:13:28
ComboFix3.txt 2009-02-03 19:52:48
Pre-Run: 34.404.831.232 byte disponibili
Post-Run: 34,398,162,944 byte disponibili
140
ps: riguardo agli antivirus..li ho disinstallati tramite pannello di controllo... forse era meglio se usavo regcleaner.
grypsleroy- Numero di messaggi : 19
Data d'iscrizione : 18.01.09
Pagina 1 di 3 • 1, 2, 3
Pagina 1 di 3
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.
|
|