|
|
|
|
Strumenti |
03-05-2005, 18:38 | #1 |
Senior Member
Iscritto dal: Nov 2001
Città: Pesaro
Messaggi: 18262
|
Il virus c'e...ma nn lo toglie. [ HijackThis Logfile]
Allora gente....oggi per sbaglio ho aperto una delle tante mail che arrivano con i vari virus del bip in allegato. In poche parole ho inciampato e ho lanciato l'exe
Siccome e da un po che volevo mettere il KAV e togliere il norton (ieri avevo avuto probelmi di compatibilita e l'ho messo oggi) ho colto l'occasione per provarlo..cosi subito dopo l'infezione ho tolto il norton (che tra l'altro si era anche fatto infettare dal virus e nn faceva piu il live update ) e ho messo il KAV...ho aggiornato tutto (anche se nn so le impostazioni primarie) e ho fatto una scansione. Mi ha trovato qualche riskware e 2 virus (norton.... ). Uno di questi pero nn riesce a eliminarmelo (che ho scoperto poi essere lo stesso che ho beccato oggi). La beffa in pratica è che l'exe bastardo me lo trova dentro un file .SBR...cioe nn so se devo elimanare tutto sto file o no (nn so che straXazzo di file è...se di win o di altro ) Per la precisione si trova in C:\WINDOWS\Connection Wizard\Status e si chiama packed1.sbr Ora...che cacchio faccio?? Xke oggi avevo cmq avevo fatto partire 5 o 6 removal tool per vari virus...e tutti i problemi sembrano spariti (solo la navigazione sembra lenta,ma nn ce trasferimento di dati quindi nn penso sia per colpa del virus)...ma poi la scansione del KAV me lo ha "ritrovato" dentro sto packed1.sbr Nel dubbio cmq...per farvi controllare se secondo voi va tutto (apparentemente) bene o no,vi riporto il logfile di HijackThis -------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 19.22.41, on 03/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\MessengerPlus! 3\MsgPlus.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programmi\Logitech\MouseWare\system\em_exec.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\system32\gearsec.exe C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Documents and Settings\SigNo3d\Desktop\Vcool\VCool.exe C:\Documents and Settings\SigNo3d\Desktop\html2pop3 2.22\html2pop3.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\SigNo3d\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [AHQInit] C:\Programmi\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KAV50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9E4ACAB5-149F-4141-ADA6-871A098C1749}: NameServer = 62.211.69.150 212.48.4.15 O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe ---------------------------------------------------------------------- Come è messo secondo voi?? Thx
__________________
MOBO: Asus P5Q-E - CPU: E8400 E0 - DISSI: Zerotherm Zen 120 + U.Kaze 1000 - RAM: Corsair 2x2Gb 800Mhz - VGA: XFX BE GTX 260 - HD: Crucial m4 128gb + 2 Barra 7200.11 500gb RAID1 - CASE: Enermax Chakra - PSU: Corsair HX 620 - AUDIO: Audigy 2ZS - MAST DVD: Pioneer 216d | MILAN Ultima modifica di signo3d : 03-05-2005 alle 18:41. |
03-05-2005, 21:42 | #2 |
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
I log mi sembra abbastanza a posto.
Ma hai ancora qualche comportamento strano? |
03-05-2005, 22:04 | #3 |
Member
Iscritto dal: May 2003
Città: Mattie (TO)
Messaggi: 100
|
questo in teoria non dovrebbe esserci
C:\WINDOWS\system32\drivers\CDAC11BA.EXE nella cartella drivers non dovrebbero esserci solo file *.sys? Anche io avevo questo ed era C-Dilla se non ricordo male |
03-05-2005, 22:16 | #4 |
Senior Member
Iscritto dal: May 2002
Messaggi: 3122
|
ciao quel file è stato compilato col compilatore Microsoft Visual C++ o
Visual Basic quindi un bel virus come da manuale ti sei infettato lanciando l'exe dell allegato in mail purtroppo |
03-05-2005, 22:17 | #5 |
Member
Iscritto dal: Apr 2005
Messaggi: 53
|
signo3d io so come risolvere il tuo problema allora scaricati panda internet sicurity 2005 sul sito www.pandasoftware.it aggiornalo e poi scannerizza tutto il pc vedrai che risolverai il tuo problema.. pero' dopo acquista questo programma per proteggerti ai massimi livelli in futuro da tutte le minacce che ti possono ricapitare.
ps:la versione che si scarica dura 15 giorni di prova poi acquistalo se ti trovi bene. |
03-05-2005, 22:25 | #6 |
Senior Member
Iscritto dal: May 2002
Messaggi: 3122
|
riguardo a questo C:\WINDOWS\system32\drivers\CDAC11BA.EXE
hai per caso installato qualche programma recentemente tipo autocad o un gioco sul portale RossoAlice? comunque lo puoi togliere da quà:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es |
03-05-2005, 22:44 | #7 | |
Senior Member
Iscritto dal: Nov 2001
Città: Pesaro
Messaggi: 18262
|
Quote:
__________________
MOBO: Asus P5Q-E - CPU: E8400 E0 - DISSI: Zerotherm Zen 120 + U.Kaze 1000 - RAM: Corsair 2x2Gb 800Mhz - VGA: XFX BE GTX 260 - HD: Crucial m4 128gb + 2 Barra 7200.11 500gb RAID1 - CASE: Enermax Chakra - PSU: Corsair HX 620 - AUDIO: Audigy 2ZS - MAST DVD: Pioneer 216d | MILAN |
|
03-05-2005, 22:48 | #8 |
Senior Member
Iscritto dal: Nov 2001
Città: Pesaro
Messaggi: 18262
|
Per gli altri....allora di altri sintomi ora nn sembra piu averceli il sistema...da poco prima di cena (dopo che ho fatto la scansione con KAV in pratica).
Per il fatto se ho installato autocad si...ma nn di recente...qualche mese fa. E in poche parole...mi avete detto tutti di sto CDAC11BA.EXE....quindi in sarebbe questo il "danno" causata dall'apertura del virus che mi trova in quel packed1.sbr.....?? A sto punto allora la elimino (e che cambia se lo faccio dal registro o dalla cartella)?
__________________
MOBO: Asus P5Q-E - CPU: E8400 E0 - DISSI: Zerotherm Zen 120 + U.Kaze 1000 - RAM: Corsair 2x2Gb 800Mhz - VGA: XFX BE GTX 260 - HD: Crucial m4 128gb + 2 Barra 7200.11 500gb RAID1 - CASE: Enermax Chakra - PSU: Corsair HX 620 - AUDIO: Audigy 2ZS - MAST DVD: Pioneer 216d | MILAN |
03-05-2005, 22:51 | #9 | |
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Quote:
http://www.neuber.com/taskmanager/pr...c11ba.exe.html |
|
03-05-2005, 22:57 | #10 |
Member
Iscritto dal: Apr 2005
Messaggi: 53
|
provalo io lo uso e non entra nessuno haker addio.. ti elimina tutto in automatico virus spyware trojan worm dialer insomma di tutto di piu'
appena lo installi fai la scansione per eliminare subito le infezioni basta ke vai su scansione e su analizza tutto il sistema. una volta compiuta questa semplice operazione ci pensa tutto lui. senza bisogno che stai ad analizzare tu ogni volta il sistema. fidati |
03-05-2005, 23:05 | #11 |
Member
Iscritto dal: Apr 2005
Messaggi: 53
|
molti non mi credono (peggio per loro) ma io pandainternet sicurity 2005 lo definisco il prodotto piu' efficiente e completo che esiste in commercio.
|
03-05-2005, 23:09 | #12 |
Member
Iscritto dal: Apr 2005
Messaggi: 53
|
|
03-05-2005, 23:35 | #13 |
Member
Iscritto dal: Apr 2005
Messaggi: 53
|
(articolo trovato su internet)
Panda Antivirus Platinum Antivirus + Firewall in un singolo prodotto Panda Antivirus Platinum è stato creato utilizzando le migliori tecnologie disponibili, per offrire la massima protezione agli utenti professionali e per tutti coloro che utilizzano connettività "always on" come ADSL o collegamenti in fibra ottica. La nuova soluzione include un firewall ed uno script blocker, misure necessarie per combattere tutte le forme di virus e codici maligni, proteggendosi allo stesso tempo da attacchi di hackers ed ogni altro tipo di minaccia informatica. Panda Antivirus Platinum rappresenta la migliore soluzione per la protezione antivirus abbinata ad un potente personal firewall. Le funzionalità del personal firewall, abbinate al controllo antivirus, consentono di ottenere il massimo livello di protezione per utenti collegati ad Internet in modo permanente, professionisti e piccole aziende. Elimina ogni tipo di virus Panda Antivirus Platinum rileva ed elimina tutti I tipi di virus. Grazie alla sua tecnologia avanzata è particolarmente efficace anche sui nuovi virus e sulle minacce che ogni giorno ci troviamo a dover affrontare. Installatelo per prevenire ogni sgradevole sorpresa quando spedite e ricevete messaggi di posta elettronica, effettuate downloads e navigate in Internet. Aggiornamenti quotidiani completamente automatici Panda Antivirus Platinum utilizza la vostra connessione a Internet per aggiornarsi automaticamente ogni giorno. In questo modo sarete quotidianamente protetti da ogni nuovo virus o codice maligno.L'aggiornamento è veloce e completamente trasparente, così potrete lavorare senza distrazioni. Massima velocità e stabilità Panda Antivirus Platinum è in grado di agire, rispettando le normali attività del sistema, con il suo motore di scansione UltraFast analizzando ogni tipo di file. Le vostre informazioni saranno al sicuro! Protezione contro gli attacchi hacker con il firewall integrato Panda Antivirus Platinum incorpora un firewall di ultima generazione in grado di bloccare gli attacchi hacker, evitando perdite di dati, furti di informazioni o danni irreversibili al sistema. Trasformate il vostro computer in una fortezza in grado di respingere le minacce provenienti da Internet, tenendo alla larga virus e intrusioni. Panda Antivirus Platinum è compatibile con: Windows XP, Windows 2000 Pro, Windows NT 4.0 workstation, Windows Millennium Edition, Windows 98, Windows 95. La licenza del programma è perpetua e comprende gli aggiornamenti per 12 mesi sia software che antivirus (se non diversamente specificato). |
03-05-2005, 23:58 | #14 | |
Senior Member
Iscritto dal: Nov 2001
Città: Varese
Messaggi: 1461
|
Quote:
Io mi chiedo : Ma qui si fa pubblicita o si cerca di risolvere i problemi....... Non ci sono moderatori all'ascolto??????? cmq per quanto riguarda l'articolo che tu hai tratto da internet io ti consiglio di andarti a leggere le prove i test ecc ecc è non gli articoli che trovi su internet alla prova dei fatti : Ti posto la classifica : Rank 1. Kaspersky Personal Pro version 5.0.20 - 99.28% 2. AVK version 15.0.5 - 97.93% 3. F-Secure 2005 version 5.10.450 - 97.55% 4. eScan Virus Control version 2.6.518.8 - 96.75% 5. Norton Corporate version 9.0.3.1000 - 91.64% 6. Norton Professional version 2005 - 91.57% 7. McAfee version 9.0.10 - 89.75% 8. Virus Chaser version 5.0 - 88.31% 9. BitDefender version 8.0.137 - 88.13% 10. CyberScrub version 1.0 - 87.87% 11. Panda Platinum 2005 version 9.01.02 - 87.75% 12. Arcavir - 87.73% 13. MKS_VIR 2005 - 87.70% 14. RAV version 8.6.105 - 87.26% 15. F-Prot version 3.16b - 87.07% 16. Panda Titanium version 4.01.02 - 86.27% 17. PC-Cillin 2005 version 12.1.1034 - 85.98% 18. Nod32 version 2.12.4 - 85.66% 19. Command version 4.92.7 - 84.92% 20. AntiVir version 6.30.00.17 - 84.50% 21. Avast version 4.6.623 - 79.65% 22. Dr. Web version 4.32b - 78.71% 23. Sophos Sweep version 3.91 - 73.79% 24. UNA version 1.83 - 73.49% 25. BullGuard version 4.5 - 70.24% 26. Norman version 5.80.05 - 65.32% 27. Ikarus version 5.16 - 60.97% 28. AVG version 7.0.308 - 54.07% 29. E-Trust version 7.0.5.3 - 52.35% 30. ZoneAlarm with VET Antivirus version 5.5.062.011 - 52.32% 31. Vexira 2005 version 5.0.56 - 51.74% 32. VirusBuster 2005 version 5.0.147 - 51.51% 33. Solo 3.0 version 2.7.1 - 49.16% 34. Fire version 2.7 - 48.86% 35. ClamWin version 0.83 - 48.44% 36. Digital Patrol version 5.00.08 - 48.10% 37. V-Buster Pro - 46.33% 38. Protector Plus version 7.2.G01 - 45.81% 39. V3Pro 2004 - 38.87% 40. Ewido version 3.0 - 38.67% 41. ViRobot Expert version 4.0 - 38.10% 42. Quick Heal version 7.03 - 37.75% 43. VirScan Plus version 14.703 - 36.20% 44. MR2S version 2.0.104 - 35.05% 45. RHBVS version 4.60.821 - 32.96% 46. A Squared 2 version 1.6 - 25.37% 47. VirIT version 5.2.10 - 22.83% 48. TDS version 3.2.0 - 21.09% 49. Wave version 2.0 - 16.49% 50. AntiTrojan Shield version 1.4.0.15 - 11.91% 51. PC Door Guard version 3.0.0.15- 11.91% 52. Trojan Hunter version 4.2.908 - 10.19% 53. Tauscan version 1.70.1414 - 6.99% 54. Trojan Remover version 6.3.6 - 6.67% 55. The Cleaner version 4.1.42.52 - 6.28% 56. IP Armor version 5.46.0703 - 2.77% 57. Hacker Eliminator version 1.2 - 2.67% 58. Anti-Hacker & Trojan Expert 2003 version 1.6 - 0% Cmq tornando al problema del nostro amico prima disattiva il ripristino del sistema poi elimina il virus. Nel pro abilita la voce nelle opzioni scansione che dice .prompt user for action when the scan is completed. in pratica quando finisce la scansione ti chiede che deve fare di quel file tu gli dici di cancellarlo e lui lo fa vai tra poi fatti un bel riavvio ti fai unaq ripassata e se e apposto tutto se vuoi riattiva il ripristino del sistema
__________________
Quando l'agnello aprì il quarto sigillo udì una voce che diceva vieni e apparve a lui un cavallo pallido il suo cavaliere si chiamava morte dietro di lui l'inferno... Le uniche donne che vengono sedotte sono quelle che non hanno desiderio di offrirsi |
|
04-05-2005, 00:06 | #15 |
Member
Iscritto dal: Apr 2005
Messaggi: 53
|
quella classifica è completamente inattendibile perchè non si sa neanche da dove arriva.
signo ascolta me. poi fai come ti pare |
04-05-2005, 00:28 | #16 | |
Senior Member
Iscritto dal: Nov 2001
Città: Varese
Messaggi: 1461
|
Quote:
e poi se cerchi ne trovi altri ancora basta che ti fai una ricerca con i motori di ricerca poi se propio vuoi ti posso riempire il forum con articoli tratti da internet che dicon che è un altro il miglior prodotto in circolazione ma io siccome non vengo pagato da nessuno non faccio nomi....... e nota bene che io non ho niente contro il panda anzi l'ho anche usato per quasi un anno ma poi ne ho trovato uno che fatti alla mano e migliore cmq se ti fa piacere sentirlo se non ci fosse quello che uso adesso probabilmente tornerei sul panda ma solo come antivirus perche il firewall non è un gran che ce ne sono migliori e anche free e ti rispondo qui al posto del 3d che è stato giustamente chiuso io il firewall so bene come funziona e so bene che devo consentire quando esce la finestra del pop up ma rimane il fatto che anche dopo avere consentito l'accesso ad un determinato programma e anche dopo aver impostato nelle opzioni di configurazione avanzate (permetti come server in quanto questo programma necessitava dei permessi sia in entrata che in uscita il prog in questione nn ne voleva sapere di andare) e lo stesso problema lo aveva anche un mio amico che tra l'altro è un rivenditore ufficiale pandasoftware..... e per dirla tutta sul suo pc di casa ha il mio stesso antivirus che non è il....................
__________________
Quando l'agnello aprì il quarto sigillo udì una voce che diceva vieni e apparve a lui un cavallo pallido il suo cavaliere si chiamava morte dietro di lui l'inferno... Le uniche donne che vengono sedotte sono quelle che non hanno desiderio di offrirsi |
|
04-05-2005, 00:38 | #17 | |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28844
|
Quote:
|
|
04-05-2005, 00:40 | #18 |
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28844
|
il solito lamerone
fai tutto da modalità provvisoria |
04-05-2005, 00:42 | #19 | |
Senior Member
Iscritto dal: Nov 2001
Città: Varese
Messaggi: 1461
|
Quote:
__________________
Quando l'agnello aprì il quarto sigillo udì una voce che diceva vieni e apparve a lui un cavallo pallido il suo cavaliere si chiamava morte dietro di lui l'inferno... Le uniche donne che vengono sedotte sono quelle che non hanno desiderio di offrirsi |
|
04-05-2005, 00:44 | #20 |
Senior Member
Iscritto dal: Nov 2001
Città: Varese
Messaggi: 1461
|
quasi quasi cambio il mio nick in ........solofi a
scusate per il post senza senso ma qui se ne leggono tanti e tutti dallo stesso utente
__________________
Quando l'agnello aprì il quarto sigillo udì una voce che diceva vieni e apparve a lui un cavallo pallido il suo cavaliere si chiamava morte dietro di lui l'inferno... Le uniche donne che vengono sedotte sono quelle che non hanno desiderio di offrirsi |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:26.