Il virus c'e...ma nn lo toglie. [ HijackThis Logfile]

[signo3d]

Allora gente....oggi per sbaglio ho aperto una delle tante mail che arrivano con i vari virus del bip in allegato. In poche parole ho inciampato e ho lanciato l'exe
Siccome e da un po che volevo mettere il KAV e togliere il norton (ieri avevo avuto probelmi di compatibilita e l'ho messo oggi) ho colto l'occasione per provarlo..cosi subito dopo l'infezione ho tolto il norton (che tra l'altro si era anche fatto infettare dal virus e nn faceva piu il live update ) e ho messo il KAV...ho aggiornato tutto (anche se nn so le impostazioni primarie) e ho fatto una scansione. Mi ha trovato qualche riskware e 2 virus (norton.... ). Uno di questi pero nn riesce a eliminarmelo (che ho scoperto poi essere lo stesso che ho beccato oggi). La beffa in pratica è che l'exe bastardo me lo trova dentro un file .SBR...cioe nn so se devo elimanare tutto sto file o no (nn so che straXazzo di file è...se di win o di altro )

Per la precisione si trova in C:\WINDOWS\Connection Wizard\Status e si chiama packed1.sbr

Ora...che cacchio faccio?? Xke oggi avevo cmq avevo fatto partire 5 o 6 removal tool per vari virus...e tutti i problemi sembrano spariti (solo la navigazione sembra lenta,ma nn ce trasferimento di dati quindi nn penso sia per colpa del virus)...ma poi la scansione del KAV me lo ha "ritrovato" dentro sto packed1.sbr

Nel dubbio cmq...per farvi controllare se secondo voi va tutto (apparentemente) bene o no,vi riporto il logfile di HijackThis

--------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 19.22.41, on 03/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\gearsec.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Documents and Settings\SigNo3d\Desktop\Vcool\VCool.exe
C:\Documents and Settings\SigNo3d\Desktop\html2pop3 2.22\html2pop3.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\SigNo3d\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AHQInit] C:\Programmi\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KAV50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E4ACAB5-149F-4141-ADA6-871A098C1749}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: gearsec - GEAR Software - C:\WINDOWS\system32\gearsec.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

----------------------------------------------------------------------


Come è messo secondo voi??

Thx

[bluepix]

I log mi sembra abbastanza a posto.
Ma hai ancora qualche comportamento strano?

[skorpio85]

questo in teoria non dovrebbe esserci

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

nella cartella drivers non dovrebbero esserci solo file *.sys?
Anche io avevo questo ed era C-Dilla se non ricordo male

[lord2]

ciao quel file è stato compilato col compilatore Microsoft Visual C++ o
Visual Basic quindi un bel virus come da manuale ti sei infettato lanciando l'exe dell allegato in mail purtroppo

[solopanda]

signo3d io so come risolvere il tuo problema allora scaricati panda internet sicurity 2005 sul sito www.pandasoftware.it aggiornalo e poi scannerizza tutto il pc vedrai che risolverai il tuo problema.. pero' dopo acquista questo programma per proteggerti ai massimi livelli in futuro da tutte le minacce che ti possono ricapitare.
ps:la versione che si scarica dura 15 giorni di prova poi acquistalo se ti trovi bene.

[lord2]

riguardo a questo C:\WINDOWS\system32\drivers\CDAC11BA.EXE
hai per caso installato qualche programma recentemente tipo
autocad o un gioco sul portale RossoAlice?
comunque lo puoi togliere da quà:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es

[signo3d]

Quote:

Originariamente inviato da solopanda

signo3d io so come risolvere il tuo problema allora scaricati panda internet sicurity 2005 sul sito www.pandasoftware.it aggiornalo e poi scannerizza tutto il pc vedrai che risolverai il tuo problema.. pero' dopo acquista questo programma per proteggerti ai massimi livelli in futuro da tutte le minacce che ti possono ricapitare.
ps:la versione che si scarica dura 15 giorni di prova poi acquistalo se ti trovi bene.

Guarda...se nn risolvo provo di sicuro anche con quello...ma mi sembra molto pubblicitario il tuo post sinceramente....cmq è solo un opinione eh

[signo3d]

Per gli altri....allora di altri sintomi ora nn sembra piu averceli il sistema...da poco prima di cena (dopo che ho fatto la scansione con KAV in pratica).

Per il fatto se ho installato autocad si...ma nn di recente...qualche mese fa.

E in poche parole...mi avete detto tutti di sto CDAC11BA.EXE....quindi in sarebbe questo il "danno" causata dall'apertura del virus che mi trova in quel packed1.sbr.....?? A sto punto allora la elimino (e che cambia se lo faccio dal registro o dalla cartella)?

[bluepix]

Quote:

Originariamente inviato da skorpio85

questo in teoria non dovrebbe esserci

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

nella cartella drivers non dovrebbero esserci solo file *.sys?
Anche io avevo questo ed era C-Dilla se non ricordo male

Il problema non è sicuramente questo file che è del tutto regolare:

http://www.neuber.com/taskmanager/pr...c11ba.exe.html

[solopanda]

provalo io lo uso e non entra nessuno haker addio.. ti elimina tutto in automatico virus spyware trojan worm dialer insomma di tutto di piu'
appena lo installi fai la scansione per eliminare subito le infezioni basta ke vai su scansione e su analizza tutto il sistema.
una volta compiuta questa semplice operazione ci pensa tutto lui. senza bisogno che stai ad analizzare tu ogni volta il sistema.
fidati

[solopanda]

molti non mi credono (peggio per loro) ma io pandainternet sicurity 2005 lo definisco il prodotto piu' efficiente e completo che esiste in commercio.

[solopanda]

[solopanda]

(articolo trovato su internet)

Panda Antivirus Platinum Antivirus + Firewall in un singolo prodotto

Panda Antivirus Platinum è stato creato utilizzando le migliori tecnologie disponibili, per offrire la massima protezione agli utenti professionali e per tutti coloro che utilizzano connettività "always on" come ADSL o collegamenti in fibra ottica.

La nuova soluzione include un firewall ed uno script blocker, misure necessarie per combattere tutte le forme di virus e codici maligni, proteggendosi allo stesso tempo da attacchi di hackers ed ogni altro tipo di minaccia informatica.

Panda Antivirus Platinum rappresenta la migliore soluzione per la protezione antivirus abbinata ad un potente personal firewall. Le funzionalità del personal firewall, abbinate al controllo antivirus, consentono di ottenere il massimo livello di protezione per utenti collegati ad Internet in modo permanente, professionisti e piccole aziende.

Elimina ogni tipo di virus Panda Antivirus Platinum rileva ed elimina tutti I tipi di virus. Grazie alla sua tecnologia avanzata è particolarmente efficace anche sui nuovi virus e sulle minacce che ogni giorno ci troviamo a dover affrontare. Installatelo per prevenire ogni sgradevole sorpresa quando spedite e ricevete messaggi di posta elettronica, effettuate downloads e navigate in Internet.

Aggiornamenti quotidiani completamente automatici Panda Antivirus Platinum utilizza la vostra connessione a Internet per aggiornarsi automaticamente ogni giorno. In questo modo sarete quotidianamente protetti da ogni nuovo virus o codice maligno.L'aggiornamento è veloce e completamente trasparente, così potrete lavorare senza distrazioni.

Massima velocità e stabilità Panda Antivirus Platinum è in grado di agire, rispettando le normali attività del sistema, con il suo motore di scansione UltraFast analizzando ogni tipo di file. Le vostre informazioni saranno al sicuro!

Protezione contro gli attacchi hacker con il firewall integrato Panda Antivirus Platinum incorpora un firewall di ultima generazione in grado di bloccare gli attacchi hacker, evitando perdite di dati, furti di informazioni o danni irreversibili al sistema. Trasformate il vostro computer in una fortezza in grado di respingere le minacce provenienti da Internet, tenendo alla larga virus e intrusioni.

Panda Antivirus Platinum è compatibile con: Windows XP, Windows 2000 Pro, Windows NT 4.0 workstation, Windows Millennium Edition, Windows 98, Windows 95.

La licenza del programma è perpetua e comprende gli aggiornamenti per 12 mesi sia software che antivirus (se non diversamente specificato).

[3dsst]

Quote:

Originariamente inviato da solopanda

(articolo trovato su internet)

Panda Antivirus Platinum Antivirus + Firewall in un singolo prodotto

Panda Antivirus Platinum è stato creato utilizzando le migliori tecnologie disponibili, per offrire la massima protezione agli utenti professionali e per tutti coloro che utilizzano connettività "always on" come ADSL o collegamenti in fibra ottica.

La nuova soluzione include un firewall ed uno script blocker, misure necessarie per combattere tutte le forme di virus e codici maligni, proteggendosi allo stesso tempo da attacchi di hackers ed ogni altro tipo di minaccia informatica.

Panda Antivirus Platinum rappresenta la migliore soluzione per la protezione antivirus abbinata ad un potente personal firewall. Le funzionalità del personal firewall, abbinate al controllo antivirus, consentono di ottenere il massimo livello di protezione per utenti collegati ad Internet in modo permanente, professionisti e piccole aziende.

Elimina ogni tipo di virus Panda Antivirus Platinum rileva ed elimina tutti I tipi di virus. Grazie alla sua tecnologia avanzata è particolarmente efficace anche sui nuovi virus e sulle minacce che ogni giorno ci troviamo a dover affrontare. Installatelo per prevenire ogni sgradevole sorpresa quando spedite e ricevete messaggi di posta elettronica, effettuate downloads e navigate in Internet.

Aggiornamenti quotidiani completamente automatici Panda Antivirus Platinum utilizza la vostra connessione a Internet per aggiornarsi automaticamente ogni giorno. In questo modo sarete quotidianamente protetti da ogni nuovo virus o codice maligno.L'aggiornamento è veloce e completamente trasparente, così potrete lavorare senza distrazioni.

Massima velocità e stabilità Panda Antivirus Platinum è in grado di agire, rispettando le normali attività del sistema, con il suo motore di scansione UltraFast analizzando ogni tipo di file. Le vostre informazioni saranno al sicuro!

Protezione contro gli attacchi hacker con il firewall integrato Panda Antivirus Platinum incorpora un firewall di ultima generazione in grado di bloccare gli attacchi hacker, evitando perdite di dati, furti di informazioni o danni irreversibili al sistema. Trasformate il vostro computer in una fortezza in grado di respingere le minacce provenienti da Internet, tenendo alla larga virus e intrusioni.

Panda Antivirus Platinum è compatibile con: Windows XP, Windows 2000 Pro, Windows NT 4.0 workstation, Windows Millennium Edition, Windows 98, Windows 95.

La licenza del programma è perpetua e comprende gli aggiornamenti per 12 mesi sia software che antivirus (se non diversamente specificato).

Ci risiamo:
Io mi chiedo :
Ma qui si fa pubblicita o si cerca di risolvere i problemi.......
Non ci sono moderatori all'ascolto???????
cmq per quanto riguarda l'articolo che tu hai tratto da internet io ti consiglio di andarti a leggere le prove i test ecc ecc è non gli articoli che trovi su internet alla prova dei fatti :

Ti posto la classifica :

Rank

1. Kaspersky Personal Pro version 5.0.20 - 99.28%

2. AVK version 15.0.5 - 97.93%

3. F-Secure 2005 version 5.10.450 - 97.55%

4. eScan Virus Control version 2.6.518.8 - 96.75%

5. Norton Corporate version 9.0.3.1000 - 91.64%

6. Norton Professional version 2005 - 91.57%

7. McAfee version 9.0.10 - 89.75%

8. Virus Chaser version 5.0 - 88.31%

9. BitDefender version 8.0.137 - 88.13%

10. CyberScrub version 1.0 - 87.87%

11. Panda Platinum 2005 version 9.01.02 - 87.75%

12. Arcavir - 87.73%

13. MKS_VIR 2005 - 87.70%

14. RAV version 8.6.105 - 87.26%

15. F-Prot version 3.16b - 87.07%

16. Panda Titanium version 4.01.02 - 86.27%

17. PC-Cillin 2005 version 12.1.1034 - 85.98%

18. Nod32 version 2.12.4 - 85.66%

19. Command version 4.92.7 - 84.92%

20. AntiVir version 6.30.00.17 - 84.50%

21. Avast version 4.6.623 - 79.65%

22. Dr. Web version 4.32b - 78.71%

23. Sophos Sweep version 3.91 - 73.79%

24. UNA version 1.83 - 73.49%

25. BullGuard version 4.5 - 70.24%

26. Norman version 5.80.05 - 65.32%

27. Ikarus version 5.16 - 60.97%

28. AVG version 7.0.308 - 54.07%

29. E-Trust version 7.0.5.3 - 52.35%

30. ZoneAlarm with VET Antivirus version 5.5.062.011 - 52.32%

31. Vexira 2005 version 5.0.56 - 51.74%

32. VirusBuster 2005 version 5.0.147 - 51.51%

33. Solo 3.0 version 2.7.1 - 49.16%

34. Fire version 2.7 - 48.86%

35. ClamWin version 0.83 - 48.44%

36. Digital Patrol version 5.00.08 - 48.10%

37. V-Buster Pro - 46.33%

38. Protector Plus version 7.2.G01 - 45.81%

39. V3Pro 2004 - 38.87%

40. Ewido version 3.0 - 38.67%

41. ViRobot Expert version 4.0 - 38.10%

42. Quick Heal version 7.03 - 37.75%

43. VirScan Plus version 14.703 - 36.20%

44. MR2S version 2.0.104 - 35.05%

45. RHBVS version 4.60.821 - 32.96%

46. A Squared 2 version 1.6 - 25.37%

47. VirIT version 5.2.10 - 22.83%

48. TDS version 3.2.0 - 21.09%

49. Wave version 2.0 - 16.49%

50. AntiTrojan Shield version 1.4.0.15 - 11.91%

51. PC Door Guard version 3.0.0.15- 11.91%

52. Trojan Hunter version 4.2.908 - 10.19%

53. Tauscan version 1.70.1414 - 6.99%

54. Trojan Remover version 6.3.6 - 6.67%

55. The Cleaner version 4.1.42.52 - 6.28%

56. IP Armor version 5.46.0703 - 2.77%

57. Hacker Eliminator version 1.2 - 2.67%

58. Anti-Hacker & Trojan Expert 2003 version 1.6 - 0%

Cmq tornando al problema del nostro amico prima disattiva il ripristino del sistema poi elimina il virus.
Nel pro abilita la voce nelle opzioni scansione che dice .prompt user for action when the scan is completed.
in pratica quando finisce la scansione ti chiede che deve fare di quel file tu gli dici di cancellarlo e lui lo fa vai tra poi fatti un bel riavvio ti fai unaq ripassata e se e apposto tutto se vuoi riattiva il ripristino del sistema

[solopanda]

quella classifica è completamente inattendibile perchè non si sa neanche da dove arriva.
signo ascolta me. poi fai come ti pare

[3dsst]

Quote:

Originariamente inviato da solopanda

quella classifica è completamente inattendibile perchè non si sa neanche da dove arriva.
signo ascolta me. poi fai come ti pare

vai sul sito www.virus.gr poi anche su http://www.av-comparatives.org/
e poi se cerchi ne trovi altri ancora basta che ti fai una ricerca con i motori di ricerca poi se propio vuoi ti posso riempire il forum con articoli tratti da internet che dicon che è un altro il miglior prodotto in circolazione ma io siccome non vengo pagato da nessuno non faccio nomi.......

e nota bene che io non ho niente contro il panda anzi l'ho anche usato per quasi un anno ma poi ne ho trovato uno che fatti alla mano e migliore cmq se ti fa piacere sentirlo se non ci fosse quello che uso adesso probabilmente tornerei sul panda ma solo come antivirus perche il firewall non è un gran che ce ne sono migliori e anche free e ti rispondo qui al posto del 3d che è stato giustamente chiuso io il firewall so bene come funziona e so bene che devo consentire quando esce la finestra del pop up ma rimane il fatto che anche dopo avere consentito l'accesso ad un determinato programma e anche dopo aver impostato nelle opzioni di configurazione avanzate (permetti come server in quanto questo programma necessitava dei permessi sia in entrata che in uscita il prog in questione nn ne voleva sapere di andare) e lo stesso problema lo aveva anche un mio amico che tra l'altro è un rivenditore ufficiale pandasoftware..... e per dirla tutta sul suo pc di casa ha il mio stesso antivirus che non è il....................

[juninho85]

Quote:

Originariamente inviato da solopanda

molti non mi credono (peggio per loro) ma io pandainternet sicurity 2005 lo definisco il prodotto piu' efficiente e completo che esiste in commercio.

anzi che continuare questi copia/incolla e baggianate affini scrivi i motivi tecnici per qui panda sarebbe superiore a qualsiasi altro programma di sicurezza

[juninho85]

il solito lamerone
fai tutto da modalità provvisoria

[3dsst]

Quote:

Originariamente inviato da juninho85

anzi che continuare questi copia/incolla e baggianate affini scrivi i motivi tecnici per qui panda sarebbe superiore a qualsiasi altro programma di sicurezza

azz cosi lo metti in difficolta su internet non trova le parole per risponderti deve tirare fuori la farina del suo sacco sai e comodo fare i copia e incolla ma poi.............

[3dsst]

quasi quasi cambio il mio nick in ........solofi a
scusate per il post senza senso ma qui se ne leggono tanti e tutti dallo stesso utente