PDA

Visualizza versione completa : Aiuto problema DR/DLDR.VB.bqc.3 / axa.26 e strano problema con win-xp


bandit72
05-11-2007, 17.02.50
Salve oggi mentre stavo navigando all'improvviso il mio antivirus(avira) mi ha
segnalato i virus in oggetto ho detto di metterli in quarantena o di
cancellarli, solo che dopo un p mi capitata una cosa incredibile
praticamente quando riavvio win-xp le icone e la barra di win-xp, li dove
c' start, appaiono e spariscono ad intermittenza come se qualcuno mi
terminasse explorer.exe e poi lo faccia ripartire di continuo non riesco a
capire se c' un virus o se mi si svampato il sistema operativo.....

Qualcuno pu aiutarmi????

Grazie
Bandit

crazy.cat
05-11-2007, 17.07.04
riesci a fare una scansione con hijackthis e postare il file log che ne risulta?

bandit72
05-11-2007, 18.01.50
Non lo s se ci riesco e molto difficile ed instabile comunque ci provo, c'era una persona che sul NG di it.comp.sicurezza.virus mi ha detto che qui a wintriks dovrebbe essereci un tool per sistemare il mio problema :mm: :mm:

Grazie
bandit

bandit72
06-11-2007, 11.06.38
:crying: Sto ancora combattento con questo problema ho fatto una scansione con vari remove tool, ma niente o fatto come richiestomi la scansione e vi riporto il log ricevuto, comunque il problema e come se qualcuno stoppasse explorer.exe e anche se lo riavvio lo ristoppa, ho notato che comunque il pc continua a funzionare bene lo stesso, visto che i programma per la scansione funzionavano, per tutto quello conesso a explorer.exe viene chiuso.

spero che si possa trovare una soluzione diversa alla formattazione, al solo pensiero di rinstallare tutto mi sento male :crying:

Grazie
Bandit

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.42.40, on 06/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
H:\HiJackThis.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programmi\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7A2C387-0FFB-4741-8F62-41E03E8B01E1}: NameServer = 192.168.30.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5248 bytes

RNicoletto
06-11-2007, 12.18.41
Il log di HijackThis sembrerebbe pulito. Prova a fare un controllo utilizzando McAfee Rootkit Detective (http://vil.nai.com/vil/stinger/rkstinger.aspx). ;)

bandit72
06-11-2007, 15.31.33
Il log di HijackThis sembrerebbe pulito. Prova a fare un controllo utilizzando McAfee Rootkit Detective (http://vil.nai.com/vil/stinger/rkstinger.aspx). ;)

Se anche questo negativo che pensi che in qualche oscura maniera, e per un fortuito caso accaduto dopo una multipla segnalazione di virus, si possa essere svampato il file explorer.exe??????? ormai per evitare il format le provo tutte ;)

Un saluto
bandit

cippico
06-11-2007, 19.00.43
Il log di HijackThis sembrerebbe pulito. Prova a fare un controllo utilizzando McAfee Rootkit Detective (http://vil.nai.com/vil/stinger/rkstinger.aspx). ;)

questo non lo avevo... ;)

ciaooo

Lionsquid
06-11-2007, 19.14.30
anche a me il log sembra pulito...

l'event viewer segnala qualche anomalia???

bandit72
07-11-2007, 09.37.29
:act: yuppi :act:

Finalmente ho scoperto cosa ho, avendo questa mattina fatto un update del mio avira, dopo l'aggiornamento iniziata la guerra non riuscivo pi a fare nulla per le continue segnalazioni :inkaz: , per ho scoperto cosa ho il TR/Vundo.Gen portato da una dll la pmnnk.dll, ho provato a debellare il tutto ma anche se meno invadente rimasto nel sistema ed ogni tanto f capolino, qualcuno s un tool per rimuovere questo tipo di virus :mm:

Grazie
bandit72

leofelix
07-11-2007, 11.44.00
:act: yuppi :act:

Finalmente ho scoperto cosa ho, avendo questa mattina fatto un update del mio avira, dopo l'aggiornamento iniziata la guerra non riuscivo pi a fare nulla per le continue segnalazioni :inkaz: , per ho scoperto cosa ho il TR/Vundo.Gen portato da una dll la pmnnk.dll, ho provato a debellare il tutto ma anche se meno invadente rimasto nel sistema ed ogni tanto f capolino, qualcuno s un tool per rimuovere questo tipo di virus :mm:

Grazie
bandit72

Ciao bandit72,
se hai contratto il Troj/Vundo (o VirtuMonde) prova a scaricare questo removal tool il VundoFix (http://www.atribune.org/ccount/click.php?id=4) sul desktop, quindi chiudi eventuali finestre aperte (Navigatore, programma di chatting e/o Client di posta) eseguilo, clicca su "scan for vundo" e attendi, una volta terminata la scansione se trova qualcosa clicca su "remove vundo".

Per ogni file infetto ti chieder in ogni caso la conferma per l'eliminazione, se qualche file infetto non viene disinfettato dovrebbe riuscirci al successivo riavvio del sistema.

sito ufficiale
http://www.atribune.org/content/view/24/2/

in bocca al lupo:)

RNicoletto
07-11-2007, 11.53.17
Prova VundoFix (http://www.softpedia.com/get/Antivirus/VundoFix.shtml). ;)

EDIT: ho visto adesso che leofelix aveva gi risposto. :p

bandit72
08-11-2007, 11.52.58
:act: Grazie a tutti ma anche se ho debellato il virus, ormai facendo giri di l e di qu avevo abbondantemente sputtanato tutto il sistema operativo ed ho fatto il classico formattone riparatore :x:

Un saluto
Bandit72