Aiuto problema DR/DLDR.VB.bqc.3 / axa.26 e strano problema con win-xp

[bandit72]

Salve oggi mentre stavo navigando all'improvviso il mio antivirus(avira) mi ha
segnalato i virus in oggetto ho detto di metterli in quarantena o di
cancellarli, solo che dopo un pò mi è capitata una cosa incredibile
praticamente quando riavvio win-xp le icone e la barra di win-xp, li dove
c'è start, appaiono e spariscono ad intermittenza come se qualcuno mi
terminasse explorer.exe e poi lo faccia ripartire di continuo non riesco a
capire se c'è un virus o se mi si è svampato il sistema operativo.....

Qualcuno può aiutarmi????

Grazie
Bandit

[crazy.cat]

riesci a fare una scansione con hijackthis e postare il file log che ne risulta?

[bandit72]

Non lo sò se ci riesco e molto difficile ed instabile comunque ci provo, c'era una persona che sul NG di it.comp.sicurezza.virus mi ha detto che qui a wintriks dovrebbe essereci un tool per sistemare il mio problema

Grazie
bandit

[bandit72]

Sto ancora combattento con questo problema ho fatto una scansione con vari remove tool, ma niente o fatto come richiestomi la scansione e vi riporto il log ricevuto, comunque il problema e come se qualcuno stoppasse explorer.exe e anche se lo riavvio lo ristoppa, ho notato che comunque il pc continua a funzionare bene lo stesso, visto che i programma per la scansione funzionavano, però tutto quello conesso a explorer.exe viene chiuso.

spero che si possa trovare una soluzione diversa alla formattazione, al solo pensiero di rinstallare tutto mi sento male

Grazie
Bandit

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8.42.40, on 06/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
H:\HiJackThis.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programmi\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7A2C387-0FFB-4741-8F62-41E03E8B01E1}: NameServer = 192.168.30.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5248 bytes

[RNicoletto]

Il log di HijackThis sembrerebbe pulito. Prova a fare un controllo utilizzando McAfee Rootkit Detective.

[bandit72]

Quota:

Inviato da RNicoletto

Il log di HijackThis sembrerebbe pulito. Prova a fare un controllo utilizzando McAfee Rootkit Detective.

Se anche questo è negativo che pensi che in qualche oscura maniera, e per un fortuito caso accaduto dopo una multipla segnalazione di virus, si possa essere svampato il file explorer.exe??????? ormai per evitare il format le provo tutte

Un saluto
bandit

[cippico]

Quota:

Inviato da RNicoletto

Il log di HijackThis sembrerebbe pulito. Prova a fare un controllo utilizzando McAfee Rootkit Detective.

questo non lo avevo...

ciaooo

[Lionsquid]

anche a me il log sembra pulito...

l'event viewer segnala qualche anomalia???

[bandit72]

yuppi

Finalmente ho scoperto cosa ho, avendo questa mattina fatto un update del mio avira, dopo l'aggiornamento è iniziata la guerra non riuscivo più a fare nulla per le continue segnalazioni , però ho scoperto cosa ho il TR/Vundo.Gen portato da una dll la pmnnk.dll, ho provato a debellare il tutto ma anche se meno invadente è rimasto nel sistema ed ogni tanto fà capolino, qualcuno sà un tool per rimuovere questo tipo di virus

Grazie
bandit72

[leofelix]

Quota:

Inviato da bandit72

yuppi

Finalmente ho scoperto cosa ho, avendo questa mattina fatto un update del mio avira, dopo l'aggiornamento è iniziata la guerra non riuscivo più a fare nulla per le continue segnalazioni , però ho scoperto cosa ho il TR/Vundo.Gen portato da una dll la pmnnk.dll, ho provato a debellare il tutto ma anche se meno invadente è rimasto nel sistema ed ogni tanto fà capolino, qualcuno sà un tool per rimuovere questo tipo di virus

Grazie
bandit72

Ciao bandit72,
se hai contratto il Troj/Vundo (o VirtuMonde) prova a scaricare questo removal tool il VundoFix sul desktop, quindi chiudi eventuali finestre aperte (Navigatore, programma di chatting e/o Client di posta) eseguilo, clicca su "scan for vundo" e attendi, una volta terminata la scansione se trova qualcosa clicca su "remove vundo".

Per ogni file infetto ti chiederà in ogni caso la conferma per l'eliminazione, se qualche file infetto non viene disinfettato dovrebbe riuscirci al successivo riavvio del sistema.

sito ufficiale
http://www.atribune.org/content/view/24/2/

in bocca al lupo

[RNicoletto]

Prova VundoFix.

EDIT: ho visto adesso che leofelix aveva già risposto.

[bandit72]

Grazie a tutti ma anche se ho debellato il virus, ormai facendo giri di là e di quà avevo abbondantemente sputtanato tutto il sistema operativo ed ho fatto il classico formattone riparatore

Un saluto
Bandit72