PDA

View Full Version : AIUTATEMI:trojan generic.xdj

il padrino
20-08-2006, 13:06
ciao a tutti,
il mio antivirus AVG FREE mi ha segnalato la presenza di un virus: TROJAN HORSE GENERIC.XDJ e automaticamente mi da come scelta consigliata quella di ignorarlo ma io ho voluto eliminarlo ma mi da accesso negato cosi come in qualsiasi altra scelta che non sia ovviamente ignora.............................
AIUTATEMI sono letteralmente in crisi il computer si e rallentato moltissimo
grazie :mc: :cry:
SkunkWorks 68
20-08-2006, 13:13
Riesci a fare una scansione da provvisoria(magari riesce ad eliminartelo)?.
Disabilita prima il ripristino configurazione sistema,se hai Win XP o ME.
ps:la prossima volta metti un titolo pertinente :)
Edit:tieni conto anche di quanto scritto qui:http://www.hwupgrade.it/forum/showthread.php?t=1142673
Ciao
eraser
20-08-2006, 13:49
linkoptimizer...again...
trafalguar
20-08-2006, 17:42
Più sotto c'è un mio post dove cito lo stesso problema.. facendo la scansione con una decina di programmi (tra antivirus e vari) sono riuscito a fare un pò di pulizia ma il file in questione è ancora lì irremovibile e ogni tanto, nonostante abbia l'adsl, sento il modem 56k che provo a connettersi (tanto è staccato!). Fino a che non uscirà un tool per la rimozione automatica di questo link optimizer temo che non ci sia niente da fare.. ho provato a seguire la guida per la rimozione manuale ma i risultati che ottengo dai vari software sono un pò diversi e quindi non ho potuto procedere come indicato nella guida.. pazienza.. aspettiamo.. :muro:
DJnat
20-08-2006, 17:54
ciao a tutti,
il mio antivirus AVG FREE mi ha segnalato la presenza di un virus: TROJAN HORSE GENERIC.XDJ e automaticamente mi da come scelta consigliata quella di ignorarlo ma io ho voluto eliminarlo ma mi da accesso negato cosi come in qualsiasi altra scelta che non sia ovviamente ignora.............................
AIUTATEMI sono letteralmente in crisi il computer si e rallentato moltissimo
grazie :mc: :cry:

comincia col cambiare antivirus...
juninho85
20-08-2006, 19:39
ciao a tutti,
il mio antivirus AVG FREE mi ha segnalato la presenza di un virus: TROJAN HORSE GENERIC.XDJ e automaticamente mi da come scelta consigliata quella di ignorarlo ma io ho voluto eliminarlo ma mi da accesso negato cosi come in qualsiasi altra scelta che non sia ovviamente ignora.............................
AIUTATEMI sono letteralmente in crisi il computer si e rallentato moltissimo
grazie :mc: :cry:
hai provato con killbox?
trafalguar
20-08-2006, 21:41
Come detto da eraser si tratta di link optimizer e attualmente nessun antivirus riesce a rimuoverlo quindi cambiare antivirus non ti servirà a nulla e non ti servirà a nulla neanche provare a cancellare il file con killbox perchè anche con killbox ti darà accesso negato quando proverai a cancellarlo.. parlo per esperienza personale :muro:
FOXYLADY
20-08-2006, 21:57
ciao a tutti,
il mio antivirus AVG FREE mi ha segnalato la presenza di un virus: TROJAN HORSE GENERIC.XDJ e automaticamente mi da come scelta consigliata quella di ignorarlo ma io ho voluto eliminarlo ma mi da accesso negato cosi come in qualsiasi altra scelta che non sia ovviamente ignora.............................
AIUTATEMI sono letteralmente in crisi il computer si e rallentato moltissimo
grazie :mc: :cry:

Ma io mi domando come cavolo fate a prendere queste infezioni :doh:
Basterebbe un pò di buon senso e non cliccare a destra e manca
Comunque come già detto da trafalguar ed eraser si tratta di linkoptimizer, prova anche tu a seguire questa guida
http://www.suspectfile.com/forum/viewtopic.php?t=156

Ciao
BilloKenobi
20-08-2006, 22:13
Ma io mi domando come cavolo fate a prendere queste infezioni :doh:


non essere così severo, perchè basta anche solo un banner proveniente dal sito infetto che il gioco è fatto... e non si tratta solo di porno, ma anche di siti d altro genere... come messaggini per cellulare, suonerie, screensavers... :asd:
trafalguar
20-08-2006, 22:39
E poi quando il computer sta in mano a incapaci succedono sempre i guai peggiori! Io sono tornato a casa solo per le vacanze ed ho trovato il pc incasinato e volevo sistemarglielo prima di andar via..

@ il padrino
Prova a seguire la guida passo passo e vedi se riesci a ripulirti manualmente altrimenti l'unica è aspettare che qualche antivirus rilasci un opportuno aggiornamento
il padrino
20-08-2006, 22:45
grazie atutti quanti lo stesso per l' aiuto........
x trafalguar e proprio vero la mia connessione si è rallentata moltissimo
:muro:
bReAkDoWn
21-08-2006, 19:35
seguite quello che si è detto in questo thread: http://www.hwupgrade.it/forum/showthread.php?t=1254788 procuratevi gmer, seguite le indicazioni, postate i log se avete dubbi e vedrete che lo eliminerete.
trafalguar
21-08-2006, 22:09
ok.. inizio io.. ci tengo a sottolineare che mentre con gmer facevo la scansione in rootkit il mio modem 56k ha tentato un'infinità di volte di connettersi :confused:

inoltre in questo log non è presente il file C:\Programmi\File Comuni\SdjMtb.exe che mi è stato segnalato da avg come trojan generic.xdj e che non sono riuscito a cancellare neanche con killbox :muro:

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-21 21:47:02
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon@DLLName = WgaLogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Avg7Alrt /*AVG7 Alert Manager Server*/@ = C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
Avg7UpdSvc /*AVG7 Update Service*/@ = C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
AVGEMS /*AVG E-mail Scanner*/@ = C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
EPSONStatusAgent2 /*EPSON Printer Status Agent2*/@ = C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
EPSON_PM_RPCV2_02 /*EPSON V3 Service2(02)*/@ = C:\WINDOWS\system32\E_S00RP2.EXE
ewido anti-spyware 4.0 guard /*ewido anti-spyware 4.0 guard*/@ = C:\Programmi\ewido anti-spyware 4.0\guard.exe
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\system32\nvsvc32.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@nwiznwiz.exe /install = nwiz.exe /install
@NvMediaCenterRUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
@DAEMON Tools-1033"C:\Programmi\D-Tools\daemon.exe" -lang 1033 = "C:\Programmi\D-Tools\daemon.exe" -lang 1033
@NeroCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@EPSON Stylus C42 SeriesC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42" = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
@AVG7_CCC:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP = C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
@CnxTrApprundll32.exe "C:\Programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll",AppEntry -REG "Aethra\ADSL EB1070 USB" = rundll32.exe "C:\Programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll",AppEntry -REG "Aethra\ADSL EB1070 USB"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@swgC:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe = C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{57B86673-276A-48B2-BAE7-C6DBB3020EB8} = C:\Programmi\ewido anti-spyware 4.0\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{792F0537-F929-4eb7-AC1D-FB6334C71550} /*LG Phone*/C:\PROGRA~1\LGPCSU~1\LGPHON~1\Phone.dll = C:\PROGRA~1\LGPCSU~1\LGPHON~1\Phone.dll
@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} /*AVG7 Shell Extension*/C:\Programmi\Grisoft\AVG7\avgse.dll = C:\Programmi\Grisoft\AVG7\avgse.dll
@{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} /*AVG7 Find Extension*/C:\Programmi\Grisoft\AVG7\avgse.dll = C:\Programmi\Grisoft\AVG7\avgse.dll
@{D653647D-D607-4DF6-A5B8-48D2BA195F7B} /*BitDefender Antivirus v8*/(null) =

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG7\avgse.dll
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ewido anti-spyware@{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programmi\ewido anti-spyware 4.0\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG7\avgse.dll
BitDefender Antivirus v8@{D653647D-D607-4DF6-A5B8-48D2BA195F7B} =
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

HKCU\Control Panel\[email protected] = C:\WINDOWS\system32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLabout:blank = about:blank
@Start Pageabout:blank = about:blank

HKCU\Software\Microsoft\Internet Explorer\Main@Start Page = http://www.google.it/

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

---- EOF - GMER 1.0.10 ----

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-21 22:07:04
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT d347bus.sys ZwClose
SSDT d347bus.sys ZwCreateKey
SSDT d347bus.sys ZwCreatePagingFile
SSDT d347bus.sys ZwEnumerateKey
SSDT d347bus.sys ZwEnumerateValueKey
SSDT d347bus.sys ZwOpenKey
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwOpenProcess
SSDT d347bus.sys ZwQueryKey
SSDT d347bus.sys ZwQueryValueKey
SSDT d347bus.sys ZwSetSystemPowerState
SSDT \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys ZwTerminateProcess

---- Devices - GMER 1.0.10 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN [F9F9F85A] avgtdi.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN [F9F9F85A] avgtdi.sys
Device \Driver\prodrv06 \Device\ProDrv06 IRP_MJ_CREATE E18AE3A0
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_NAMED_PIPE 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLOSEIRP_MJ_READ 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_EA 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_EA 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FLUSH_BUFFERS 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_VOLUME_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_VOLUME_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DIRECTORY_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_FILE_SYSTEM_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_INTERNAL_DEVICE_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SHUTDOWN 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_LOCK_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CLEANUP 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_CREATE_MAILSLOT 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_SECURITY 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_SECURITY 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_POWER 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SYSTEM_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CHANGE 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_QUERY_QUOTA 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_SET_QUOTA 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP 818921B8
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_PNP_POWER 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_NAMED_PIPE 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLOSEIRP_MJ_READ 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_EA 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_EA 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FLUSH_BUFFERS 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_VOLUME_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_VOLUME_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DIRECTORY_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_FILE_SYSTEM_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_INTERNAL_DEVICE_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SHUTDOWN 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_LOCK_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CLEANUP 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_CREATE_MAILSLOT 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_SECURITY 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_SECURITY 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_POWER 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SYSTEM_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CHANGE 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_QUERY_QUOTA 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_SET_QUOTA 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP 818921B8
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_PNP_POWER 818921B8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_CREATE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_CREATE_NAMED_PIPE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_CLOSEIRP_MJ_READ 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_WRITE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_QUERY_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_SET_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_QUERY_EA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_SET_EA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_FLUSH_BUFFERS 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_QUERY_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_SET_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_DIRECTORY_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_FILE_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_INTERNAL_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_SHUTDOWN 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_LOCK_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_CLEANUP 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_CREATE_MAILSLOT 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_QUERY_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_SET_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_POWER 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_DEVICE_CHANGE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_QUERY_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_SET_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_PNP 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 IRP_MJ_PNP_POWER 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_NAMED_PIPE 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLOSEIRP_MJ_READ 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_WRITE 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_EA 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_EA 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FLUSH_BUFFERS 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DIRECTORY_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_FILE_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SHUTDOWN 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_LOCK_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CLEANUP 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_CREATE_MAILSLOT 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_POWER 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_DEVICE_CHANGE 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_QUERY_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_SET_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP 81929D18
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_PNP_POWER 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_NAMED_PIPE 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLOSEIRP_MJ_READ 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_WRITE 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_EA 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_EA 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FLUSH_BUFFERS 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DIRECTORY_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_FILE_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SHUTDOWN 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_LOCK_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CLEANUP 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_CREATE_MAILSLOT 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_POWER 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_DEVICE_CHANGE 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_QUERY_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_SET_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP 81929D18
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_PNP_POWER 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_CREATE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_CREATE_NAMED_PIPE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_CLOSEIRP_MJ_READ 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_WRITE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_QUERY_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_SET_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_QUERY_EA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_SET_EA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_FLUSH_BUFFERS 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_QUERY_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_SET_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_DIRECTORY_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_FILE_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_SHUTDOWN 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_LOCK_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_CLEANUP 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_CREATE_MAILSLOT 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_QUERY_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_SET_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_POWER 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_DEVICE_CHANGE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_QUERY_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_SET_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_PNP 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_PNP_POWER 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_CREATE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_CREATE_NAMED_PIPE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_CLOSEIRP_MJ_READ 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_WRITE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_QUERY_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_SET_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_QUERY_EA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_SET_EA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_FLUSH_BUFFERS 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_QUERY_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_SET_VOLUME_INFORMATION 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_DIRECTORY_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_FILE_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_INTERNAL_DEVICE_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_SHUTDOWN 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_LOCK_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_CLEANUP 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_CREATE_MAILSLOT 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_QUERY_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_SET_SECURITY 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_POWER 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_SYSTEM_CONTROL 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_DEVICE_CHANGE 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_QUERY_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_SET_QUOTA 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_PNP 81929D18
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f IRP_MJ_PNP_POWER 81929D18
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE_NAMED_PIPE 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CLOSEIRP_MJ_READ 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_WRITE 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_EA 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_EA 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_FLUSH_BUFFERS 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_VOLUME_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_VOLUME_INFORMATION 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_DIRECTORY_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_FILE_SYSTEM_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_DEVICE_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_INTERNAL_DEVICE_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SHUTDOWN 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_LOCK_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CLEANUP 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_CREATE_MAILSLOT 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_SECURITY 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_SECURITY 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_POWER 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SYSTEM_CONTROL 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_DEVICE_CHANGE 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_QUERY_QUOTA 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_SET_QUOTA 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_PNP 818921B8
Device \Driver\Cdrom \Device\CdRom2 IRP_MJ_PNP_POWER 818921B8
Device \Driver\prohlp02 \Device\ProHlp02 IRP_MJ_CREATE E1563F80
Device \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN [F9F9F85A] avgtdi.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN [F9F9F85A] avgtdi.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_SHUTDOWN [F9F9F85A] avgtdi.sys
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CREATE 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CREATE_NAMED_PIPE 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CLOSEIRP_MJ_READ 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_WRITE 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_INFORMATION 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_INFORMATION 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_EA 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_EA 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_FLUSH_BUFFERS 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_VOLUME_INFORMATION 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_VOLUME_INFORMATION 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_DIRECTORY_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_FILE_SYSTEM_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SHUTDOWN 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_LOCK_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CLEANUP 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_CREATE_MAILSLOT 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_SECURITY 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_SECURITY 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_POWER 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SYSTEM_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_DEVICE_CHANGE 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_QUERY_QUOTA 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_SET_QUOTA 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_PNP 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 IRP_MJ_PNP_POWER 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CREATE 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CREATE_NAMED_PIPE 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CLOSEIRP_MJ_READ 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_WRITE 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_INFORMATION 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_INFORMATION 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_EA 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_EA 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_FLUSH_BUFFERS 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_VOLUME_INFORMATION 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_VOLUME_INFORMATION 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_DIRECTORY_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_FILE_SYSTEM_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_DEVICE_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_INTERNAL_DEVICE_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SHUTDOWN 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_LOCK_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CLEANUP 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_CREATE_MAILSLOT 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_SECURITY 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_SECURITY 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_POWER 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SYSTEM_CONTROL 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_DEVICE_CHANGE 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_QUERY_QUOTA 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_SET_QUOTA 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_PNP 8183FF00
Device \Driver\d347prt \Device\Scsi\d347prt1 IRP_MJ_PNP_POWER 8183FF00

---- Modules - GMER 1.0.10 ----

Module _________ F994E000

---- Registry - GMER 1.0.10 ----

Reg \Registry\USER\S-1-5-21-682003330-1563985344-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count@HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Renfzb\Qbphzragv\Qbjaybnq\[cngpu] jtn 1.5.540 - XO905474 - 29-06-2006 - Grfgngb + vfgehmvbav VGN - ol Serqqvr24\[cngpu] jtn 1.5.540 - XO905474 - 29-06-2006 - Grfgngb + vfgehmvbav VGN - ol Serqqvr24\xo905474_1.5.540.0.rkr 0x4D 0x01 0x00 0x00 ...

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log

---- EOF - GMER 1.0.10 ----
bReAkDoWn
21-08-2006, 23:52
ok.. inizio io.. ci tengo a sottolineare che mentre con gmer facevo la scansione in rootkit il mio modem 56k ha tentato un'infinità di volte di connettersi :confused:

inoltre in questo log non è presente il file C:\Programmi\File Comuni\SdjMtb.exe che mi è stato segnalato da avg come trojan generic.xdj e che non sono riuscito a cancellare neanche con killbox :muro:


Allora.. l'infezione non è quella classica come riportato nella guida per linkoptimizer e nell'altro thread che ti ho suggerito. Anzi, dal log di gmer non emergono segnali evidenti di niente. Puoi provare a eliminare quel file con il programma the avenger (lo trovi con google cercando: the avenger swandog) con il seguente script: (le istruzioni sono nel thread di cui sopra)

Files to delete:
C:\Programmi\File Comuni\SdjMtb.exe

Il problema è che finchè non si capisce da cosa venga lanciato questo file non è detto che basti eliminarlo per risolvere il tutto.
Se vuoi investigare ulteriormente fai una scansione con rootkitrevealer e un log con startuplist2.0 (dal sito di merijn, quello di hijackthis) allegato come file al forum (se è troppo lungo zippalo).
trafalguar
22-08-2006, 01:08
Dal log di gmer forse non emerge niente perchè dopo aver fatto la scansione con 7-8 antivirus e seguito i consigli della guida passo passo alla rimozione di link optimizer, un pò di roba è venuta via.. ma resta questo file e la voce Link Optimizer nei programmi installati..

Riguardo a questo file ho trovato nel registro una voce in
HKLM\System\ControlSet001\Services\UpdCkx

in Description dice: Gestisce la protezione IP e avvia ISAKMP/Oakley (IKE) e il driver di protezione IP
e in ImagePath: "C:\Programmi\File comuni\System\SdjMtb.exe"

Inoltre non mi fa accedere a HKLM\System\ControlSet001\Services\UpdCkx\Security dicendo che è Impossibile aprire Security. Errore durante l'apertura della chiave

Vorrei evitare di cancellare con avenger il suddetto file perchè se ci sono comunque delle voci nel registro che lo richiamano, poi va a finire che non trovandolo inizierà a darmi anche errori.. quindi meglio capire più a fondo il problema.. allego i log di hijackthis, rootkitrevealer e startuplist (allego il file, diviso in 2 parti e compresso altrimenti era troppo grande per caricarlo) :sperem:

Da notare che con hijackthis la voce O17 ogni volta che la elimino, compare al riavvio successivo.. nel log del rootkitrevealer c'è un hidden api il che, se ho ben capito, non è un buon segno.. e ora avviando il task manager ho trovato un processo con un nome strampalato in una directory temp :mc:
Il file di cui sopra è presente anche nel log di startuplist..
Facevo prima a formattare, ma ormai è una questione di principio :muro:
Può essere utile fare anche una scansione con ADS Spy? :confused:

Logfile of HijackThis v1.99.1
Scan saved at 0.32.09, on 22/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\E_S00RP2.EXE
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\D-Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Erasmo\Desktop\Pulizia\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll",AppEntry -REG "Aethra\ADSL EB1070 USB"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D81B227-36DC-4D38-8662-0A19737FFB5F}: NameServer = 85.37.17.16 85.38.28.68
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - - (no file)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

HKLM\S-1-5-21-682003330-1563985344-1957994488-1003\RemoteAccess\InternetProfile 28/07/2006 21.33 25 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Control\Motorola\PST\USBDriverVersionNumber 24/08/2005 14.59 3 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\Description 22/08/2006 0.42 17 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 21/08/2006 16.29 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\Motorola\PST\USBDriverVersionNumber 24/08/2005 14.59 3 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet002\Services\Description 20/08/2006 17.12 17 bytes Data mismatch between Windows API and raw hive data.

Nella cartella c:\Documents and Settings oltre alle cartelle Administrator - All Users e Erasmo (l'utente creato da me) è normale che ci siano anche le cartelle (nascoste) BvpAInh,Default User,LocalService,NetworkService? Anche se credo di conoscere la risposta :Prrr:
bReAkDoWn
22-08-2006, 10:28
Dal log di gmer forse non emerge niente perchè dopo aver fatto la scansione con 7-8 antivirus e seguito i consigli della guida passo passo alla rimozione di link optimizer, un pò di roba è venuta via.. ma resta questo file e la voce Link Optimizer nei programmi installati..

Riguardo a questo file ho trovato nel registro una voce in
HKLM\System\ControlSet001\Services\UpdCkx

in Description dice: Gestisce la protezione IP e avvia ISAKMP/Oakley (IKE) e il driver di protezione IP
e in ImagePath: "C:\Programmi\File comuni\System\SdjMtb.exe"

Inoltre non mi fa accedere a HKLM\System\ControlSet001\Services\UpdCkx\Security dicendo che è Impossibile aprire Security. Errore durante l'apertura della chiave

Vorrei evitare di cancellare con avenger il suddetto file perchè se ci sono comunque delle voci nel registro che lo richiamano, poi va a finire che non trovandolo inizierà a darmi anche errori.. quindi meglio capire più a fondo il problema.. allego i log di hijackthis, rootkitrevealer e startuplist (allego il file, diviso in 2 parti e compresso altrimenti era troppo grande per caricarlo) :sperem:

Da notare che con hijackthis la voce O17 ogni volta che la elimino, compare al riavvio successivo.. nel log del rootkitrevealer c'è un hidden api il che, se ho ben capito, non è un buon segno.. e ora avviando il task manager ho trovato un processo con un nome strampalato in una directory temp :mc:
Il file di cui sopra è presente anche nel log di startuplist..
Facevo prima a formattare, ma ormai è una questione di principio :muro:
Può essere utile fare anche una scansione con ADS Spy? :confused:
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D81B227-36DC-4D38-8662-0A19737FFB5F}: NameServer = 85.37.17.16 85.38.28.68
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - - (no file)

Nella cartella c:\Documents and Settings oltre alle cartelle Administrator - All Users e Erasmo (l'utente creato da me) è normale che ci siano anche le cartelle (nascoste) BvpAInh,Default User,LocalService,NetworkService? Anche se credo di conoscere la risposta :Prrr:


Allora: i punti di avvio sospetti sono due: entrambi servizi, con i seguenti file:

Files to delete:
C:\Programmi\File Comuni\SdjMtb.exe
C:\DOCUME~1\Erasmo\IMPOST~1\Temp\MNUFUSFUQBIDE.exe

Questi servizi risultano arrestati o disabilitati, ma essendo in memoria il processo MNUecc. non bisogna fidarsi di come possano apparire.
Come primo passo va impedito loro di avviarsi. The avenger dovrebbe essere in grado di eliminare i file, mentre per quanto riguarda gli errori dovuti alla loro mancanza non c'è da preoccuparsi perchè i servizi senza file non partono e basta.
Se proprio vuoi essere sicuro, specialmente per SdjMtb.exe, fanne una copia a mano e salvala in qualche altra cartella, anche se theavenger dovrebbe creare il backup di tutto ciò che cancella; al massimo a rimetterli a posto fai presto.
Infine può darsi che MNUFecc. cambi nome da boot a boot, in quel caso cerca di trovare l'ultimo nome sempre con startup list cercando fra i servizi.

Per quanto riguarda O17 sono indirizzi di interbusiness, sono i nameserver della adsl e quindi sono regolari.

Le cartelle in documents vanno tutte bene tranne BvpAInh che sarà stata creata dal virus, guarda cosa c'è dentro e casomai rimuovi anche quella.

Fammi sapere come procede il lavoro e quando hai finito, dopo un paio di reboot, ricontrolla con startuplist che non siano comparsi nuovi servizi con strani nomi e che i due file di quelli che già conosciamo non siano stati ricreati.
trafalguar
22-08-2006, 11:35
Stamattina il file C:\DOCUME~1\Erasmo\IMPOST~1\Temp\MNUFUSFUQBIDE.exe non c'era più e nel task manager neanche nessun altro nome sospetto.. l'altro ho provveduto a eliminarlo con the avenger ed è stato eliminato correttamente..

però..

nella lista dei programmi installati continua a risultare link optimizer, appena avviato windows viene lanciata la finestra di accesso remoto per effettuare la connessione (come se qualche programma richiedesse di effettuare la connessione) e se faccio la scansione con gmer/rootkit sento il modem 56k che prova un'infinità di volte a connettersi.. credo che ancora non ci siamo.. inoltre non dovrei pulire il registro da quelle chiavi che ad esempio facevano riferimento al file SdjMtb.exe? Un buon software per la pulizia?

Nel frattempo ti allego il nuovo log di startuplist.. anche se mi sembra pressochè identico al precedente.. ma io non ne capisco :muro: quindi meglio tacere..
trafalguar
22-08-2006, 11:58
Per fare pulizia sto provando jv16 power tools 2006.. sembra davvero ottimo e sono molteplici le cose che si possono fare.. intanto mi ha fatto sparire link optimizer dalla lista dei programmi installati :yeah:

Ora nel registro di sistema nella sezione run sono comparse un paio di nuove voci, una fimxgdsl che punta a c:\qjkjjbec.bat e un'altra qyshnnnb che punta a c:\rnwhorep.bat :muro:

Questi files però non esistono in c: quindi per il momento mi sono limitato a cancellare queste voci..

Con jv16 ho anche cercato tutte le chiavi che contenevano SdjMtb.exe e le ho rimosse.. continuo con la pulizia..
bReAkDoWn
22-08-2006, 13:00
Per fare pulizia sto provando jv16 power tools 2006.. sembra davvero ottimo e sono molteplici le cose che si possono fare.. intanto mi ha fatto sparire link optimizer dalla lista dei programmi installati :yeah:
Ora nel registro di sistema nella sezione run sono comparse un paio di nuove voci, una fimxgdsl che punta a c:\qjkjjbec.bat e un'altra qyshnnnb che punta a c:\rnwhorep.bat :muro:
Questi files però non esistono in c: quindi per il momento mi sono limitato a cancellare queste voci..

editato perchè non avevo letto la prima risposta.. riediterò fra un pò :D
trafalguar
22-08-2006, 13:33
Ok.. cmq ora pare che non ci siano più tracce di nulla.. dopo aver cancellato il file SdjMtb.exe ed aver ripulito il pc con jv16 anche dalle chiavi del registro che vi facevano riferimento, ho riavviato ed è tutto ok.. la connessione che parte da sola credo che sia normale, perchè ho provato ad installare l'adsl anche sul portatile e mi fa lo stesso, appena partito windows parte la finestra di connessione.. quando faccio la scansione con gmer/rootkit il modem 56k continua a far rumore come se si attacca e stacca per 3-4 volte consecutivamente, ma non mi preoccupa più di tanto perchè il modem è scollegato.. anzi ora provvederò a toglierlo proprio fisicamente.. speriamo che sia finita qui dai.. grazie 1000 per il supporto..
bReAkDoWn
22-08-2006, 13:42
Ok.. cmq ora pare che non ci siano più tracce di nulla.. dopo aver cancellato il file SdjMtb.exe ed aver ripulito il pc con jv16 anche dalle chiavi del registro che vi facevano riferimento, ho riavviato ed è tutto ok.. la connessione che parte da sola credo che sia normale, perchè ho provato ad installare l'adsl anche sul portatile e mi fa lo stesso, appena partito windows parte la finestra di connessione.. quando faccio la scansione con gmer/rootkit il modem 56k continua a far rumore come se si attacca e stacca per 3-4 volte consecutivamente, ma non mi preoccupa più di tanto perchè il modem è scollegato.. anzi ora provvederò a toglierlo proprio fisicamente.. speriamo che sia finita qui dai.. grazie 1000 per il supporto..

Ho ricontrollato i log di startup e adesso non ci trovo niente, se non quei files .bat e i riferimenti a sdjecc. che però hai tolto successivamente. Per la connessione no problem allora, e lo stesso può valere per i tentativi di connessione durante la scansione, possono benissimo non indicare niente ed essere collegati al software del modem adsl.

L'unica cosa son quei due files .bat che si son creati. Se sono comparsi mentre ancora c'era sdj in esecuzione o il vecchio processo dal nome casuale lungo, allora va bene. Se si son creati dopo, quando avevi finito di fare pulizia, allora non so, il pc andrebbe tenuto un altro pò sotto osservazione.
Cmq, come sicuramente saprai :) , tieni aggiornato il sistema con tutti gli aggiornamenti microsoft, il firewall acceso (fosse anche solo quello di xp) e sei a posto.. al limite fai anche una scansione online su uno dei vari siti tipo symantec, bitedefender, panda, ecc.ecc.

Ciao!
trafalguar
22-08-2006, 18:18
Quei files .bat si erano creati prima di completare la pulizia, quindi tutto ok.. ho fatto un'altra scansione online con bitdefender e riavviato un paio di volte ricontrollando i log di startuplist ed è tutto ok!
Il firewall solitamente su questo pc non lo installo mai perchè gli incapaci che lo usano altrimenti mi chiamano ogni 5 minuti allarmati da qualsiasi tipo di messaggio.. ora gli attivo giusto quello di xp.. il sistema l'ho aggiornato con tutti gli aggiornamenti disponibili..
giannirc
25-08-2006, 10:21
Ciao,

ho trovato anche io il trojan generic.xdj. :help:

Il mio file era qmi.exe e il rootik C:\WINDOWS\system32\com3.xeh mentre la dll era C:\WINDOWS\lmvlu1.dll

come si vede dal rootikreveal originale

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 11/07/2006 18.11 66 bytes Windows API length not consistent with raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 12/05/2006 22.12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 12/05/2006 22.12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf42 12/05/2006 22.12 0 bytes Hidden from Windows API.
C:\WINDOWS\lmvlu1.dll 11/07/2006 18.11 63.16 KB Hidden from Windows API.
C:\WINDOWS\system32\com3.xeh 24/08/2006 20.15 113.96 KB Hidden from Windows API.


Ho seguito le procedure della guida di suspectfile con molte difficoltà perchè per esempio nella cartella "document and setting" non c'era nessun profilo utenti "strano", ma l'ho trovato lo stesso nei servizi e in proprietà del sistema.

Ora credo di avere bloccato il trojan, che ho messo nella cartella di avenger e non c'è più linkoptimizer nelle applicazioni.
Non riesco assolutamente ad eliminare il file com3.xeh dalla cartella di avenger Ho provato con killbox e con jv16 power tools 2006. :muro:

Vi do anche il log dell'ultimo rootkitreveal perchè c'è ancora un pò di sporcizia e non ho capito da dove arriva, forse una precedente infezione.

Mi può aiutare qualcuno?

HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 12/05/2006 22.12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 12/05/2006 22.12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf42 12/05/2006 22.12 0 bytes Hidden from Windows API.

Allego anche l'attuale Logfile di HijackThis dove compare il com3.xeh

Logfile of HijackThis v1.99.1
Scan saved at 7.48.21, on 25/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\Hummbird\inetd32.exe
C:\MSC.Software\MSC.Licensing\9.2\lmgrd.exe
C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\QueMgr.exe
C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\RmtMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\MSC.Software\MSC.Licensing\9.2\msc.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Softwin\BitDefender8\bdmcon.exe
C:\Programmi\Softwin\BitDefender8\bdnagent.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\SpywareGuard\sgmain.exe
C:\Programmi\File comuni\Logitech\KHAL\KHALMNPR.EXE
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\SpywareGuard\sgbhp.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\giovanni\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastweb.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programmi\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O18 - Protocol: bw+0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {6E01EC43-B50A-4674-AFB9-592600F941D7} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com3.xeh
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Hummingbird Inetd (HCLInetd) - Hummingbird Communications Ltd. - C:\WINDOWS\system32\Hummbird\inetd32.exe
O23 - Service: MSC.Licensing 9.2 - Macrovision Corporation - C:\MSC.Software\MSC.Licensing\9.2\lmgrd.exe
O23 - Service: MSCQueMgr - Unknown owner - C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\QueMgr.exe
O23 - Service: MSCRmtMgr - Unknown owner - C:\MSC.Software\MSC.Patran\2004\p3manager_files\bin\WINNT\RmtMgr.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: POHWYHB - Sysinternals - www.sysinternals.com - C:\DOCUME~1\giovanni\IMPOST~1\Temp\POHWYHB.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
bReAkDoWn
25-08-2006, 10:51
Ciao,

ho trovato anche io il trojan generic.xdj. :help:

Il mio file era qmi.exe e il rootik C:\WINDOWS\system32\com3.xeh mentre la dll era C:\WINDOWS\lmvlu1.dll

come si vede dal rootikreveal originale

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 11/07/2006 18.11 66 bytes Windows API length not consistent with raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 12/05/2006 22.12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 12/05/2006 22.12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf42 12/05/2006 22.12 0 bytes Hidden from Windows API.
C:\WINDOWS\lmvlu1.dll 11/07/2006 18.11 63.16 KB Hidden from Windows API.
C:\WINDOWS\system32\com3.xeh 24/08/2006 20.15 113.96 KB Hidden from Windows API.


Ho seguito le procedure della guida di suspectfile con molte difficoltà perchè per esempio nella cartella "document and setting" non c'era nessun profilo utenti "strano", ma l'ho trovato lo stesso nei servizi e in proprietà del sistema.

Ora credo di avere bloccato il trojan, che ho messo nella cartella di avenger e non c'è più linkoptimizer nelle applicazioni.
Non riesco assolutamente ad eliminare il file com3.xeh dalla cartella di avenger Ho provato con killbox e con jv16 power tools 2006. :muro:

Vi do anche il log dell'ultimo rootkitreveal perchè c'è ancora un pò di sporcizia e non ho capito da dove arriva, forse una precedente infezione.

Mi può aiutare qualcuno?

HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 12/05/2006 22.12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 12/05/2006 22.12 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf42 12/05/2006 22.12 0 bytes Hidden from Windows API.

Allego anche l'attuale Logfile di HijackThis dove compare il com3.xeh
O20 - AppInit_DLLs: \\?\C:\WINDOWS\system32\com3.xeh


Allora.. innanzitutto con theavenger cancella di nuovo appinit_dlls, la sintassi la trovi in uno dei tanti script per linkoptimizier (replace key with dummy ecc.)

Quelle entry nel log di rootkitrevealer sono dovute a daemontools..

il file com3.xhe che non riesci a cancellare è nella cartella di avenger, ce lo ha messo avenger stesso, e non si cancella?
giannirc
25-08-2006, 10:56
Si, il file è nella cartella di avenger.
Ho provato anche in modalità provvisoria; ho seguito la guida per la proprietà del file "protezione" per xp professional, ma la shell protezione non compare.
bReAkDoWn
25-08-2006, 11:08
Si, il file è nella cartella di avenger.
Ho provato anche in modalità provvisoria; ho seguito la guida per la proprietà del file "protezione" per xp professional, ma la shell protezione non compare.

Forse non compare perchè hai attivata la condivisione semplice, prova a disattivarla dentro risorse del computer, strumenti, opzioni cartella, in fondo alle opzioni di visualizzazione..
giannirc
25-08-2006, 11:15
L'ho fatto come diceva già la guida, la shell protezione compare per tutti i file tranne che per quello in questione.
giannirc
28-08-2006, 08:39
Ho ristolto il problema dell'eliminazione del file com3 dal prompt di dos in modaità provvisoria :) .

rootikreveal e HijackThis danno risultati ok.

Nel registro ho trovayo però ancora due chiavi con AppInit_DLLs , è sempre una chiave da cancellare? O AppInit_DLLs normalmente serve a Windows XP :confused: ?

Cancello le chiavi per finire la rimozione del maleware?

Grazie

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "AppInit_DLLs" 28/08/2006 8.28.30

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows]
"AppInit_DLLs"="SYS:Microsoft\\Windows NT\\CurrentVersion\\Windows"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
kooks
17-04-2009, 12:00
Ciao a tutti..

ho fatto la scansione tramite AVG FREE e mi dice che ho questo virus infetto, ma non riesco a toglierlo perchè mi dice "impossibile trovare file specificato"!!

cosa posso fare??

c'è qualcuno che mi può aiutare.???

grazie...
Chill-Out
17-04-2009, 12:20
Ciao a tutti..

ho fatto la scansione tramite AVG FREE e mi dice che ho questo virus infetto, ma non riesco a toglierlo perchè mi dice "impossibile trovare file specificato"!!

cosa posso fare??

c'è qualcuno che mi può aiutare.???

grazie...

Ciao ti suggerisco di aprire una nuova discussione in Sezione Aiuto sono infetto! Cosa faccio? (http://www.hwupgrade.it/forum/forumdisplay.php?f=125) dopo aver seguito la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)