ciao a tutti,
questo win32/trojanclicker.small.kj cavallo di troia non mi da pace..
ho nod32 che mi dice che l'ha eliminato ma non è così e riappare il messagio
di virus trovato :muro:

fai la scnasione dalla modalità provvisoria e prima (solo se hai XP o ME) disabilita il ripristino di sistema :)

fai la scnasione dalla modalità provvisoria e prima (solo se hai XP o ME) disabilita il ripristino di sistema :)
giusto.

Poi fatti una passata con Bitdefender e Ewido, li trovi a questo indirizzo:
http://www.hwupgrade.it/articoli/software/1439/virus-rimuoviamo-le-infezioni-dal-nostro-pc_3.html

ho gia provato la scansione in mod provvisoria (dopo aver disabilitato il ripristino )ma nulla da fare...

ho gia provato la scansione in mod provvisoria (dopo aver disabilitato il ripristino )ma nulla da fare...
Ciao, fai una verifica. Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Vai su C:\WINDOWS e vedi se ci sono i seguenti files: service32.exe e syst32.dll

....


:cry:


ma non ti si legge + se non sporadicamente.... :(

Che fai, ora, trascuri i "vecchi amici"? :oink: :sofico:



................................................................................


Ciao :)

:cry:


ma non ti si legge + se non sporadicamente.... :(

Che fai, ora, trascuri i "vecchi amici"? :oink: :sofico:



................................................................................


Ciao :)
Ciao nV, in effetti scrivo poco perche' ho degli impegni in altri lidi pero' ogni tanto torno molto volentieri. Comunque continuo a lurkare e seguo le vostre mirabolanti avventure sul forum. Ho anche seguito la tua seconda sospensione (la prima avvenne per un tuo topic ''hot'' per il pesce d'aprile :D ). ;)

Ciao, fai una verifica. Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Vai su C:\WINDOWS e vedi se ci sono i seguenti files: service32.exe e syst32.dll


ho verificato e ci sono tutti e due... :confused:

ho verificato e ci sono tutti e due... :confused:
I files devono essere eliminati singolarmente, prima bisogna eliminare service32.exe. Fai questo procedimento:

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre la finestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice in neretto:


Files to delete:
C:\WINDOWS\service32.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.
----------------------------------------------------------------------

Dopo aver eliminato il file service32.exe devi ripetere lo stesso procedimento per eliminare il file syst32.dll:

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre la finestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice in neretto:


Files to delete:
C:\WINDOWS\syst32.dll

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Fammi sapere se i 2 files sono spariti.

per andorra24

si i due file service32.exe e syst32.dll sono spariti :)
ho risolto cosi?

per andorra24

si i due file service32.exe e syst32.dll sono spariti :)
ho risolto cosi?
Direi proprio di si. :)

Se vuoi puoi sbarazzarti della cartella di avenger. Per eliminarla fai cosi:

scarica questo file
http://downloads.andymanchesta.com/Tools/IceSword1.zip
decomprimi l'archivio,avvia il file icesword.exe,sotto clicca sul pulsante "File" adesso clicca su "Local disk" dovresti visualizzare la cartella Avenger,selezionala,destro del mouse e scegli "Delete".

Direi proprio di si. :)

Se vuoi puoi sbarazzarti della cartella di avenger. Per eliminarla fai cosi:

scarica questo file
http://downloads.andymanchesta.com/Tools/IceSword1.zip
decomprimi l'archivio,avvia il file icesword.exe,sotto clicca sul pulsante "File" adesso clicca su "Local disk" dovresti visualizzare la cartella Avenger,selezionala,destro del mouse e scegli "Delete".

Grazie di tutto andorra24 sei stato un grade:flower:

Grazie di tutto andorra24 sei stato un grade:flower:
Una grande forse. :D :p

Lieta di averti aiutato. ;)

visto che anche io sono affetto da questa troia di cavallo, ed uso anche io nod32, approfitto di questo thread per chiedere una info.

il file che mi indica come infetto è syst32.dll, non service32.exe

devo cmq cancellare quest'ultimo?

grazie

visto che anche io sono affetto da questa troia di cavallo, ed uso anche io nod32, approfitto di questo thread per chiedere una info.

il file che mi indica come infetto è syst32.dll, non service32.exe

devo cmq cancellare quest'ultimo?

grazie
Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.
Se in C:\WINDOWS\ hai anche il file service32.exe allora segui attentamente la procedura che ho consigliato all'utente orck. Prima devi eliminare service32.exe e poi syst32.dll.

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.
Se in C:\WINDOWS\ hai anche il file service32.exe allora segui attentamente la procedura che ho consigliato all'utente orck. Prima devi eliminare service32.exe e poi syst32.dll.
la procedura va fatta in modelità provvisoria o no?

con connessione internet disattiva o no?

grazie ancora

la procedura va fatta in modelità provvisoria o no?

con connessione internet disattiva o no?

grazie ancora
In modalita' normale, disconnesso da internet e con tutte le applicazioni chiuse.

In modalita' normale, disconnesso da internet e con tutte le applicazioni chiuse.
anche nod32?

anche nod32?

Avenger ti riavvierà il sistema, quindi è indifferente. A meno che Nod32 non interferisca con le operazioni preliminare di avenger prima del riavvio. Cmq prova, se i file ti si cancellano significa che ha funzionato.

anche nod32?
Non e' fondamentale questo.

Non e' fondamentale questo.
ooooooooooookkkkkkkkkkkkk

grazie mille per l'aiuto
:ave:

perdonatemi se dico un'eresia... :rolleyes:

mettere in autoexec.bat le istruzioni

del c:\windows\service32.exe
del c:\windows\syst32.dll

non risolverebbe il problema cancellando
ad ogni avvio l'eventuale presenza dei files?

ciao a tutti,
questo win32/trojanclicker.small.kj cavallo di troia non mi da pace..
ho nod32 che mi dice che l'ha eliminato ma non è così e riappare il messagio
di virus trovato :muro:

Ciao ragà, sono nuovo :cool:
Se può esser utile,
dopo 2 notti di prove sono riuscito a togliere il trojan usando
ewido + kaspersky. Quest'ultimo, per 2-3 volte vedeva l'impossibilità di eliminarlo, ma poi, con un ennesimo tentativo, sembra sia sparito.
Ho fatto più scansioni in seguito sia col kaspersky che con antivir avg e altro:
- non ne trovo più traccia!- ;)

ciao

Scusate, io ho service32 e winsmgr32.dll, vanno cancellati entrambi?
:confused:

Scusate, io ho service32 e winsmgr32.dll, vanno cancellati entrambi?
:confused:
Si certo entrambi, pero' per primo elimina service32.exe e poi elimina l'altro file.

salve a tutti

Ho trovato nei pc di molti amici miei lo stesso processo avviato service32.exe e syst32.dll rilevato come virus da nod32.
Con il passare del tempo il file syst32.dll è cambiato e ha preso nomi come iexplorer32.dll e winsmgr32.dll, soltanto che prima terminando service32.exe si riusciva a elimare i 2 file ora non più.
Prevedo una nuova infezione capillare questa cosa si sta diffondendo.

Nell'ultimo ho trovato iexplorer32.dll, quando cerco qualcosa di nuovo su google appare una nuova finestra con sfondo bianco e il testo visualizzato è lo stesso che viene digitato nella motore di ricerca.

a me da spoolsv32.dll e svchost.exe se non sbaglio faccio quello che ha detto andorra??? :D
ma non danno alcun problema se cancellati????

svchost.exe è di sistema, nn centra nulla. devi eliminare lo spoolsv32.dll e il service32.dll

si ma mi dice che e infetto svchost.exe :cry: intanto cancello spool ma come faccio a non farli entrare????
il mio fire wall blokka le applicazione win32 xche continuano a infettarsi?

si ma mi dice che e infetto svchost.exe :cry: intanto cancello spool ma come faccio a non farli entrare????
il mio fire wall blokka le applicazione win32 xche continuano a infettarsi?
dove si trova questo svchost.exe infetto?

e in C:\windows\system32 (svchost con icona EXE)
e l'altro C:\windows\prefecht (SVCHOST.EXE-3530F672.pf)

e quando li scansiono con nod mi dice che e infetto il spool :mbe:

e in C:\windows\system32 (svchost con icona EXE)
e l'altro C:\windows\prefecht (SVCHOST.EXE-3530F672.pf)

e quando li scansiono con nod mi dice che e infetto il spool :mbe:
fai come descritto da andorra qualche post più sopra ;)

OK GRAZIE TANTE DELL'AIUTO :sofico:

Questa guida ha aiutato anche me... GRAZIE!! :D

Salve.. io ci capisco di pc ma avendo trovato indicazioni su come eliminare trojanclicker ho scaricato avenger... ma vorrei sapere come si fa a scrivere in neretto nel Wiew edit script di avenger.. grazie mille :doh:

non saprei, l'ho fatto togliere da un pc di un amico utilizzando hijackthis e nello specifico la sua funzione cancella file al riavvio....

Sorry..Ho sbagliato a scrivere..capisco poco e niente di pc :stordita:

Sorry..Ho sbagliato a scrivere..capisco poco e niente di pc :stordita:

Non devi scrivere in neretto dentro la edit box di avenger. Non si può e non è necessario.
Se hai altri dubbi chiedi pure.
Ciao!

MA LOOOOOLL scusa lella ma ho letto solo ora più attentamente il tuo post... qui è scritto in neretto per evidenziare esattaemnte quello ceh devi scrivere, non è che li lo devi scrivere in neretto!!! Scusa ma è un po' buffa la cosa ghghgh

Grazieee... si ho capito.. ho chiesto perchè avenger mi dava errore pensavo fosse perchè nn avevo scritto in neretto nel wiew edit script.. cmq ho risolto con ewido sembra :)

nella mia cartella di win ho service32 e user32.. devo eliminare questi con avenger come spiegato da andorra?

in realtà di sospetti penso di avere service32.exe.. user32.exe.. e vmmreg32.dll.. il primo e il terzo li ho già eliminati.. nn so se eliminare user32.exe..

ho provato a seguire i consigli letti come quello di scaricare avenger
ma quando immetto nel box bianco il nome del file, mi dice che non è valido
Che devo fare

ho provato a seguire i consigli letti come quello di scaricare avenger
ma quando immetto nel box bianco il nome del file, mi dice che non è valido
Che devo fare
hai controllato che i file effettivamente ci siano e che si chiamino così?

sono andata du c\windows e ho troavato service 32 - scrss32.dll - scrss32.vir

ho provato a seguire i consigli letti come quello di scaricare avenger
ma quando immetto nel box bianco il nome del file, mi dice che non è valido
Che devo fare
non fare copia/incolla ma digita manualment eil nome dei file

A KIKBOND
Scusa la mia ignoranza ma andando su windows come faccio a riconoscere i virus
So soltanto che il virus è stato generato da C:\WINDOWS\scrss32.dll

non fare copia/incolla ma digita manualment eil nome dei file


ma l'ho fatto

ki mi :help: aiuta a risolvere il problema

Perchè dopo aver digitato il codice mi dice:
are you sure want to execute the commands in the select script? (cliccando sul SI) mi dice

error: select file does not appear to be a valid script

press ok to log error and continue or cancel to abort

error

:muro: Perchè dopo aver digitato il codice mi dice:
are you sure want to execute the commands in the select script? (cliccando sul SI) mi dice

error: select file does not appear to be a valid script

press ok to log error and continue or cancel to abort

error :muro:

Io ho provato 2 minuti fà e funziona ma devi digitare anche il comando per cancellare il file e non soltanto il file altrimenti dà l'errore da te segnalato

Files to delete:
C:\WINDOWS\ e il nome del tuo files infetto

:muro: :muro:

Io ho provato 2 minuti fà e funziona ma devi digitare anche il comando per cancellare il file e non soltanto il file altrimenti dà l'errore da te segnalato

Files to delete:
C:\WINDOWS\ e il nome del tuo files infetto


HO FATTO SEMPRE COSì MA DICE SEMPRE CHE E ERRORE
NN SO IN COSA SBAGLIO ANCHE PERCHè LA FINESTRA CHE DICE CHE HO IL VIRUS MI DICE IL NOME DEL FILE CHE E POI IL NOME CHE DIGITO

HO FATTO SEMPRE COSì MA DICE SEMPRE CHE E ERRORE
NN SO IN COSA SBAGLIO ANCHE PERCHè LA FINESTRA CHE DICE CHE HO IL VIRUS MI DICE IL NOME DEL FILE CHE E POI IL NOME CHE DIGITO


MA A QUALE COMANDO TI RIFERISCI

MA A QUALE COMANDO TI RIFERISCI
Credo che il comando a cui si riferisce sia:

"Files to delete:"

in pratica nella finestra dello script devi scrivere:


Files to delete:
C:\WINDOWS\scrss32.dll


se vuoi cancellare la dll che hai citato prima.

ciao

grazie sono riuscita ad eliminare il file.
Ma devo per forza eliminare avenger????????

grazie sono riuscita ad eliminare il file.
Ma devo per forza eliminare avenger????????

Io lo terrei lì x utilizzi futuri... non si sa mai... :cool:

ciao

grazie sono riuscita ad eliminare il file.
Ma devo per forza eliminare avenger????????
puoi anche eliminarlo ed scompattarlo successivamente,è un programma stand/alone

I files devono essere eliminati singolarmente, prima bisogna eliminare service32.exe. Fai questo procedimento:

scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre la finestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice in neretto:


Files to delete:
C:\WINDOWS\service32.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.
----------------------------------------------------------------------

Dopo aver eliminato il file service32.exe devi ripetere lo stesso procedimento per eliminare il file syst32.dll:

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente d'ingrandimento

Ti si apre la finestra "View/edit script"
All'interno del box bianco, copia e incolla il seguente codice in neretto:


Files to delete:
C:\WINDOWS\syst32.dll

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente.

Fammi sapere se i 2 files sono spariti.

E ki se lo immaginava ke mentre io me la spassavo sulla rete e credevo di aver avuto qualcosa....di "inavibile" (passatemi l'espressione), qui nn si fa altro ke parlare di questo!!!
Mi sento già rincuorato..spero ank'io di risolvere il mio problema: allora facendo un rapido resoconto di quel ke ho ci sono:

- C:\Documents and Settings\Hyundai\Impostazioni locali\Temp\it_0166.exe (a quanto ho capito è un dialer, ha l'icona di due labbra su sfondo bianco)
- C:\WINDOWS\service32.exe (il file ke a quanto ho letto in questa pagina è da eliminare)
Devo dire però ke nei 2 giorni precedenti il Norton stava avendo alcune difficoltà ad eliminare un terzo file e cioè
- C:\WINDOWS\sys32exploer.dll
ke poi in un modo o nell'altro sono riuscito a far fuori, e un quarto file e cioè
- C:\Documents and Settings\Hyundai\Impostazioni locali\Temp\winsyst32.exe
ke nonostante nn ci mettesse 2 secondi ad eliminarlo, ogni volta ke riavvio il pc e mi ricollego ad internet mi avvisa di averlo appena eliminato di nuovo...
insomma questa la mia situazione

Ora per ANDORRA voglio dire ke come da te suggerito ho scaricato AVENGER ma quando vado per effettuare l'operazione così come la descrivi tu mi da questo errore:

"Error: selected file does not appear to be a valid script.
Error code: 1813"
Com'è possibile?
Inoltre volevo kiederti se possibile avere risposta, perkè utilizzare questo software? Ke funzioni ha? Nn basta eliminare manualmente il file? Soprattutto perkè poi per rimuovere la cartella (quale?) di avenger...bisogna scaricare un altro file??
Guarda..mi metto nei tuoi panni...se riesci a rispondermi a tutte le domande ke ho fatto mi stampo le risposte e ci faccio una cornice :D

P.S: grazie in anticipo

sbagli digitando il comando ;)
controlla che non ci siano errori di battitura,nemmeno riguardo gli spazi

Salve a tutti, piacere Xnder,

ho avuto lo stesso problema di jhonnymix, anche io sto cercando di eliminare quel maledettissimo it_0166.exe...
ho messo in ordine cronologico (per data creazione) i files di windows ed ho trovato allo stesso identico orario del file service32.exe anche:
winsys.exe; 115252174116.exe;1781713952.exe; ctfmon32.dll; omsnlog.dll;

@ ANDORRA: visto che ci sono anche gli altri tre *.exe, chi fra service32 e gli altri devo eliminare per primo? Prima comunque service32? Per quanto riguarda le due .dll? le elimino tutte e due o omsnlog è roba di messenger?!?

Grazie a tutti!

Ciao, Xnder

Elimina per primo il service32.exe ;)

1)Grazie, però adesso all'avvio compare la clessidra e mi tocca riavviare per usare il pc. Quando il sistema si chiude viene il "termina applicazione" di explorer.exe . Come mai????????????????????????????????? Mi si sta fondendo il pc?

2)Dove posso trovare un link sul forum che mi spieghi come disinstallare NOrton Internet security 2005? Non vi immaginate quanto ho penato per levarlo, mi dava la finestra di errore di continuo durante la disinstallazione....

Per il norton leggi qui
http://www.hwupgrade.it/forum/showthread.php?t=1005498

Per il tuo problema è meglio che posti qualche log, a cominciare da quello di hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 22.23.56, on 29/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programmi D\ASUSTek\ASUSDVD\PDVDServ.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\Programmi D\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Programmi D\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\ASUS\Asus ChkMail\ChkMail.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2522265F-EDBE-4D06-9EAD-2BD1E514E414}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{2522265F-EDBE-4D06-9EAD-2BD1E514E414}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programmi\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Unknown owner - D:\Programmi D\iPoD\bin\iPodService.exe (file missing)
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe




Mi pare pulito, però! Se vedi bene, sono rimaste tutte le frattaglie del Security...

In effetti sembra pulito.
Per il norton l'unica cosa è terminare tutti i suoi processi nel taskmanager (se sono presenti) e fare una bella pulita con un pulitore di registro, tipo jv16.
Nel link che ti ho postato prima c'è la procedura corretta, di jv16 va bene anche l'ultima versione.

OK grazie infinitamente, sto già scaricando il programma, prima però devo finire di eliminare il dialer...

Bellissimo forum, grandissimi tutti voi!!!!

Grazie ancora...

fai la scnasione dalla modalità provvisoria e prima (solo se hai XP o ME) disabilita il ripristino di sistema :)



eeehmmmm...
come entro in modalità provvisoria (ho un blocco mentale, mi son dimenticato il tasto...)? Come disabilito il ripristino?

abbiate pazienza :fiufiu:

fatto, amnesia passata :)

ora aspetto che ewido finisca...

fatto, amnesia passata :)

ora aspetto che ewido finisca...

forse è il caso che tu passi a d avg antispyware

ma è free?

ma è free?

certo che si

te lo chiedevo perchè sull'altro pc ho l'AVG e mi pare che da gennaio non sia più free....

te lo chiedevo perchè sull'altro pc ho l'AVG e mi pare che da gennaio non sia più free....

scansione real time per un mese; ma on demnd persempre

ho verificato e ci sono tutti e due... :confused:



io invece continuo ad avere il bastardo e non ho i 2 files.... mi dice, NOD32, che il file infetto e C:\WINDOWS\omnslog.dll... che faccio??? :rolleyes:

ecco, ho fatto l'ennesima passata con bitserver: niente... avg lo aveva trovato e rimosso: fatta scansione nuovamente con questo: non trova più nulla, però all'avvio di windows nod continua a trovarmelo su quel file... ho paura ad eliminarlo... ma perchè gli altri antivirus ora non lo vedono più????

ecco, ho fatto l'ennesima passata con bitserver: niente... avg lo aveva trovato e rimosso: fatta scansione nuovamente con questo: non trova più nulla, però all'avvio di windows nod continua a trovarmelo su quel file... ho paura ad eliminarlo... ma perchè gli altri antivirus ora non lo vedono più????
ma hai provato a procedere come indicato qui (http://www.hwupgrade.it/forum/showpost.php?p=13837223&postcount=9) ?

ma hai provato a procedere come indicato qui (http://www.hwupgrade.it/forum/showpost.php?p=13837223&postcount=9) ?


i due file lì indicati a me non risultano... mi dice che il file infetto e l'osmsnlog.dll; presumo la procedura sia la stessa, però chiedevo perchè non so che .dll sia e, quanto sia rischiosa la rimozione di quel file )parlo di conseguenze sulla stabilità di sistema)... poi non capisco perchè gli altri 2 programmi lo abbiano rilevato, disinstallato e non più trovato, mentre nod continua a vederlo....

i due file lì indicati a me non risultano... mi dice che il file infetto e l'osmsnlog.dll; presumo la procedura sia la stessa, però chiedevo perchè non so che .dll sia e, quanto sia rischiosa la rimozione di quel file )parlo di conseguenze sulla stabilità di sistema)... poi non capisco perchè gli altri 2 programmi lo abbiano rilevato, disinstallato e non più trovato, mentre nod continua a vederlo....

Con l'ultima variate del Rootkit.DialCall (quella che installa libreria osmsnlog.dll) l'eseguibile ha cambiato nome da service32.exe a Winsys.exe

Inoltre installa un altro rootkit Rustock.B che crea il file lzx32.sys

Qui è spiegato come rimuoverlo
http://www.hwupgrade.it/forum/showthread.php?t=1371704

Con l'ultima variate del Rootkit.DialCall (quella che installa libreria osmsnlog.dll) l'eseguibile ha cambiato nome da service32.exe a Winsys.exe

Inoltre installa un altro rootkit Rustock.B che crea il file lzx32.sys

Qui è spiegato come rimuoverlo
http://www.hwupgrade.it/forum/showthread.php?t=1371704


Quindi questi file possono (anzi devono!!!!) essere rimossi con avenger senza conseguenze su windows?

Grazie,
appena torno a casa ci provo :)

File C:\WINDOWS\omsnlog.dll eliminato con avenger
Ho riavviato: bene, appena entrato mi ha subito dato un errore di itunes e lo ha chiuso, nod32 ha rilevato nuovamente il virus, questa volta, però in C:\avenger\omsnlog.dll... Champagne! :cry:

posso riprovare cancellando prima Sys.exe, ma come faccio a sapere che è lui????

File C:\WINDOWS\omsnlog.dll eliminato con avenger
Ho riavviato: bene, appena entrato mi ha subito dato un errore di itunes e lo ha chiuso, nod32 ha rilevato nuovamente il virus, questa volta, però in C:\avenger\omsnlog.dll... Champagne! :cry:
...è il file di backup:D

tratto da pcalsicuro:
- service32.exe o Winsys.exe,sotto la directory di Windows, è il file iniziale che infetta il pc.Utilizza tecniche rootkit user mode per nascondersi nel sistema;
- Una dll tra quelle in elenco, sotto la directory di Windows, installata da service32.exe:

ctfmon32.dll
iexplorer32.dll
iexplorre32.dll
lsas32.dll
mdm32.dll
omsnlog.dll
scrss32.dll
spoolvs32.dll
sys32exploer.dll
syshost.dll
syst32.dll
winsmgr32.dll

-un file, solitamente con prefisso it_0[numeri casuali].exe, nella directory dei file temporanei del pc, che è un dialer;

- possibilità di trovare nell’ADS (Alternate Data Stream) della directory di sistema di Windows un rootkit kernel-mode denominato Rustock.B. Rustock è uno dei migliori rootkit kernel-mode attualmente esistente, in questa variante si nasconde sotto il nome di lzx32.sys. Se il file system non è NTFS, invece che nascondersi nell’ADS sarà localizzato all’interno della directory stessa

tratto da pcalsicuro:
- service32.exe o Winsys.exe,sotto la directory di Windows, è il file iniziale che infetta il pc.Utilizza tecniche rootkit user mode per nascondersi nel sistema;
- Una dll tra quelle in elenco, sotto la directory di Windows, installata da service32.exe:

ctfmon32.dll
iexplorer32.dll
iexplorre32.dll
lsas32.dll
mdm32.dll
omsnlog.dll
scrss32.dll
spoolvs32.dll
sys32exploer.dll
syshost.dll
syst32.dll
winsmgr32.dll

-un file, solitamente con prefisso it_0[numeri casuali].exe, nella directory dei file temporanei del pc, che è un dialer;

- possibilità di trovare nell’ADS (Alternate Data Stream) della directory di sistema di Windows un rootkit kernel-mode denominato Rustock.B. Rustock è uno dei migliori rootkit kernel-mode attualmente esistente, in questa variante si nasconde sotto il nome di lzx32.sys. Se il file system non è NTFS, invece che nascondersi nell’ADS sarà localizzato all’interno della directory stessa

Grazie mille,
risposta straesaustiva, appena a casa vado a caccia :)

ieri poi, all'ennesimo riavvio aveva trovato un Rustock.NAX in file temporanei...

Ma poi, avendo una connessione adsl, queste son solo scocciature, (visto che son dialer) oppure portano ad altri danni????

Grande Juninho!!!!

Ma poi, avendo una connessione adsl, queste son solo scocciature, (visto che son dialer) oppure portano ad altri danni????

Grande Juninho!!!!
ocio che rostock e trojanclicker NON sono "solo" dialer,purtroppo ;)

fatto!

ero pronto, dopo il riavvio, ad eliminare nuovamente l'omsnlog.dll ma è sparito da solo con l'eliminazione di winsys.exe....

i tre antivirus non mi rilevano nulla, neppure nei file temporanei (almeno per ora :sperem: )

Grazie ancora a tutti!!! :)

Ciao, fai una verifica. Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Vai su C:\WINDOWS e vedi se ci sono i seguenti files: service32.exe e syst32.dll

stesso problema.. se vado togliere la spunta da "nascondi i file protetti" il computer mi dice che potrei avere seri problemi e che potrebbe non funzionare.. è normale?

stesso problema.. se vado togliere la spunta da "nascondi i file protetti" il computer mi dice che potrei avere seri problemi e che potrebbe non funzionare.. è normale?
si ;)

Ho lo stesso problema,
solo che a me, dopo aver seguito la procedura di cui sopra, aver eliminato il winsyst32, controllato di non avere tutti gli altri files elencati qui, mi è rimasto "solo" omsnlog.dll. Norton me lo rileva in continuazione, ma non riesce a cancellarlo se non in modalità provvisoria. Solo che all'avvio, rieccolo presentarsi.
E, ribadisco, nessuno dei files elencati qui mi risulta presente: solo omsnlog.dll.
Come faccio?
Grazie.

allora oggi mi sono beccato il cavallo di troia (premesso uso nod32)
cmq, ho seguito tutti i suggerimenti di post precedenti.....xò il problema sta all'origine....ho cercato i file service32.exe e syst32.dll ma ma non gli ho trovati come mai????? :muro: :muro: :muro: :muro:

allora oggi mi sono beccato il cavallo di troia (premesso uso nod32)
cmq, ho seguito tutti i suggerimenti di post precedenti.....xò il problema sta all'origine....ho cercato i file service32.exe e syst32.dll ma ma non gli ho trovati come mai????? :muro: :muro: :muro: :muro:
sono files nascosti ;)

E' possibile ke nel file zip nella cartella di avenger ke ho nel desktop si trovi questo troyan????
avenger l'avevo scaricato x eliminare linkoptimizer.
F-Prot me lo dà anche in C:System Volume Information\restore.........
dovrò forse disabilitare il ripristino di configurazione x eliminare qst. file?????
Grazie
http://img172.imageshack.us/img172/3817/avenger1hf8.jpg

http://img115.imageshack.us/img115/4935/immspytermodxq6.jpg

http://img227.imageshack.us/img227/8039/fprotscanmodia1.jpg

da dove l'hai scaricato?

da dove l'hai scaricato?
*********************************
quando mi avevi diagnosticato linkoptimizer devo averlo scaricato da un link su di un vs. post (forse quello di Andorra) e avevo fatto normalmente la procedura descritta con esito positivo.
poi l'ho lasciato nella cartella sul desktop x un eventuale bisongno futuro, assieme alle cartelle di hijackthis, gmer, nod32.
anche ora mi è uscito un avvertimento di F-prot, sebbene ho eliminato la cartella con il file di avenger e svuotato il cestino.
pensi ke dovrò disabilitare il ripristino di configurazione di sistema????
grazie

*********************************
quando mi avevi diagnosticato linkoptimizer devo averlo scaricato da un link su di un vs. post (forse quello di Andorra) e avevo fatto normalmente la procedura descritta con esito positivo.
poi l'ho lasciato nella cartella sul desktop x un eventuale bisongno futuro, assieme alle cartelle di hijackthis, gmer, nod32.
anche ora mi è uscito un avvertimento di F-prot, sebbene ho eliminato la cartella con il file di avenger e svuotato il cestino.
pensi ke dovrò disabilitare il ripristino di configurazione di sistema????
grazie
decisamente strano.
ora disabilita il ripristino di sistema,pulisci tutto....dammi qualche minuto e ne uppo uno io di cui son certo non sia infetto ;)

eccolo qui (http://mio.discoremoto.alice.it/juninho85/avenger.exe)

Salve a tutti,
evito di aprire un altro thread per questo problema che suppongo di condividere (purtroppo) anche con altri utenti.

Il mio dialer si chiama vwxiaa.exe ed ha l'icona di un bacio. E' situato nella cartella temp ed ogni volta che mi connetto ad internet mi ripiomba dentro.
Anche se lo elimino da HijackThis ritorna ogni volta sotto un altro nome ogni volta che provo a riconnettermi.

Assieme a questo sempre nella cartella temp è presente:

~DF1C2A.tmp

ineliminabile.

Ho fatto la scansione con Active Virus Shield e non mi rileva nulla di sospetto... va beh... non fa testo.

Secondo me c'è qualche file nascosto dentro qualche cartella che ogni volta che mi connetto mi fa scaricare in automatico questa roba...

E' quel "file tmp"?

Ho visto se nella cartella di WIndows c'erano quei .exe citati all'inizio, ma nemmeno l'ombra.

Qui c'è uno screen shot delle .dll e di alcuni files dall'estensione strana.
http://img527.imageshack.us/img527/6939/screenhi3.gif (http://imageshack.us)

Che posso fare? Ho in mano avenger, ma cosa elimino?




Questo è il log di HijackThis se vi può essere utile, (secondo me è a posto)

Grazie a tutti :)


Logfile of HijackThis v1.99.1
Scan saved at 14.15.26, on 26/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\winlogon.exe
D:\Programmi D\Active Virus Shield\avp.exe
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Programmi\ASUS\Wireless Console\wcourier.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
D:\Programmi D\ASUSTek\ASUSDVD\PDVDServ.exe
D:\Programmi D\Active Virus Shield\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Mozilla Firefox\firefox.exe
D:\Programmi D\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-auth.unifi.it:8888
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Wireless Console] C:\Programmi\ASUS\Wireless Console\wcourier.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Programmi D\ASUSTek\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [aol] "D:\Programmi D\Active Virus Shield\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programmi\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - D:\Programmi D\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

fai una scan con gmer

Ok sto facendo lo scan resta in linea :)

mi è crashato il sistema e mi si è riavviato:
all'avvio: firefox.exe, file danneggiato...

:eek:

i guai non vengono mai da soli.

mi è crashato il sistema e mi si è riavviato:
all'avvio: firefox.exe, file danneggiato...

:eek:

i guai non vengono mai da soli.

falla con rootkit unhooker

sai nulla di questa stringa?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-auth.unifi.it:8888

sai nulla di questa stringa?

questo è il proxy dell'università, quando mi son connesso da li l'ho settato io.

Ma non è che mi ricrasha se avvio anche l'altro rootkit tool?

ps: caspita ma se ho un rootkit nel pc devo solo suicidarmi :eek:

non penso si tratti di rootkit,fino a oggi quelle due labbra nella barra dell'orologio erano associate a un dialer....sempre che non ti sia beccato qualcosa di nuovo

falla con rootkit unhooker

Wizard, sicuro che questo programma non distruggerà il mio sistema, come gmer :D ?

@Juninho e Wizard, ogni volta che mi connetto mi compare in temp un dialer (labbra rosse) dal nome diverso, adesso ne ho due e non si eliminano!!!!!!!!!!!!!!!

CHE DEVO FAAAAARE???? :mc:

(pulce, poiana... HELP ME!!!):D


Adesso mi compare pure una nuova connessione rinominata "internet" (che tenta di connettersi ripetutamente)
E fra l'altro quando apro la cartella "Mostra tutte le connessioni" scompare

Wizard, sicuro che questo programma non distruggerà il mio sistema, come gmer :D ?




a mali estremi ti brucia la cpu; comuqnue controlla se nella scehda process c'è qualcosa di hiedden

Wizard, sicuro che questo programma non distruggerà il mio sistema, come gmer :D ?

@Juninho e Wizard, ogni volta che mi connetto mi compare in temp un dialer (labbra rosse) dal nome diverso, adesso ne ho due e non si eliminano!!!!!!!!!!!!!!!

CHE DEVO FAAAAARE???? :mc:

(pulce, poiana... HELP ME!!!):D


Adesso mi compare pure una nuova connessione rinominata "internet" (che tenta di connettersi ripetutamente)
E fra l'altro quando apro la cartella "Mostra tutte le connessioni" scompare
posta il contenuto della cartella c:\windows\downloaded program files

salve a tutti raga ...ho un piccolo grande problema, il mio computer ha preso un cavallo di troia,l'antivirus avast lo ha rilevato,io l'ho cancellato peròòò quando vado a connettermi ad internet con la connect express card il computer non me la fa funzionare mi da una scritta in inglese,qualcuno che ne capisce o che gli è successo la stessa cosa mi potrebbe aiutare,grazie mille:help: :help: :help: :help: :help: