View Full Version : malware ineliminabile ibmtop.exe su userinit.exe
Penso di aver trovato il malware che da qualche giorno affligge la mia navigazione sul web.
Ho seguito tutte le guide e le scansioni con i programmi suggeriti (dr. web, cureit, ewido, ad aware, spybots) ma non ho rimosso nulla, avast continua a segnalarmi questo tipo di trojan:Win32:Downloader-AO [Trj]
Ho fatto il log con hijackthis che posto e dopo aver seguito i links suggeriti per capire le singole voci, ho notato questa voce F2 (hijackthis.de me lo da come sconosciuto):
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe"
Non riesco ad eliminarlo e una volta fixato ricompare perchè si base sul file userinit, a parte che proprio non lo trovo tra i files di windows
facendo una ricerca.
Come lo elimino?
In grassetto le voci sospette che non riesco ad eliminare perchè ricompaiono.
Logfile of HijackThis v1.99.1
Scan saved at 23.13.35, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\ibmtop.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\programmi utility\AVAST\aswUpdSv.exe
E:\programmi utility\AVAST\ashServ.exe
C:\WINDOWS\system32\rundll32.exe
E:\PROGRA~1\AVAST\ashDisp.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\programmi utility\AVAST\ashMaiSv.exe
E:\programmi utility\AVAST\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\dario\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ansa.it/
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe",
O2 - BHO: Class - {8D43C99A-F297-8AC5-71CD-23736CE1321E} - C:\WINDOWS\lglqa1.dll (file missing)
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6ECE161-C1EB-4E45-A528-503478C0B2B4}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\programmi utility\AVAST\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\programmi utility\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\programmi utility\AVAST\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\programmi utility\AVAST\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
juninho85
19-09-2006, 23:14
fixa quelle voci eccetto quella del DNS,ma da modalità provvisoria dopo aver disabilitato il ripristino configurazione di sistema ;)
fixa quelle voci eccetto quella del DNS,ma da modalità provvisoria dopo aver disabilitato il ripristino configurazione di sistema ;)
ok grazie
juninho85
20-09-2006, 10:26
ok grazie
risolto?
O2 - BHO: Class - {8D43C99A-F297-8AC5-71CD-23736CE1321E} - C:\WINDOWS\lglqa1.dll (file missing)
Questa voce mi fa pensare a LinkOptimizer
http://www.hwupgrade.it/forum/showthread.php?t=1271721
risolto?
appena torno a casa, adesso sono in ufficio
O2 - BHO: Class - {8D43C99A-F297-8AC5-71CD-23736CE1321E} - C:\WINDOWS\lglqa1.dll (file missing)
Questa voce mi fa pensare a LinkOptimizer
http://www.hwupgrade.it/forum/showthread.php?t=1271721
leggevo proprio ieri questo thread e ho subito scaricato il tool ed effettivamente qualcosa ha trovato e rimosso, appena torno a casa posto anche il log.
ho fatto come ha detto juninho. Come mai facendo più volte la scansione con hijackthis e fixando l'exe sospetto alcune volte ricompare e altre no?
comunque adesso sono tornato in modalità normale ed è sempre presente
Logfile of HijackThis v1.99.1
Scan saved at 18.07.16, on 20/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\programmi utility\AVAST\aswUpdSv.exe
c:\windows\ibmtop.exe
C:\WINDOWS\Explorer.EXE
E:\programmi utility\AVAST\ashServ.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NotifyPhoneBook.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
E:\PROGRA~1\AVAST\ashDisp.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\programmi utility\AVAST\ashMaiSv.exe
E:\programmi utility\AVAST\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\dario\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ansa.it/
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe",
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6ECE161-C1EB-4E45-A528-503478C0B2B4}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\programmi utility\AVAST\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\programmi utility\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\programmi utility\AVAST\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\programmi utility\AVAST\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
questo invece è il log di gromozol removal
Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\lpt4.bmp
\\?\C:\WINDOWS\system32\lpt4.bmp
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
C:\_cleaned.tmp
Rootkit removed! Cleaning up...
Removing temp files...
Scanning: C:\WINDOWS
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\12.tmp
Removed!
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\22.tmp
Removed!
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\3.tmp
Removed!
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\System\aBF.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\cAOReA.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\CIVt.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\cSrDuP.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\cXSzD.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\eBf.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\fgKKk.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\fod.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\Han.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\HcoAge.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\Htu.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\hZyh.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\Iua.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\JETxS.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\JnyRVR.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\jpe.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\JPoB.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\KUXA.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\law.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\lha.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\LZB.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\mVu.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\NyfvZ.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\OaRhm.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\OEC.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\ONUoWO.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\pSCb.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\PTY.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\qcrPjB.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\qRU.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\rDZmjB.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\RmC.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\rpEmq.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\rpy.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\sIg.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\tAw.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\tmnGfI.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\UDG.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\UHelg.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\urkY.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\uuD.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\UWj.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\VOF.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\vQaWje.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\VyVa.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\wGDRe.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\WNy.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\WRl.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\wveJC.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\XioLM.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\XRl.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\YRyMoj.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\YVb.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Removing protected file: C:\Programmi\File comuni\System\ZWO.exe
Removing directory: C:\Documents and Settings\\HEfwuQIOeGXjQZ
Trojan.Gromozon Removed!
FOXYLADY
20-09-2006, 18:26
Prova a fare così, col ripristino sempre disattivato ovviamente,
scarica Avenger
http://swandog46.geekstogo.com/avenger.zip
dopo averlo decompresso, avvia il file avenger.exe
Seleziona l'opzione Input Script Manually
e clicca sulla lente d'ingrandimento
Ti si apre la finestra View/edit script
All'interno del box bianco, copia e incolla il seguente codice
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
"c:\windows\ibmtop.exe"
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Ricontrolla il log di hijackthis e verifica se la voce è scomparsa, altrimenti usiamo un altro metodo.
Prova a fare così, col ripristino sempre disattivato ovviamente,
scarica Avenger
http://swandog46.geekstogo.com/avenger.zip
dopo averlo decompresso, avvia il file avenger.exe
Seleziona l'opzione Input Script Manually
e clicca sulla lente d'ingrandimento
Ti si apre la finestra View/edit script
All'interno del box bianco, copia e incolla il seguente codice
Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
"c:\windows\ibmtop.exe"
Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu.
Ricontrolla il log di hijackthis e verifica se la voce è scomparsa, altrimenti usiamo un altro metodo.
farò come dici, intanto posso dire che da quando ho fatto il fix con hijackthis e usato il Gromozon removal tool non ho più segnalazioni di trojan da parte di avast e la navigazione sembra più veloce...solo ogni tanto mi compare una finestra che mi chiede informazioni per effettuare una chiamata etc...a cui rispondo sempre no......(ho disabilitato allora il servizio client dns, non so se c'entra mi pareva di aver letto così).
finestra sospetta
http://i5.photobucket.com/albums/y163/alidipollo/finestra.jpg
Grazie, ti faccio sapere...
allora ho fatto la procedura e il file è stato eliminato (lo dice ewenger) ma non ho potuto controllare perchè hijackthis non funziona più.
FOXYLADY
20-09-2006, 22:13
Come non funziona più :mbe:
Come non funziona più :mbe:
clicco per aprirlo, compare la clessidra, dopo pochi secondi scompare e niente.
Provo a disintallare e reinstallare.
Tu non ci crederai ho scritto su google hijackthis e cliccato cerca e mi si chude la finestra di internet explorer. Ho recuperato il programma da un cd di backup che avevo fatto vado per scompattare il zip che lo contiene e si chiude la finestra di windows....il pc sembra che rifiuti qualsiasi cosa abbia a che fare con questo programma. Com'è possibile?
ho scoperto perchè, dal task manager ho terminato un'applicazione sospetto, poi ho fatto lo scan con hijackthis ed è venuto fuori sempre quel file sospetto ibmtop.exe che ha cambiato nome in macromedia monitor.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"
66vampiro66
21-09-2006, 09:47
FAI PRIMA A FORMATTARE.....
juninho85
21-09-2006, 11:14
ho scoperto perchè, dal task manager ho terminato un'applicazione sospetto, poi ho fatto lo scan con hijackthis ed è venuto fuori sempre quel file sospetto ibmtop.exe che ha cambiato nome in macromedia monitor.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"
...hai provato ad eseguire HJT in modalità provvisoria?il fatto che non ti si avvii sta a significare che linkoptimizer non è stato ancora debellato
...hai provato ad eseguire HJT in modalità provvisoria?il fatto che non ti si avvii sta a significare che linkoptimizer non è stato ancora debellato
come ho scritto prima una volta terminato l'applicazione dal task manager hjthis ha ripreso a funzionare....
FOXYLADY
21-09-2006, 15:05
Prova a fare così
Clicca su start>esegui e digita regedit
Ti si aprirà l'editor del registro
Usando le caselline col segno + portati su questa chiave:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion
ora clicca sulla casellina Winlogon
a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e scegli l'opzione modifica, elimina dalla casella i valori
"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"
In pratica deve presentarsi così
c:\windows\system32\userinit.exe
poi clicca su OK e riavvia il PC.
Prova a fare così
Clicca su start>esegui e digita regedit
Ti si aprirà l'editor del registro
Usando le caselline col segno + portati su questa chiave:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion
ora clicca sulla casellina Winlogon
a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e scegli l'opzione modifica, elimina dalla casella i valori
"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"
In pratica deve presentarsi così
c:\windows\system32\userinit.exe
poi clicca su OK e riavvia il PC.
si presenta già così ed effetivamente per ora le cose vanno bene
Mashi khana
29-09-2006, 17:53
Ciao, ho anche io lo stesso file Ibmtop.exe. Anche io ho usato tutta la sequela di programmi consigliati senza risolvere nulla... La scocciatura è che ogni tanto ti domanda di dargli il numero di telefono per connettersi in analogico. In ogni caso alla fine ho cercato di rimuovere il programma in mille modi. Si trova in C:windows
Ho provato a cancellarlo manualmente, ma mi diceva che era in uso. Allora ho provato con un programmino che si chiama Move on boot che cancella al riavvio i file che sono in uso, ma dopo il riavvio era ancora in c:windows. Allora ho provato a togliere la spunta dalle proprietà di windows su Sola lettura, ma al programma in questione rimaneva! L'ho fatto visionare al sito totalvirus e nessun antivirus lo vede come virus... In conclusione ho fatto come consigliato da Foxylady:
Prova a fare così
Clicca su start>esegui e digita regedit
Ti si aprirà l'editor del registro
Usando le caselline col segno + portati su questa chiave:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion
ora clicca sulla casellina Winlogon
a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e scegli l'opzione modifica, elimina dalla casella i valori
"c:\windows\ibmtop.exe","c:\windows\macromedia-monitor.exe"
In pratica deve presentarsi così
c:\windows\system32\userinit.exe
poi clicca su OK e riavvia il PC.
Dopo il riavvio il programma resta in C:windows...
ciao
P.s. Una cosa strana... anche io ho come home page il sito dell'ANSA
FOXYLADY
29-09-2006, 23:25
Posta un log di hijackthis nel thread ufficiale
http://www.hwupgrade.it/forum/showthread.php?t=937676
juninho85
29-09-2006, 23:26
Ciao, ho anche io lo stesso file Ibmtop.exe. Anche io ho usato tutta la sequela di programmi consigliati senza risolvere nulla... La scocciatura è che ogni tanto ti domanda di dargli il numero di telefono per connettersi in analogico. In ogni caso alla fine ho cercato di rimuovere il programma in mille modi. Si trova in C:windows
Ho provato a cancellarlo manualmente, ma mi diceva che era in uso. Allora ho provato con un programmino che si chiama Move on boot che cancella al riavvio i file che sono in uso, ma dopo il riavvio era ancora in c:windows. Allora ho provato a togliere la spunta dalle proprietà di windows su Sola lettura, ma al programma in questione rimaneva! L'ho fatto visionare al sito totalvirus e nessun antivirus lo vede come virus... In conclusione ho fatto come consigliato da Foxylady:
Dopo il riavvio il programma resta in C:windows...
ciao
P.s. Una cosa strana... anche io ho come home page il sito dell'ANSA
posta un log qui (http://www.hwupgrade.it/forum/showthread.php?t=937676)
juninho85
29-09-2006, 23:27
Posta un log di hijackthis nel thread ufficiale
http://www.hwupgrade.it/forum/showthread.php?t=937676
MAI PIù EH! :mad:
:D
FOXYLADY
29-09-2006, 23:35
:D
http://img269.imageshack.us/img269/1575/hands3xc8.gif (http://imageshack.us)
Mashi khana
01-10-2006, 17:49
Ecco il log... il problema si è riproposto, sono andato di nuovo nel registro a rifare quello che mi aveva consigliato foxylady... Ho fixato il file con il programma ma non succede nulla, se rifaccio la scansione o segna come se non lo avessi fixato
scusate per l'ignoranza e grazie per i consigli!
ciao
Logfile of HijackThis v1.99.1
Scan saved at 18.27.54, on 01/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\windows\ibmtop.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programmi\Trust\3011A WIRELESS OPTICAL DESKSET\Keyboard\kbdap32a.EXE
C:\Programmi\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\programmi\Asus\AsusProb.exe
C:\Programmi\Anti-Blaxx 1.18\Anti-Blaxx.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\FastWebDc++6.0\FastWebDc++6.0.exe
G:\Programmi\Installer strumenti manutenzione\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sygate.com/swat/support/spf50_reg.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\ibmtop.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {349DAA33-3DF2-8FAF-F80E-2E0CCC533130} - C:\WINDOWS\vhpbt1.dll (file missing)
O2 - BHO: Class - {81230833-37A2-6D95-7131-09F839E546D1} - C:\WINDOWS\vhpbt1.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [OFFICEKB] C:\Programmi\Trust\3011A WIRELESS OPTICAL DESKSET\Keyboard\kbdap32a.EXE
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmi\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ASUS Probe] c:\programmi\Asus\AsusProb.exe
O4 - HKLM\..\Run: [nqet1.exe] C:\WINDOWS\TEMP\nqet1.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programmi\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: AsusProb.lnk = C:\Programmi\Asus\AsusProb.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144937079640
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
FOXYLADY
01-10-2006, 18:48
Ciao,
prova il tool che trovi qui
http://www.hwupgrade.it/forum/showthread.php?t=1271721
fallo girare e vedi se trova e rimuove qualcosa.
juninho85
01-10-2006, 19:13
cut
...e te l'abbiamo pure detto in due eh...:rolleyes:
Mashi khana
02-10-2006, 12:41
Scusa, allora mi sa che non ho capito...
i log di hijackthis vanno postati solo nella pagina che mi avete dato?
ciao e grazie
Mashi khana
02-10-2006, 12:45
In realtà ho "limitato" il problema. Ho portato il file fuori da C:windows e l'ho criptato. Poi ho cancellato le chiavi di registro che mi trovava di ibmtop.exe e adesso ho solo il file criptato che non mi da problemi (per il momento) a parte il fatto che è incancellabile.
vi faccio sapere come va con gromozon
ciao e grazie
juninho85
02-10-2006, 14:27
Scusa, allora mi sa che non ho capito...
i log di hijackthis vanno postati solo nella pagina che mi avete dato?
ciao e grazie
esatto ;)
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.