View Full Version : Rootkit.Win32.Agent.go!!!pc in fase di demolizione!!!
IERI
Ieri sera ho avuto la "brillante" idea di installare sul portatile ashampoo antispyware in accoppiata con superantispyware...
Al riavvio ecco la sorpresa:F-secure mi segnala il rootkit in questione...ma non riusciva ad eliminarlo,mi diceva accesso negato...
Ho sospettato subito che era inerente ad ashampoo,perchè se spuntavo l'opzione guard f-secure lo segnalava,se la deselezionavo non c'era più l'avviso al riavvio.Alla fine l'ho disinstallato.Ho appena fatto scansioni rootkit con sophos,panda,trend,bitdefen...
Solo panda mi trova questo: c:/WINDOWS/system32/shdocvw.dll
OGGi
Forse già l'ospite sta iniziando la sua demolizione...
f-secure non monitorato,comodo disattivato
mi rimangono prevx2,terminator,a-squared
fatta pure scansione con gmer niente voci rosse...
http://img375.imageshack.us/img375/4958/immaginert7.th.png (http://img375.imageshack.us/my.php?image=immaginert7.png)
aiuto:cry: :cry: :cry:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.55.47, on 12/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programmi\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programmi\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programmi\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programmi\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\F-Secure Internet Security\Common\FCH32.EXE
C:\Programmi\Prevx2\PXAgent.exe
C:\Programmi\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\Programmi\Wireless Console 2\wcourier.exe
C:\Programmi\ASUS\ATK Media\DMEDIA.EXE
C:\Programmi\Sandboxie\SbieSvc.exe
C:\Programmi\SiteAdvisor\6066\SAService.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\SiteAdvisor\6066\SiteAdv.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\Prevx2\PXConsole.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Programmi\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\6066\SiteAdv.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\6066\SiteAdv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programmi\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programmi\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmi\SiteAdvisor\6066\SiteAdv.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programmi\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx2\PXConsole.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F-Secure Anti-Virus 2006.lnk = C:\Programmi\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O8 - Extra context menu item: &Blocca questo popup - C:\Programmi\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: Protezione IE - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmi\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protezione IE... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmi\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9868DB82-8AD7-408C-A19A-5FBA9C5C81F8}: NameServer = 85.37.17.50 85.38.28.76
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: F-Secure Anti-Virus 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programmi\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Prevx Agent (PREVXAgent) - Prevx - C:\Programmi\Prevx2\PXAgent.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programmi\SiteAdvisor\6066\SAService.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
--
End of file - 9562 bytes
Questo alle 17.45
http://img452.imageshack.us/img452/2576/bizzeev0.th.png (http://img452.imageshack.us/my.php?image=bizzeev0.png)
senza fare nulla:confused: :confused: :confused:
d.gordon
12-07-2007, 16:56
Beyond non so se hai già visto nella sezione Antivirus e sicurezza c'è gia un post specifico vedi un pò...
Beyond non so se hai già visto nella sezione Antivirus e sicurezza c'è gia un post specifico vedi un pò...
vengo proprio da lì...:D
ritenendomi già infetto...mi sono trasferito qui,mi sembrava la sezione giusta...
grazie cmq;)
wizard1993
12-07-2007, 17:25
fai una scan con gmer
juninho85
12-07-2007, 17:25
...ma la tua convinzione di avere il rootkit e non che sia un falso positivo da cosa deriva?!:stordita:
juninho85
12-07-2007, 17:34
fermi tutti:mbe:
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
fallo analizzare qui (http://www.virustotal.com/flash/virustotal_en.html)
fai una scan con gmer
http://img48.imageshack.us/img48/508/gmerrrwy6.th.png (http://img48.imageshack.us/my.php?image=gmerrrwy6.png)
quando ci clicco su,mi spuntano queste voci,ma nessuna è rossa:wtf:
...ma la tua convinzione di avere il rootkit e non che sia un falso positivo da cosa deriva?!:stordita:
Dal fatto che nel centro sicurezza pc,almeno fino a un'oretta fà avessi f-secure e comodo disattivati...
sicuramente non sarà una motivazione valida,ma meglio essere previdenti,penso...:rolleyes:
juninho85
12-07-2007, 17:46
per caso hai aggiornato entrambi senza aver dopo riavviato il pc?
per caso hai aggiornato entrambi senza aver dopo riavviato il pc?
Gli aggiornamenti sono automatici su entrambi,ma dopo l'update avevo cmq riavviato...
se clicco sul link non mi apre la pagina mi da errore not found 404,però se vado sul sito virus total me lo apre,solo che non saprei dove andare per farlo analizzare...
Di gmer che mi dici?
edit:sto analizzando il file...
ecco il responso:
File ABLKSR.EXE
Antivirus Version Last Update Result
AhnLab-V3 2007.7.13.0 2007.07.12 no virus found
AntiVir 7.4.0.39 2007.07.12 no virus found
Authentium 4.93.8 2007.07.12 no virus found
Avast 4.7.997.0 2007.07.12 no virus found
AVG 7.5.0.476 2007.07.12 no virus found
BitDefender 7.2 2007.07.12 no virus found
CAT-QuickHeal 9.00 2007.07.12 no virus found
ClamAV devel-20070416 2007.07.12 no virus found
DrWeb 4.33 2007.07.12 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3781 2007.07.12 no virus found
Ewido 4.0 2007.07.12 no virus found
FileAdvisor 1 2007.07.12 no virus found
Fortinet 2.91.0.0 2007.07.12 no virus found
F-Prot 4.3.2.48 2007.07.11 no virus found
Ikarus T3.1.1.8 2007.07.12 no virus found
Kaspersky 4.0.2.24 2007.07.12 no virus found
McAfee 5073 2007.07.12 no virus found
Microsoft 1.2704 2007.07.12 no virus found
NOD32v2 2395 2007.07.12 no virus found
Norman 5.80.02 2007.07.12 no virus found
Panda 9.0.0.4 2007.07.12 no virus found
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.12 no virus found
Symantec 10 2007.07.12 no virus found
TheHacker 6.1.6.145 2007.07.12 no virus found
VBA32 3.12.0.2 2007.07.12 no virus found
VirusBuster 4.3.23:9 2007.07.12 no virus found
Webwasher-Gateway 6.0.1 2007.07.12 no virus found
http://www.liutilities.com/products/wintaskspro/processlibrary/ablksr/
ho trovato questo,mi viene il buddio che sia qualcosa collegata ad asus...o non c'entra niente?
juninho85
12-07-2007, 20:34
esatto è della asus...con gmer c'hai già detto di non aver trovato nulla no?:stordita:
comunque tieni sotto controllo la situazione riguardo il centro di sicurezza ed eventualmente facci sapere ;)
esatto è della asus...con gmer c'hai già detto di non aver trovato nulla no?:stordita:
comunque tieni sotto controllo la situazione riguardo il centro di sicurezza ed eventualmente facci sapere ;)
C'è l'ha anche un amico su un portatile asus...cmq finora tutto sembra tranquillo...
una curiosità:il fatto che nel centro sicurezza risultino disattivati equivale a dire che sono realmente disattivati,perchè vedo che comodo si aggiorna,e lavora normalmente,lo stesso dicasi per f-secure(almeno per gli aggiornamenti)...:what:
juninho85
12-07-2007, 22:04
ciò non fa che avvalorare la mia tesi riguardo il centro di sicurezza di windows:NON SERVE :D
ciò non fa che avvalorare la mia tesi riguardo il centro di sicurezza di windows:NON SERVE :D
presumo,senza offesa per il verbo...che tu l'abbia disattivato;)
occhio non vede...cuore non duole(almeno per il mio caso)...
Saluti:D
lancetta
12-07-2007, 22:55
R3 - Default URLSearchHook is missing
fixa questo
fixa questo
ok lo faccio,ma prima toglimi una curiosità,puoi dare un'occhiata a questo...
http://www.hwupgrade.it/forum/showthread.php?t=1508575
Se vedi il log è lo stesso valore che non mi permette l'installazione di ie7?
grazie
Logfile of HijackThis v1.99.1
Scan saved at 0.31.24, on 13/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programmi\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programmi\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programmi\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programmi\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\F-Secure Internet Security\Common\FCH32.EXE
C:\Programmi\Prevx2\PXAgent.exe
C:\Programmi\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\Programmi\SiteAdvisor\6066\SAService.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\Wireless Console 2\wcourier.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\ASUS\ATK Media\DMEDIA.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe
C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\SiteAdvisor\6066\SiteAdv.exe
C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\Prevx2\PXConsole.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Programmi\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utente\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\6066\SiteAdv.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\6066\SiteAdv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programmi\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programmi\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Power_Gear] C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmi\SiteAdvisor\6066\SiteAdv.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programmi\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx2\PXConsole.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: F-Secure Anti-Virus 2006.lnk = C:\Programmi\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O8 - Extra context menu item: &Blocca questo popup - C:\Programmi\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: Protezione IE - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmi\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protezione IE... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmi\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab55200.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9868DB82-8AD7-408C-A19A-5FBA9C5C81F8}: NameServer = 85.37.17.50 85.38.28.76
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programmi\SiteAdvisor\6066\SiteAdv.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: F-Secure Anti-Virus 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programmi\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx2\PXAgent.exe" -f (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programmi\SiteAdvisor\6066\SAService.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
Anche se fixo la voce rifacendo il log rispunta...:rolleyes:
Un'altra info:ho volutamente fare il log della versione precedente perchè ho notato diversità con quello postato in precedenza,mi sembra che qua ci siano più cose da fixare o sbaglio?
Ps:la voce naturalmente ritorna su entrambe le versioni...
C:\Programmi\Sandboxie\SbieSvc.exe
Ma hai preso un virus con sandboxie?
Porca .......
Ma non l'hai usato mentri navigavi altrimenti qua veramente è un casino
a C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll è vunerabile
fai una passata con secunia software inspector
C:\Programmi\Sandboxie\SbieSvc.exe
Ma hai preso un virus con sandboxie?
Porca .......
Ma non l'hai usato mentri navigavi altrimenti qua veramente è un casino
a C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll è vunerabile
fai una passata con secunia software inspector
Ma scusa non è un servizio di sandboxie?
Cmq non lo uso per navigare,perchè non mi avventuro...
lo uso raramente,ad es. per testare programmi che non conosco...
verificato su virus total:non è un virus...
adobe lo aggiorno al più presto...;)
Saluti:)
Ma scusa non è un servizio di sandboxie?
Cmq non lo uso per navigare,perchè non mi avventuro...
lo uso raramente,ad es. per testare programmi che non conosco...
verificato su virus total:non è un virus...
adobe lo aggiorno al più presto...;)
Saluti:)
No non è un virus ovviamente, dicevo che se hai sendboxie e navighi usandolo sul browser è difficilissimo essere infettati
lancetta
13-07-2007, 00:39
la voce in questione non puntava da nessuna parte (missing) puo essere normale come può essere anche indice di infezione,quindi essendo orfana meglio eliminarla (pensa che fino a qualche tempo fà era quasi sicuramente creata da gromozon!:mad: ),per quanto riguarda IE7....bè non saprei...:( ...mi spiace...:rolleyes:
citaz. Cmq non lo uso per navigare,perchè non mi avventuro
E FAI MALISSIMO!!!!!!!:muro: lo uso con soddisfazione da anni e qualche volta (molto raramente) vado anche nel sottobosco della rete..mai un virus:D
se entra nei temp..un clik e svuoti il recinto virtuale come se non ci fosse mai stato ;) c'è l'hai ecchecacchio! USALO e non te ne pentirai:)
juninho85
13-07-2007, 00:44
presumo,senza offesa per il verbo...che tu l'abbia disattivato;)
esatto :D
lancetta
13-07-2007, 01:18
BEY0ND devi stare bene cento anni!:D usa sandboxie se vuoi qualche chiarimento siamo qua a disposizione ;) e adesso.....vi saluto casco dal sonno.....buonanotte:)
BEY0ND devi stare bene cento anni!:D usa sandboxie se vuoi qualche chiarimento siamo qua a disposizione ;) e adesso.....vi saluto casco dal sonno.....buonanotte:)
Oltre a questo forum,quello universitario,gazzetta,youtube non vado:D
cmq è stato uno dei primi programmi che ho messo e lo trovo utilssimo,poi è molto semplice,già adesso sto recintato:D
Forse il mio caso è stato solo un avvertimento....meglio così:D
Saluti e grazie
BEY0ND devi stare bene cento anni!:D usa sandboxie se vuoi qualche chiarimento siamo qua a disposizione ;) e adesso.....vi saluto casco dal sonno.....buonanotte:)
Ciao lancetta,dopo il pericolo scampato Sto costantemente utilizzando sandboxie...:D
Avrei bisogno di un paio di chiarimenti:
1)navigando con sandboxie non mi funziona il touchpad per lo corrimento su e giu della pagina web,il mouse è ok...secondo te devo fare un run sugli exe che trovo nella cartella del dispositivo di puntamento(synaptics) oppure devo proprio eseguire all'interno del sandbox l'exe dell'installer?
2)Ho messo utorrent e quando lo uso lo sandboxo assieme ad un player,alla fine quando i file(avi) sono stati scaricati se vado su recover files perchè mi dà la lista vuota?salva solo gli exe?
Grazie Saluti
lancetta
15-07-2007, 11:04
Ciao lancetta,dopo il pericolo scampato Sto costantemente utilizzando sandboxie...:D
Avrei bisogno di un paio di chiarimenti:
1)navigando con sandboxie non mi funziona il touchpad per lo corrimento su e giu della pagina web,il mouse è ok...secondo te devo fare un run sugli exe che trovo nella cartella del dispositivo di puntamento(synaptics) oppure devo proprio eseguire all'interno del sandbox l'exe dell'installer?
2)Ho messo utorrent e quando lo uso lo sandboxo assieme ad un player,alla fine quando i file(avi) sono stati scaricati se vado su recover files perchè mi dà la lista vuota?salva solo gli exe?
Grazie Saluti
Per quanto riguarda l'exe del touch prova a sandboxarlo anche se è strano in quanto a me funzia sul portatile senza aver dovuto fare niente...
i file sandbox li conserva in "contents of sandbox"-"recover file" oppure devi vedere dove mette la cartella in "explorer contents"....le directory le puoi cercare sia con tasto dx sull'icona nella tray che in C:\Documents and Settings\User (oppure tuo nome)\Dati applicazioni\Sandbox\DefaultBox....però secondo me ti conviene sandboxare solo cartella di contenuto di utorrent,di solito faccio lo stesso con emule (ovvero solo la "incoming")poichè così risparmi risorse e se becchi qualche exe maligno rimane confinato nel sandbox.....
Saluti :cool:
Per quanto riguarda l'exe del touch prova a sandboxarlo anche se è strano in quanto a me funzia sul portatile senza aver dovuto fare niente...
i file sandbox li conserva in "contents of sandbox"-"recover file" oppure devi vedere dove mette la cartella in "explorer contents"....le directory le puoi cercare sia con tasto dx sull'icona nella tray che in C:\Documents and Settings\User (oppure tuo nome)\Dati applicazioni\Sandbox\DefaultBox....però secondo me ti conviene sandboxare solo cartella di contenuto di utorrent,di solito faccio lo stesso con emule (ovvero solo la "incoming")poichè così risparmi risorse e se becchi qualche exe maligno rimane confinato nel sandbox.....
Saluti :cool:
per quanto riguarda synaptics forse perchè sndboxie l'ho installato nella seconda partizione...???cmq vedrò...di risolverlo...
per toorent:in pratica sull'icona del desktop faccio run sandbox,scarico i files,che poi me li ritrovo sia nel down sanboxato tramite explorer contents sia in documents and settings dove hai detto tu.
Quello che non ho capito è: per vedere un film ad es. devo andare in down tramite explorer contents oppure in documents and settings,giusto?o altrimenti devo fare run sandbox del film?perchè fin ad ora down non sandboxato mi rimane sempre vuoto...è così anche per te con incoming?
Se poi per comodità visto che ho il collegamento sul desktop voglio spostare un file in down non sandboxato devo fare col trascinamento o non è il caso?
Ultima info:da quando uso torrent non svuoto più sandboxie perchè se lo faccio perderei i file scaricati come penso accadrebbe anche nel default box di documents and settings..ti risulta anche a te?penso che di tanto in tanto andrebbe svoutata....per questo ti ho fatto la domanda di prima se conviene salvare i files,ma con recover contens a me non trova niente...
grazie,ciao
lancetta
15-07-2007, 13:23
per quanto riguarda synaptics forse perchè sndboxie l'ho installato nella seconda partizione...???cmq vedrò...di risolverlo...
per toorent:in pratica sull'icona del desktop faccio run sandbox,scarico i files,che poi me li ritrovo sia nel down sanboxato tramite explorer contents sia in documents and settings dove hai detto tu.
Quello che non ho capito è: per vedere un film ad es. devo andare in down tramite explorer contents oppure in documents and settings,giusto?o altrimenti devo fare run sandbox del film?perchè fin ad ora down non sandboxato mi rimane sempre vuoto...è così anche per te con incoming?
Se poi per comodità visto che ho il collegamento sul desktop voglio spostare un file in down non sandboxato devo fare col trascinamento o non è il caso?
Ultima info:da quando uso torrent non svuoto più sandboxie perchè se lo faccio perderei i file scaricati come penso accadrebbe anche nel default box di documents and settings..ti risulta anche a te?penso che di tanto in tanto andrebbe svoutata....per questo ti ho fatto la domanda di prima se conviene salvare i files,ma con recover contens a me non trova niente...
grazie,ciao
bè si effettivamente essendo una cartella che non ha permessi di scrittura del sistema devi prendere i file dal sandbox e portarteli in altra cartella (reale del pc )perchè potrebbe portarti errori per la lettura magari di un file .avi.L'incoming reale è normale che rimanga vuoto poichè i file vengono scaricati in una cartella diversa (la sandbox appunto)...piccolo consiglio:il sandbox serve per questioni di sicurezza,per file di grandi dimensioni (.avi) è inutile scaricarli sandboxati.L'uso è più indicato per file magari exe che potrebbero portare in sè un potenziale rischio.E' essenziale che il sand venga svuotato ogni tanto,poichè elimini anche i temp (noto ricettacolo di "monnezza varia") che becchi durante normale navigazione,naturalmente salvando prima quello che interessa o con trascinamenti o meglio ancora con taglia incolla.Tra l'altro adesso che mi viene in mente :doh: i file oltre i 32 mb mi sembra che non vengono sandboxati di default,non ricordo, pure perchè non ho mai sandboxato grandi file per le ragioni che ti spiegavo prima.Comunque le cartelle dove cercare per salvare file, oltre recovery le conosci...vedi se la cosa funziona ;)
bè si effettivamente essendo una cartella che non ha permessi di scrittura del sistema devi prendere i file dal sandbox e portarteli in altra cartella (reale del pc )perchè potrebbe portarti errori per la lettura magari di un file .avi.L'incoming reale è normale che rimanga vuoto poichè i file vengono scaricati in una cartella diversa (la sandbox appunto)...piccolo consiglio:il sandbox serve per questioni di sicurezza,per file di grandi dimensioni (.avi) è inutile scaricarli sandboxati.L'uso è più indicato per file magari exe che potrebbero portare in sè un potenziale rischio.E' essenziale che il sand venga svuotato ogni tanto,poichè elimini anche i temp (noto ricettacolo di "monnezza varia") che becchi durante normale navigazione,naturalmente salvando prima quello che interessa o con trascinamenti o meglio ancora con taglia incolla.Tra l'altro adesso che mi viene in mente :doh: i file oltre i 32 mb mi sembra che non vengono sandboxati di default,non ricordo, pure perchè non ho mai sandboxato grandi file per le ragioni che ti spiegavo prima.Comunque le cartelle dove cercare per salvare file, oltre recovery le conosci...vedi se la cosa funziona ;)
ok grazie ;)
6 stato gentilissimo
alla prox
saluti:)
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.