Salve a tutti!
Quando accendo il pc avast mi segnala questo maleware (che credo sia un dialer giusto?):

hxxp://81.29.241.229/usr2/work0039/ex/pa_0039.exe\[UPX]

e mi fa chiudere la connessione con esso.

Nel registro di avast, sotto la voce "Attenzione" ho trovato questa segnalazione:

Sign of "Win32:Dialer-1060[Trj]" has been found in "http://81.29.241.229/usr2/work0039/ex/pa_0039.exe\[UPX]" file

ed anche quest'altra:

Sign of "Win32:Small-HSE[Trj]" has been found in "C:\Windows\svchost.dll" file

Non so... le cose possono essere legate?

Il secondo lo riesco ad eliminare manualmente con avast (non me lo segnala automaticamente), ma si ricrea autometicamente.

Ho provato a cercare ovunque ma non ho trovato niente che possa aiutare.
Voi potete darmi una mano?
Qualcuno mi sa dire che roba è e come si elimina?

Inizia con seguire queste istruzioni:


Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).
Scarica HIJACKTHIS dalla mia firma (qua sotto) mettilo in una cartella in C: o in C:\Programmi. Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle []

ecco il log di HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.21.05, on 05/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Sygate\SPF\smc.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\sysnet32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programmi\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Google\Gmail Notifier\gnotify.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\JGsoft\EditPadPro6\EditPadPro.exe
C:\Programmi\BurracoWeb\BurracoWebClient.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\FlashGet\flashget.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: TotoDesk Class - {1B689522-64CD-46A3-B454-BCB4A7F55E78} - C:\WINDOWS\system32\toto.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programmi\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programmi\FlashGet\getflash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx2\PXConsole.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKLM\..\Policies\Explorer\Run: [4F27V1D89M] C:\WINDOWS\service32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\sysnet32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: &Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: &Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E07DB24F-9ACE-44E8-826C-784A53CDA02F}: NameServer = 195.130.224.18,195.130.225.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Apache2 - Apache Software Foundation - C:\Programmi\Apache Group\Apache2\bin\Apache.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB71\webserver\bin\win32\matlabserver.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: Ethernet Packet Service (npacketservice) - Nokia - C:\WINDOWS\system32\npacketsvc.exe
O23 - Service: PREVXAgent - Prevx - C:\Programmi\Prevx2\PXAgent.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 10930 bytes

sono stati aperti già minimo altri 3 thread...magari consultandoli risolvi il problema

sono stati aperti già minimo altri 3 thread...magari consultandoli risolvi il problema

Magari se mi dici quali sono questi 3 thread mi dai una mano!

Magari se mi dici quali sono questi 3 thread mi dai una mano!

juninho85 ha ragione, soltanto che in quel thread si trattava solo del primo problema ovvero Win32: Dialer-1060[Trj], allora invece di consigliarli quei thread preferivo continuare qui...

Aspetto decisioni dal moderatore...

Scusate se rompo! Ma io uno (non 3) ne ho trovato di thread che potrebbe interessarmi (e risolve solo parte del mio problema) ed in realtà non mi è di aiuto perchè alcuni dei consigli dati in quel post non si possono appicare nel mio caso.... e poi se proprio devo dirla tutta non si capisce niente in quel post!

Scusate se rompo! Ma io uno (non 3) ne ho trovato di thread che potrebbe interessarmi (e risolve solo parte del mio problema) ed in realtà non mi è di aiuto perchè alcuni dei consigli dati in quel post non si possono appicare nel mio caso.... e poi se proprio devo dirla tutta non si capisce niente in quel post!

il non capirci perdonami ma è soggettivo, in ogni caso edita il link del primo post, thx.

il non capirci perdonami ma è soggettivo, in ogni caso edita il link del primo post, thx.
Ok utilizzo l'altro post

Ok utilizzo l'altro post

io non ti ho detto di utilizzare l'altro post ma di editare il link

Magari se mi dici quali sono questi 3 thread mi dai una mano!

ti ho dato l'input,sforzati almeno di utilizzare la ricerca :D

vabbè...
non posso utilizzare l'altro post, non mi volete rispondere in questo post, non riesco a trovare altri post...
praticamente avete deciso di non aiutami?

io non ti ho detto di utilizzare l'altro post ma di editare il link

Come lo devo modificare questo benedetto link?
io non li metto i tag url... li mette automaticamente

Come lo devo modificare questo benedetto link?
io non li metto i tag url... li mette automaticamente

invece di http metti hxxp, un attimo di pazienza ed aiutiamo anche te.

io direi che se non è disturbo per gli utenti si può continuare qui, visto che cmq lui aveva entrambi mi sembra inapropriato dividerlo in due thread.. :)

diciamo che da quando è stata fatta la riorganizzazione della sezione la funzione ricerca non sente alcuni thread fatti precedentemente alla stessa.
comunque i file da eliminare son principalmente
C:\WINDOWS\service32.exe
C:\WINDOWS\sysnet32.exe
C:\WINDOWS\svchost.dll

per sicurezza posta anche un log di gmer con spunte su registry,files e system

vabbè...
non posso utilizzare l'altro post, non mi volete rispondere in questo post, non riesco a trovare altri post...
praticamente avete deciso di non aiutami?

per la cronaca,quanto ti si indica una cosa lo si fa per aiutarti a risolvere il problema,non per il gusto di metter il bastone tra le ruote,sappilo questo e fanne tesoro;)

Disattiva Ripristino configurazione sistema
Clicca sul pulsante Start, clicca con il pulsante destro del mouse su Risorse del computer, quindi scegliere Proprietà.
Nella finestra di dialogo Proprietà del sistema scegliere la scheda Ripristino configurazione di sistema.
Selezionare la casella di controllo Disattiva Ripristino configurazione di sistema. In alternativa selezionare la casella di controllo Disattiva Ripristino configurazione di sistema su tutte le unità.
Scegliere OK.
Quando viene visualizzato il messaggio seguente, scegliere Sì per confermare la disattivazione di Ripristino configurazione di sistema:
Si è scelto di disattivare Ripristino configurazione di sistema. Se si continua, tutti i punti di ripristino esistenti verranno eliminati e non sarà possibile tenere traccia delle modifiche o annullarle nel computer.
N.B.: il Rirpristino configurazione sistema deve rimanere disattivato fino di disinfezione terminata.

Non utilizzare programmmi per il file sharing tipo (Emule) o programmi di messaggistica istantanea tipo (MSN Messenger)

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

BitDefender
Scansione online con BitDefender http://www.bitdefender.com/scan8/ie.html
salva il report in formato html ed allegalo nel prossimo post + nuovo log di HijackThis

diciamo che da quando è stata fatta la
...
comunque i file da eliminare son principalmente
C:\WINDOWS\service32.exe
C:\WINDOWS\sysnet32.exe
C:\WINDOWS\svchost.dll
...

Quindi
per eliminare C:\WINDOWS\service32.exe devo fixare
O4 - HKLM\..\Policies\Explorer\Run: [4F27V1D89M] C:\WINDOWS\service32.exe

per C:\WINDOWS\sysnet32.exe devo fixare
O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\sysnet32.exe

e per C:\WINDOWS\svchost.dll ?? Lo elimino manualmente?

ps:tra un po ti posto il log che mi hai chiesto

per sicurezza posta anche un log di gmer con spunte su registry,files e system

ecco il log di gmer

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-11-05 18:45:52
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.13 ----

SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwAllocateVirtualMemory
SSDT a347bus.sys ZwClose
SSDT a347bus.sys ZwCreateKey
SSDT a347bus.sys ZwCreatePagingFile
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwCreateThread
SSDT a347bus.sys ZwEnumerateKey
SSDT a347bus.sys ZwEnumerateValueKey
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwMapViewOfSection
SSDT kl1.sys ZwOpenFile
SSDT a347bus.sys ZwOpenKey
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwProtectVirtualMemory
SSDT a347bus.sys ZwQueryKey
SSDT a347bus.sys ZwQueryValueKey
SSDT a347bus.sys ZwSetSystemPowerState
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwShutdownSystem
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwWriteVirtualMemory

---- Registry - GMER 1.0.13 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xC8 0x28 0x51 0xAF ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x71 0x3B 0x04 0x66 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x86 0x8C 0x21 0x01 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0xFA 0xEA 0x66 0x7F ...
Reg \Registry\USER\S-1-5-21-1844237615-448539723-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FC4A6F1F-3389-45F1-4B91-B996BEF4018A}@iaglolaabcgmgpiogc 0x6B 0x61 0x64 0x6E ...
Reg \Registry\USER\S-1-5-21-1844237615-448539723-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FC4A6F1F-3389-45F1-4B91-B996BEF4018A}@haajinphfkdoekhl 0x6B 0x61 0x64 0x6E ...

---- Files - GMER 1.0.13 ----

ADS C:\Documents and Settings\Adriano\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\[email protected]\SharingMetadata\[email protected]\DFSR\Staging\CS{719B28ED-A086-4B0B-9F4B-ED799F304B2F}\01\10-{719B28ED-A086-4B0B-9F4B-ED799F304B2F}-v1-{10EBADD5-3F1D-4BDB-89DF-8AD9F4BEC032}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

---- EOF - GMER 1.0.13 ----

BitDefender
Scansione online con BitDefender http://www.bitdefender.com/scan8/ie.html
salva il report in formato html ed allegalo nel prossimo post + nuovo log di HijackThis
Ma è normale che ci mette tutto questo tempo? Non è che devo analizzare solo qualche cartella particolare?

BitDefender (come per tutte le altre scansioni approfondite) ci mette un po quindi tranquillizzati :D E porta pazienta :cool:

scarica avenger (http://www.megalab.it/articoli.php?id=946) ed eseguilo con questo script:
Files to delete:
C:\WINDOWS\service32.exe
C:\WINDOWS\sysnet32.exe
C:\Windows\svchost.dll
Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies | service
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies | 4F27V1D89M
una volta eseguito postaci il log

magari scaricati anche WWDC e chiuditi tutte le porte critiche ;)

Disattiva Ripristino configurazione sistema

fatto

CCleaner
Scarica ed installa (senza la toolbar di Yahoo) CCleaner per la pulizia dei file temporanei ed inutilizzati
Una volta installato clicca su Opzioni -> Avanzate -> togli il segno di spunta dalla seguente voce Cancella file in Windows Temp solo se più vecchi di 48 ore
Clicca sulla voce Pulizia -> Analizza -> Avvia Pulizia
Download http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/

fatto

BitDefender
Scansione online con BitDefender http://www.bitdefender.com/scan8/ie.html
salva il report in formato html ed allegalo nel prossimo post + nuovo log di HijackThis


in allegato ci sono il report di BitDefender e il log di HijackThis

il report di BitDefender è in formato html e non me lo fa caricare direttamente nè qui sul forum nè su zshare

Per favore decomprimi quel file, allegalo con la funzione Gestisci Allegati che hai già usato oppure hostalo qui http://www.zshare.net/ e posta il link

ti ho chiesto di decomprimerli non zipparli tutti e due

scarica avenger (http://www.megalab.it/articoli.php?id=946) ed eseguilo con questo script:

una volta eseguito postaci il log

in allegato il log

magari scaricati anche WWDC e chiuditi tutte le porte critiche ;)

e quali sono le porte critiche?

riprova così:
Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies|service
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies|4F27V1D89M
posta anche un log di gmer con spunte su rootkit,system e file

e quali sono le porte critiche?

tutte :D
scarica il programma e capirai di cosa parlo ;)

riprova così:

posta anche un log di gmer con spunte su rootkit,system e file

Ho riprovato con il nuovo script:
mi ha dato un log vuoto, ma sembra che sia andato tutto bene visto che nel registro di sistema non ci sono più quello chiavi.

per quanto riguarda gmer mi sembra che la voce "rootkit" non ci sia... sono io che non la vedo?

Mi sembra strano un log vuoto, se questo file non è sparito C:\WINDOWS\service32.exe Gmer lo segnala come hidden Rootkit activity

allega nuovo log di HijackThis

Mi sembra strano un log vuoto, se questo file non è sparito C:\WINDOWS\service32.exe Gmer lo segnala come hidden Rootkit activity

allega nuovo log di HijackThis

Allego nuovi log di HijackThis e di Gmer (con spunte su files e registry)

@ ilop: il tag CODE significa tag CODE non l'uso del tag QUOTE per i log!
se vedrò un altro log che sfasa l'impaginatura del forum ti sospendo ;)

Ho riprovato con il nuovo script:
mi ha dato un log vuoto, ma sembra che sia andato tutto bene visto che nel registro di sistema non ci sono più quello chiavi.

per quanto riguarda gmer mi sembra che la voce "rootkit" non ci sia... sono io che non la vedo?
si ho preso un'abbaglio,intendevo dire "system" che peraltro hai già scansionato
Allego nuovi log di HijackThis e di Gmer (con spunte su files e registry)
ci sono ancora queste chiavi
O4 - HKLM\..\Policies\Explorer\Run: [4F27V1D89M] C:\WINDOWS\service32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\sysnet32.exe
anche se i file non risultano in esecuzione,non capisco però come gmer possa non sentirlo e hjt non dia file missing....prova a lanciare uno scan approfondito con l'antivirus

@ ilop: il tag CODE significa tag CODE non l'uso del tag QUOTE per i log!
se vedrò un altro log che sfasa l'impaginatura del forum ti sospendo ;)

ho semplicemente seguito il consiglio di Gle89...
Mamma mia coma siamo severi!! Qua si sfiora l'arresto!

Inizia con seguire queste istruzioni:


Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).
Scarica HIJACKTHIS dalla mia firma (qua sotto) mettilo in una cartella in C: o in C:\Programmi. Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle []

anche se i file non risultano in esecuzione,non capisco però come gmer possa non sentirlo

gmer l'ho lanciato solo con spunte su files e registry, su system non l'ho messa la spunta... può essere questo il motivo?

e hjt non dia file missing....

ho provato a fixare direttamente con hjt, ho fatto bene?

prova a lanciare uno scan approfondito con l'antivirus

io utilizzo avast... l'ho già lanciato l'altro ieri prima di chiedere aiuto sul forum, lo devo rifare?

gmer l'ho lanciato solo con spunte su files e registry, su system non l'ho messa la spunta... può essere questo il motivo?

direi di si!:muro:
ho provato a fixare direttamente con hjt, ho fatto bene?

hai fatto bene,però risulta ancora presente la chiavi di autoavvio
io utilizzo avast... l'ho già lanciato l'altro ieri prima di chiedere aiuto sul forum, lo devo rifare?
vedi te...:fagiano:

Da fixare:
O2 - BHO: TotoDesk Class - {1B689522-64CD-46A3-B454-BCB4A7F55E78} - C:\WINDOWS\system32\toto.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [4F27V1D89M] C:\WINDOWS\service32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\sysnet32.exe
O23 - Service: Ethernet Packet Service (npacketservice) - Nokia - C:\WINDOWS\system32\npacketsvc.exe

poi fai una scansione appronfondita con il tuo AV, dopodichè nuovo log di HJT
Ciao

Fix fatto!
Scansione fatta!
in allegato nuovi log hjt e gmer (con spunte su system, files e registry)

avast invece che dice?

avast invece che dice?

ha segnalato e rimosso solo questo

Sign of "WinREG:Autorun[Trj]" has been found in "D:\Daniele\www\file_lagraticola\lagraticola\Disco rimovibile (E)\autorun.inf" file

file che per altro esisteva già anche quando ho fatto la scansione l'altro ieri, ma non me lo aveva rilevato... forse lo ha rilevato solo ora però stamattina ho aggiornato la definizione dei virus

WWDC non l'hai ancora eseguito manco per sbaglio vero?!:D

WWDC non l'hai ancora eseguito manco per sbaglio vero?!:D

E' attivo da ieri sera!

E' attivo da ieri sera!

attivo cosa vuol dire?l'hai eseguito,hai chiuso tutte e 4 le categorie e riavviato il pc?

attivo cosa vuol dire?l'hai eseguito,hai chiuso tutte e 4 le categorie e riavviato il pc?

si si... tutto fatto
non so perchè netbios dice will be disabled... il pc l'ho riavviato 2/3 volte da ieri sera

devi disabilitare il servizio helper di netbios e disabilitarlo sulla connessione di rete

devi disabilitare il servizio helper di netbios e disabilitarlo sulla connessione di rete

ok fatto... ora è verde anche netbios

Ora come vanno le cose? Sono puliti i log?

dovresti essere apposto,utilizza il pc e facci sapere

oltre all'antivirus che già avevo installato, cosa posso fare non prendere più infezioni?

1)dimenticati i crack
2)tieniti sempre aggiornato il sistema operativo
3)naviga usando la testa

OK! Grazie mille!! e scusate per le perdite di tempo!