Ciao a tutti, ho un problema abbastanza grave.
Inizio raccontandovi la storia dalle origini, allora, sono in possesso di un account per un gioco online, arriva un tizio, e mi chiede di fare scambio con il suo, tutto ok scambiamo gli account, cambiamo email passwords ecc.
Un giorno però tento di loggare e noto che i dati nono funzionano, il tizio si era ripreso l account. Non volendo restare a mani vuote decido di riprendermi il mio account inviando ai gestori del gioco un email con tutte le transazioni fatte su quell account, i gestori del gioco decidono di cambiare i dati all account e di restituiremelo.

Ora viene il bello, quel tizio mi contatta in una chat e mi dice(in inglese, quest uomo viene dall inghilterra) UR PC WILL GET HACKED, I HAVE UR PC FOREVER.
Fino a quel momento non avevo paura, pensavo fosse una bugia, una presa in giro.
Un giorno controllo il mio account e noto che ci sono dei ticket di supporto inviati dal mio account verso i gestori del gioco con scritto" F*CK you i have your pc.. now i have all your passwords ecc ecc..
A questo punto scansiono con spybot search and destroy, mi trova 28 virus che inviano passwords, li cancello e penso di aver risolto,invece no, quel tizio riesce ancora ad entrare nel mio account( ogni giorno provo a cambiare la pass), provo allora a scansionare con nod32, bene, trova 2 virus e li elimino ma nulla da fare non riesco a risolvere.
Intanto noto che zonealarm riceve 2-3 volte in al secondo tentativi di intrusione, ogni volta da un IP diverso, ecco uno screen di esempio:
http://i35.tinypic.com/1b295.jpg

Oggi ho formattato ma non ho risolto nulla, zonealarm continua a avvisarmi di questi tentativi di intrusione, anche dopo una scansione con AVIRA ANTI VIR nulla da fare.
Inizio ad essere preoccupato che sia un virus irremovibile dal mio pc oppure un vero e proprio hacker insediatosi nel mio pc.

Grazie spero davvero possiate aiutarmi.

Ciao benvenuto nel pronto soccorso di HU.

Fai un check-up veloce così recuperiamo informazioni utili e vediamo se possiamo escudere infezioni visibili.

prima fai pulizia di files inutili con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)

poi carica secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) i log relativi a:


scansione rapida con Malwarebytes' Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) -> nel caso trovasse qualcosa, rifalla completa e carica entrambi i log
scansione Gmer (http://www.hwupgrade.it/forum/showpost.php?p=24033143&postcount=11)
log classico con HiJackThis (http://www.hwupgrade.it/forum/showpost.php?p=24033212&postcount=13)
scansione con Prevx (http://www.hwupgrade.it/forum/showpost.php?p=24033225&postcount=14) (richiesta connessione ad internet)

Per i log faccio copia incolla o devo fare qualche altra operazione?

ciao, per i log qui viene spiegato come fare :)
http://www.hwupgrade.it/forum/showthread.php?t=1779308

http://www.hwupgrade.it/forum/showthread.php?t=1751598

Rieccomi, allora ora provvedo a postare tutto.
Dopo aver rimosso 127 mb con ATF ho provveduto con una scansione con Malwarebytes' Anti-Malware che non ha dato risultati.

In seguito ecco il log hijackthis:
http://www.hwupgrade.it/forum/attachment.php?attachmentid=67229&stc=1&d=1227994325

Ecco il log di gmer che però mi da un errore a caricarlo.. quindi lo posto:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-11-29 20:08:31
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xAC992040]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xAC98E930]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateKey [0xAC999A80]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xAC992510]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xAC998870]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xAC998AA0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xAC99BFD0]
SSDT BA6E7B1C ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xAC992600]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xAC98EF20]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xAC99A6E0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteValueKey [0xAC99A440]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xAC998580]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xAC99A8B0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xAC98ED70]
SSDT BA6E7B08 ZwOpenProcess
SSDT BA6E7B0D ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xAC99B250]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xAC99ACB0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xAC991C00]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRestoreKey [0xAC99B080]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xAC992220]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xAC98F120]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetValueKey [0xAC99A140]
SSDT BA6E7B17 ZwTerminateProcess
SSDT BA6E7B12 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2C74 805044E0 12 Bytes [ 10, 25, 99, AC, 70, 88, 99, ... ]
.text ntkrnlpa.exe!ZwCallbackReturn + 2EDE 8050474A 2 Bytes [ 99, AC ]
? srescan.sys Impossibile trovare il file specificato. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [AC996CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [AC9971C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [AC997320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [AC996E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [AC996E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [AC996CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [AC9971C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [AC997320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [AC996CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [AC997320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [AC9971C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [AC996E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [AC997320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [AC9971C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [AC996CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [AC996E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [AC996CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [AC9971C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [AC997320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [AC997320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [AC9971C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [AC996E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [AC996CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [AC996CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [AC996E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [AC997320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [AC9971C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- Devices - GMER 1.0.14 ----

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.14 ----


Ed eccovi uppato il log di prevx
http://www.fileqube.com/file/szLmrCf154627

Spero possiate aiutarmi...

ricarica il log di hjt che risulta irraggiungibile

Lo incollo cosi non rischio di sbagliare:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.22.37, on 01/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programmi\WinFax\WFXMOD32.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
c:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
C:\apps\ABoard\ABoard.exe
C:\APPS\EmailChecker\ech.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven~1\syncer\McciTrayApp.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\WinFax\WFXSWTCH.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\ALESSIO\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\WinFax\WFXCTL32.EXE
C:\Programmi\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programmi\Nikon\NkView4\NkVwMon.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
c:\Programmi\ATI Technologies\ATI.ACE\cli.exe
c:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programmi\Alice ti aiuta\bin\mad.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\ALESSIO\Desktop\Hijackthis\HiJackThis.exe
C:\Documents and Settings\ALESSIO\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=IT&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programmi\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "c:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [DetectorApp] C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [EmailChecker] C:\APPS\EmailChecker\ech.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven~1\syncer\McciTrayApp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\ALESSIO\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Controller.LNK = C:\Programmi\WinFax\WFXCTL32.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: NkVwMon.exe.lnk = C:\Programmi\Nikon\NkView4\NkVwMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AF8016E-7E88-4A36-8486-11244F36A4AB}: NameServer = 85.37.17.56 85.38.28.98
O17 - HKLM\System\CS1\Services\Tcpip\..\{4AF8016E-7E88-4A36-8486-11244F36A4AB}: NameServer = 85.37.17.56 85.38.28.98
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: F-Secure BlackLight Sensor - Unknown owner - C:\DOCUME~1\RENATO\IMPOST~1\Temp\F-Secure\Anti-Virus\fsblsrv.exe (file missing)
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9988 bytes

Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [DetectorApp] C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\ALESSIO\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Controller.LNK = C:\Programmi\WinFax\WFXCTL32.EXE
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: NkVwMon.exe.lnk = C:\Programmi\Nikon\NkView4\NkVwMon.exe
O23 - Service: F-Secure BlackLight Sensor - Unknown owner - C:\DOCUME~1\RENATO\IMPOST~1\Temp\F-Secure\Anti-Virus\fsblsrv.exe (file missing)
O16 - tutte le voci



configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684) eccetto la scheda Action for concerning files che imposti così (http://img80.imageshack.us/img80/3417/antivirwu7.png), e poi fai una scansione completa e carichi il log/report

ecco il log di hijackthis dopo aver "pulito" le righe che mi ha consigliato, la riga:
O4 - HKLM\..\RunOnce: [NoIE4StubProcessing] C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f
non c' era più.
Nel frattempo ho installato sp3 e penso di aver finito gli aggiornamenti di windows, ora provvedo ad impostare avira..
Se devo fare qualcosa ditemi pure, spero di riuscire a risolvere.

io cambierei zone alarm in favore di online armor o comodo come indicato nel trattamento in firma

Se questi firewall sono free ok, installo uno dei due..
Quale mi consigli e mi potresti postare il download?

trattamento in firma trovi tutte le info

Ho installato il nuovo firewall.. Speriamo di risolvere..

Volevo chiedere se ce qualche modo se qualcuno sta visionando il mio pc oppure gli arrivano dellle info inviate dal mio pc al suo..

come mai queste domande?

Cioè io vorrei sapere se ho risolto, cioè se questo tizio che sapeva la mia password del suddetto account ora la verrà a sapere di nuovo oppure no..
Comunque mi avete dato una mano, grazie già da ora :)

se vuoi la certezza al 100% di essere pulito segui la guida alla disinfezione in rilievo in questa sezione e caricaci tutti i log

appena puoi verifica anche di avere tutto il software di cornice correttamente aggiornato, basta che clicki sul link http://secunia.com/vulnerability_scanning/online/ e click "start scanner", al termine della scansione ti mostrerà tutto il software da aggiornare il prima possibile :)

Raga oggi il tizio che mi sta hackerando il pc mi ha scritto..
Dice che lui è un programmatore di pc, che conosce tutto dei pc e che ci sà entrare..
In seguito mi ha detto: Ecco questi sono i dati del tuo account, mi ha elencato i dati del mio account, io ovviamente ci sono rimasto di stucco.
In seguito mi dice il mio user di ebay, poi la carta di credito e a chi è intestata, inizia a dire: ora entro in ebay e compro cellulari , vestiti ecc. tanto poi la polizia viene da te... e tutte minacce cosi.
Questo tipo è Inglese e la polizia postale mi ha detto che non si puo fare nulla a livello internazionale e che la causa andrebbe avanti a non finire..
Quindi io dico: HO DA PREOCCUPARMI?

Raga oggi il tizio che mi sta hackerando il pc mi ha scritto..
Dice che lui è un programmatore di pc, che conosce tutto dei pc e che ci sà entrare..
In seguito mi ha detto: Ecco questi sono i dati del tuo account, mi ha elencato i dati del mio account, io ovviamente ci sono rimasto di stucco.
In seguito mi dice il mio user di ebay, poi la carta di credito e a chi è intestata, inizia a dire: ora entro in ebay e compro cellulari , vestiti ecc. tanto poi la polizia viene da te... e tutte minacce cosi.
Questo tipo è Inglese e la polizia postale mi ha detto che non si puo fare nulla a livello internazionale e che la causa andrebbe avanti a non finire..
Quindi io dico: HO DA PREOCCUPARMI?

Come ti ha contattato ti ha spedito una mail? :mbe:

Tramite xFire..

Raga oggi il tizio che mi sta hackerando il pc mi ha scritto..
Dice che lui è un programmatore di pc, che conosce tutto dei pc e che ci sà entrare..
In seguito mi ha detto: Ecco questi sono i dati del tuo account, mi ha elencato i dati del mio account, io ovviamente ci sono rimasto di stucco.
In seguito mi dice il mio user di ebay, poi la carta di credito e a chi è intestata, inizia a dire: ora entro in ebay e compro cellulari , vestiti ecc. tanto poi la polizia viene da te... e tutte minacce cosi.
Questo tipo è Inglese e la polizia postale mi ha detto che non si puo fare nulla a livello internazionale e che la causa andrebbe avanti a non finire..
Quindi io dico: HO DA PREOCCUPARMI?

Tramite xFire..

A me sembra una burla :)

mah.....ma perchè dovrebbe essere una burla? scusa se gli ha detto i codici bancari e altre cose che lui conosce...
ci vuole la denuncia non so che altro dirti...
oppure fai le stesse cose a lui se te ne intendi.
è stata la polizia postale a dirti che è inglese o te lo ha detto lui?
cioè sei sicuro al 100% che il lamer in questione sia inglese?
facci sapere ciao!!

mah.....ma perchè dovrebbe essere una burla? scusa se gli ha detto i codici bancari e altre cose che lui conosce...
ci vuole la denuncia non so che altro dirti...
oppure fai le stesse cose a lui se te ne intendi.
è stata la polizia postale a dirti che è inglese o te lo ha detto lui?
cioè sei sicuro al 100% che il lamer in questione sia inglese?
facci sapere ciao!!

A me sembra una burla :)

Raga oggi il tizio che mi sta hackerando il pc mi ha scritto..
Dice che lui è un programmatore di pc, che conosce tutto dei pc e che ci sà entrare..
In seguito mi ha detto: Ecco questi sono i dati del tuo account, mi ha elencato i dati del mio account, io ovviamente ci sono rimasto di stucco.
In seguito mi dice il mio user di ebay, poi la carta di credito e a chi è intestata, inizia a dire: ora entro in ebay e compro cellulari , vestiti ecc. tanto poi la polizia viene da te... e tutte minacce cosi.
Questo tipo è Inglese e la polizia postale mi ha detto che non si puo fare nulla a livello internazionale e che la causa andrebbe avanti a non finire..
Quindi io dico: HO DA PREOCCUPARMI?


Ragiona una fantomatica persona ti dice che è in possesso di tutta una serie di dati sensibile che ti appartengono e tu domandi sul Forum: "HO DA PREOCCUPARMI?"

Come trovo molto improbabile che la PolPost si esprima dicendo: "la polizia postale mi ha detto che non si puo fare nulla a livello internazionale e che la causa andrebbe avanti a non finire.."

Cioè e secondo voi io vengo qui a raccontarvi storie invenatate?
Perchè dovrei?

Cioè e secondo voi io vengo qui a raccontarvi storie invenatate?
Perchè dovrei?

No non ho detto questo, ma se il fantomatico tizio è in possesso di quei dati è ovvio che ti devi preoccupare e non penso che l'autorità giudiziaria in un caso del genere risponda così :)

Ma è possibile che questo tizio sappia loggare in ebay senza avere la pass?
Lui ha detto che non ha la pass ma puo loggare..

Ma è possibile che questo tizio sappia loggare in ebay senza avere la pass?
Lui ha detto che non ha la pass ma puo loggare..

Mi sembrava avesse detto il contrario


In seguito mi ha detto: Ecco questi sono i dati del tuo account, mi ha elencato i dati del mio account, io ovviamente ci sono rimasto di stucco.
In seguito mi dice il mio user di ebay, poi la carta di credito e a chi è intestata, inizia a dire: ora entro in ebay e compro cellulari , vestiti ecc. tanto poi la polizia viene da te... e tutte minacce cosi.

è colpa mia se cambia versione?
Io riferisco solo quello che mi dice, comunque penso di non dover preoccuparmi dei miei dati sensibili,penso che stia bleffando, mi diceva:- Hahaha ho anche il tuo paypal ora che ho ebay, ma io ad ebay non ho associato paypal. cioè penso che conosca solo qualche bug per entrare nell account del gioco e da li aver letto i ticket da me inviati con il numero di carta ecc,
Grazie dell aiuto.