View Full Version : LinkOptimizer inespugnabile?
Blitzkrieg_Bop
15-06-2009, 22:40
Salve a tutti, ho un grossissimo problema, o meglio ce l'ha l'amica proprietaria del notebook: in pratica,
aveva notato che il computer ( XP Home SP3 ) era diventato lentissimo e spesso crashava o si riavviava senza apparente motivo.
Ho pensato subito ad un virus, infatti eseguendo "control userpasswords2" ho trovato la solita cartella con nome random che
ho provveduto ad eliminare.
Non ho trovato però nel computer nessun 'altra cartella con questo stesso nome, nè servizi ad esso collegati.
C'è però, nel pannello di controllo \ installazione ed applicazioni, un certo "ConnectionServices", e cercando un po' in giro
ho constatato che è collegato a LinkOptimizer.
Devo dire che qualche anno fa, avevo preso lo stesso virus ( LinkOptimizer ), o meglio una delle prime varianti sul PC dell'ufficio,
e dopo una smadonnata veramente lunghissima, e con l'aiuto soprattutto di PrevX, GMER e Avenger, avevo risolto.
Stavolta invece è un inferno.
Hijackthis è impossibile da utilizzare, anche se rinominato, al doppio click si chiude tutto
Stessa sorte per Avenger e GMER, non li fa aprire anche se rinominati.
Ho sempre operato In modalità provvisoria ( quando i programmi me lo permettevano ) e con Ripristino Configurazione di Sistema disattivato :
Eseguita pulitura con CCleaner
Scan con NOD32, che però non riesce a terminare, in pratica dopo 5 ore e mezza si è chiuso automaticamente da solo, senza aver concluso la scansione.
Scan con Virit, che ha trovato 9 infezioni : Win32.BHO.Agent.BA che dice di aver rimosso
Win32.BHO.Agent.DPE.P che dice di aver rimosso
Win32.BHO.Agent.DPE.Q che dice di aver rimosso
Win32.Agent.CGF x 3 voci che dice di aver rimosso
Trojan.Win32.Small.PM x 3 voci che dice di aver rimosso
infine C:\ WINDOWS\autogd1.del ( BHO.LinkOptimizer.J ) che dice di non poter rimuovere
Scan con Kaspersky Virus Removal Tool: trova il Trojan.Win32.Qhost.kk
Tool di rimozione Symantec Linkoptimizer: non trova nulla
Tool di rimozione F-Secure x Linkoptimizer: non trova nulla
Blacklight: non trova nulla
La cosa strana è che, spesso, mentre eseguo lo scan con altri antivirus, si apre la finestra del NOD ( che era stato precedentemente chiuso )
che mi rileva questo virus: C:\WINDOWS\SYSTEM32\COM3.AUK e mi chiede se voglio cancellarlo, cosa che poi non riesce.
Ho eseguito anche la procedura suggerita dalla TGSoft, riportata sul thread si LinkOptimizer, passo passo, ma con esito negativo.
Ho scaricato PrevX 3, che mi trova 5 infezioni: 842234.exe e 2009515.exe. considerate HIGH RISK
684906.exe e dq37944.dll considerate MEDIUM RISK
\registry\machine\software\classes\clsid.... INFECTED ENTRY
Il fatto è che la versione free non elimina le infezioni, le segnala solamente: se avessi la certezza di risolvere consiglierei alla mia amica di acquistare la
licenza, ma non ne sono così sicuro.
Il mio scibile si ferma qui, sinceramente penso di averle provate tutte. e ammetto di non saper più che pesci pigliare...inoltre non ho capito
se il computer è infetto solo da LinkOptimizer oppure i virus sono diversi.
Che mi consigliate di fare?
Qualcuno ha risolto in altri modi?
Grazie in anticipo a chi vorrà darmi una mano.
ciao
già provato il tool indicato qui?
http://www.hwupgrade.it/forum/showthread.php?t=1271721
xcdegasp
16-06-2009, 08:31
a me non sembra un linkoptimizer questa infezione per questo è probabile che i tool adatti a LinkOptimizer non risolvano le cose.
io ti consiglierei di eseguire la guida generale tanto per capire meglio il tuo pc (tu ci sei davanti al monitor, noi il tuo pc non lo abbiamo mai visto e non ne sappiamo nulla) inquanto ci serve qualche referto clinico per intraprendere qualsiasi possibile azione mirata.
quindi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)
a me non sembra un linkoptimizer questa infezione per questo è probabile che i tool adatti a LinkOptimizer non risolvano le cose.
io ti consiglierei di eseguire la guida generale tanto per capire meglio il tuo pc (tu ci sei davanti al monitor, noi il tuo pc non lo abbiamo mai visto e non ne sappiamo nulla) inquanto ci serve qualche referto clinico per intraprendere qualsiasi possibile azione mirata.
quindi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)
C:\WINDOWS\SYSTEM32\COM3.AUK è chiaro sintomo di Linkoptimizer
come "ConnectionServices" e l'utente nascosto
La cosa assurda è che i server sono down da novembre 2006
@ Blitzkrieg_Bop
C'è il tool specifico per Linkoptimizer / Gromozon della prevx
http://www.prevx.com/gromozon.asp
inoltre Trojan.Win32.Qhost.kk è sintomo di Trojan.Linkoptimizer.B (versione senza rootkit)
http://www.pcalsicuro.com/main/2007/03/gromozon-il-ritorno/
I file 842234.exe e 2009515.exe. 684906.exe e dq37944.dll etc.
mi fanno pensare al Rootkit.DialCall
Blitzkrieg_Bop
16-06-2009, 09:33
a me non sembra un linkoptimizer questa infezione per questo è probabile che i tool adatti a LinkOptimizer non risolvano le cose.
io ti consiglierei di eseguire la guida generale tanto per capire meglio il tuo pc (tu ci sei davanti al monitor, noi il tuo pc non lo abbiamo mai visto e non ne sappiamo nulla) inquanto ci serve qualche referto clinico per intraprendere qualsiasi possibile azione mirata.
quindi segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)
Ciao, grazie dell'interessamento ;)
Purtroppo il PC non è nemmeno il mio ( è di una mia amica ) e non l'ho sottomano in questo momento.
Postare i Log: se riuscirò a far partire qualcosa, volentieri...:muro:
In quanto a Linkoptimizer, pensavo c'entrasse visto che i "sintomi" sono gli stessi di quando lo presi sul PC dell'ufficio qualche anno fa.
Inoltre la presenza di ConnectionServices tra le Applicazioni, e il fatto che Virit lo nomini mi ha fatto pensare ad una nuova variante più rognosa.
Comunque, come riesco a lavorarci un po' ( me lo deve riportare ) se riesco posto qualcosa ( spero ).
Grazie anche a GmG.
Esiste un tool per rimuovere quel rootkit?
xcdegasp
16-06-2009, 11:00
il problema di quel pc è che è un sieme di virus, come ben descrive GMG, ho sbagliato io a dire che non ci fosse LinkOptimizer.
comunque prima esegui i due tool consigliati da GmG e poi segui la guida che ti ho linkato :)
Blitzkrieg_Bop
20-06-2009, 20:46
Allora, ho riavuto il pc solo oggi dalla mia amica, ho iniziato a fare le altre scansioni con quello che funziona ( come ho già detto Hijackthis, GMER, Avenger non si riesce ad aprirli )
Man mano che completo gli altri, li posto in successione:
PrevX 3
http://wikisend.com/download/929218/prevx log.log
Prevx Scan Log - Version v3.0.1.65
Log Generated: 19/6/2009 22:23, Type: 0,1
Windows XP Home Service Pack 3 (Build 2600) 32bit|1040
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Fri 2009-06-19 11:46:29 ora solare Europa occidentale. Number of Scans: 16. Last Scan Duration: 8 minutes 3 seconds.
[B] c:\windows\system32\dq37944.dll [PX5: 76435CFC008D4C90100B033F8F6339005C787E3E] Malware Group: Medium Risk Malware
[BP] c:\documents and settings\akiko\impostazioni locali\temp\842234.exe [PX5: A14972320063C8AD4A3B011D4525F300FE83EB18] Malware Group: High Risk System Back Door
[BP] c:\documents and settings\akiko\impostazioni locali\temp\2009515.exe [PX5: 051CE8C50063EC7E4C640147E9D59B008881F8D7] Malware Group: High Risk System Back Door
[BP] c:\documents and settings\akiko\impostazioni locali\temp\684906.exe [PX5: 0AF9121100D3DC4F4AAC01E6E9854700764C4573] Malware Group: Medium Risk Malware Dropper
Blitzkrieg_Bop
20-06-2009, 21:29
Kaspersky Virus Removal Tool
Intero log:
http://wikisend.com/download/563138/kasper.txt
Statistiche:
Scan
----
Scanned: 659171
Detected: 2
Untreated: 0
Start time: 20/06/2009 14.08.25
Duration: 03.21.11
Finish time: 20/06/2009 17.29.36
Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan-Spy.HTML.Fraud.gen (modification) Email message body: akiko\Cartelle locali\Posta inviata\][Subject:Message has a suspicious part : Re: Fulton Bank Business Online Banking: Confirm Your Details][Time:2008/09/24 09:25:14]/text/html
deleted: Trojan program Trojan.Win32.Bombibom.m File: C:\Programmi\ESET\infected\VSBHZCCA.NQF//PE-Crypt.XorPE//PE_Patch.UPX//UPX
Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes
Quarantine
----------
Status Object Size Added
------ ------ ---- -----
Backup
------
Status Object Size
------ ------ ----
Possibly infected: Trojan program Trojan-Spy.HTML.Fraud.gen (modification) akiko\Cartelle locali\Posta inviata\][Subject:Message has a suspicious part : Re: Fulton Bank Business Online Banking: Confirm Your Details][Time:2008/09/24 09:25:14]/text/html 2,6 KB
Infected: Trojan program Trojan.Win32.Bombibom.m c:\programmi\eset\infected\vsbhzcca.nqf 27,2 KB
Blitzkrieg_Bop
21-06-2009, 18:07
Allora, sono riuscito ad eliminare il blocco ai programmi, probabilmente con Dr.Web CureIt sono riuscito ad eliminarne la causa.
C'era anche un bel dialer, un certo ciscoservice.exe, di fatto eliminato.
Ho provveduto ad eseguire uno scan con GMER, ma non trova nessuna voce in rosso.
Con HijackThis ho fixato tre voci, che ripetendo lo scan dopo un riavvio non si sono più ripresentate.
Sembrerebbe tutto ok, se non ci fosse ancora la maledetta ConnectionServices nel pannello di controllo / Installazione e Applicazioni: che vuol dire?
E' sempre sconsigliabile eliminarla ( magari con CCleaner) ?
Ho provato a cercare la voce "ConnectionServices" con la funzione < cerca >, ma non trova nulla.
Ho trovato invece una chiave di registro a tal nome, e l'ho eliminata.
Qualche suggerimento? ( più che altro, sono a posto o non è finita? :cry: )
;)
segui tutti i passaggi che ti mancano della guida linkata qui
http://www.hwupgrade.it/forum/showpost.php?p=27863164&postcount=3
Blitzkrieg_Bop
21-06-2009, 21:04
OK.posto i log:
A-Squared
primo scan:
a-squared Free - Versione 4.5
Ultimo aggiornamento: N/A
Impostazioni scansione:
Scan type: deep
Oggetti: Memoria, Tracce, Cookies, C:\, D:\
Archivio scansioni: On
Scientifico: Off
ADS Scan: On
Scansione avviata: 20/06/2009 17.43.17
Value: HKEY_USERS\S-1-5-21-3715085116-117162023-1599989615-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2
c:\documents and settings\akiko\desktop\emule.lnk rilevati: Trace.File.Emule 5.0!A2
C:\Documents and Settings\Akiko\Dati applicazioni\Mozilla\Firefox\Profiles\v3deszyp.default\cookies.sqlite:1245068401062500 rilevati: Trace.TrackingCookie.com!A2
C:\Documents and Settings\Akiko\Dati applicazioni\Mozilla\Firefox\Profiles\v3deszyp.default\cookies.sqlite:1245068401640625 rilevati: Trace.TrackingCookie.com!A2
C:\Documents and Settings\Akiko\Dati applicazioni\Mozilla\Firefox\Profiles\v3deszyp.default\cookies.sqlite:1245068402953125 rilevati: Trace.TrackingCookie.com!A2
C:\WINDOWS\system32\dq37944.dll rilevati: Trojan-Dropper.Agent!IK
C:\Documents and Settings\Akiko\Impostazioni locali\Temp\2009515.exe rilevati: Trojan.Win32.Chepdu!IK
C:\Documents and Settings\Akiko\Impostazioni locali\Temp\684906.exe rilevati: Trojan.Win32.Chepdu!IK
C:\Documents and Settings\Akiko\Impostazioni locali\Temp\842234.exe rilevati: Trojan.Win32.Chepdu!IK
C:\Documents and Settings\Akiko\UserData\Desktop\downloads\[ITA] WinRar v3.41 IT + Crk.zip/Crack WinRAR 3.41.exe rilevati: Virus.Win32.Trojano.704!IK
C:\Documents and Settings\Akiko\UserData\Desktop\downloads\Crack WinRAR 3.41.exe rilevati: Virus.Win32.Trojano.704!IK
C:\Documents and Settings\Akiko\UserData\Desktop\downloads\spyboot 1.4\spyboot remover\delcwssk.zip/miniremoval_coolwebsearch_smartkiller.exe rilevati: Virus.Win32.Delf!IK
C:\Documents and Settings\Akiko\UserData\Desktop\downloads\spyboot 1.4\spyboot remover\miniremoval_coolwebsearch_smartkiller.exe rilevati: Virus.Win32.Delf!IK
Scansionati
Files: 102854
Tracce: 671882
Cookies: 400
Processi: 39
Rilevato
Files: 8
Tracce: 2
Cookies: 3
Processi: 0
Chiavi di registro: 0
Fine scansione: 20/06/2009 18.30.05
Tempo scansione: 0:46:48
C:\Documents and Settings\Akiko\UserData\Desktop\downloads\spyboot 1.4\spyboot remover\delcwssk.zip/miniremoval_coolwebsearch_smartkiller.exe In quarantena Virus.Win32.Delf!IK
C:\Documents and Settings\Akiko\UserData\Desktop\downloads\spyboot 1.4\spyboot remover\miniremoval_coolwebsearch_smartkiller.exe In quarantena Virus.Win32.Delf!IK
C:\Documents and Settings\Akiko\UserData\Desktop\downloads\[ITA] WinRar v3.41 IT + Crk.zip/Crack WinRAR 3.41.exe In quarantena Virus.Win32.Trojano.704!IK
C:\Documents and Settings\Akiko\UserData\Desktop\downloads\Crack WinRAR 3.41.exe In quarantena Virus.Win32.Trojano.704!IK
C:\Documents and Settings\Akiko\Impostazioni locali\Temp\2009515.exe In quarantena Trojan.Win32.Chepdu!IK
C:\Documents and Settings\Akiko\Impostazioni locali\Temp\684906.exe In quarantena Trojan.Win32.Chepdu!IK
C:\Documents and Settings\Akiko\Impostazioni locali\Temp\842234.exe In quarantena Trojan.Win32.Chepdu!IK
C:\WINDOWS\system32\dq37944.dll In quarantena Trojan-Dropper.Agent!IK
In quarantena
Files: 8
Tracce: 0
Cookies: 0
secondo scan:
a-squared Free - Versione 4.5
Ultimo aggiornamento: N/A
Impostazioni scansione:
Scan type: deep
Oggetti: Memoria, Tracce, Cookies, C:\, D:\
Archivio scansioni: On
Scientifico: Off
ADS Scan: On
Scansione avviata: 20/06/2009 20.25.07
Value: HKEY_USERS\S-1-5-21-3715085116-117162023-1599989615-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order rilevati: Trace.Registry.Emule 5.0!A2
Scansionati
Files: 102442
Tracce: 664091
Cookies: 391
Processi: 40
Rilevato
Files: 0
Tracce: 1
Cookies: 0
Processi: 0
Chiavi di registro: 0
Fine scansione: 20/06/2009 21.18.43
Tempo scansione: 0:53:36
Value: HKEY_USERS\S-1-5-21-3715085116-117162023-1599989615-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Emule --> Order Cancellato Trace.Registry.Emule 5.0!A2
Cancellato
Files: 0
Tracce: 1
Cookies: 0
Nel terzo non rileva più nulla.
Dr.Web
primo scan
ciscoservice.exe;c:\windows\system32;Dialer.Netvision;Incurabile.Verrà cancellato dopo il riavvio del sistema.;
CiscoService.exe;C:\WINDOWS\system32;Dialer.Netvision;Incurabile.Verrà cancellato dopo il riavvio del sistema.;
SysInspector-NOME-3A0A786083-090621-0006.xml;C:\Documents and Settings\Akiko\Desktop\Logs;Probabile SCRIPT.Virus;Incurabile.Cancellato.;
IKIC0KDA.NQF;C:\Programmi\ESET\infected;Win32.HLLW.Shadow.based;Cancellato.;
pv.exe;C:\Programmi\Alice ti aiuta\vendors\AliceRE\wwwcache\wt\default\private\content\driven_dev\upgrade\bin;Program.PrcView.3741;Incurabile.Cancellato.;
MCCWrapper.dll;C:\Programmi\Common Files\Motive;Probabile DLOADER.Trojan;Incurabile.Cancellato.;
Nell'ultimo non rileva più nulla
Hijackthis
Primo scan
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.08.23, on 21/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DOCUMENTS AND SETTINGS\AKIKO\DESKTOP\ASQUARED\a2service.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\Corega Middleware\CmSkype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Akiko\Desktop\ow2iwwzm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.co.jp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;192.168.1.1;libero.it;iol.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\lexmarkmonitor.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: D - {0CCA4C25-B2B4-3A33-A994-5D2AD5D5F8F4} - C:\WINDOWS\system32\dq37944.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: Class - {CD32FC5E-1A76-898B-9100-4646E14ED189} - C:\WINDOWS\autgd1.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [CmSkype] "C:\Programmi\Corega Middleware\CmSkype.exe" RUNSTART
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [ciscoservice] "c:\windows\system32\ciscoservice.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127936702750
O20 - AppInit_DLLs: Prova.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\DOCUMENTS AND SETTINGS\AKIKO\DESKTOP\ASQUARED\a2service.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\Prevx\prevx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
--
End of file - 6649 bytes
Secondo scan ( mi sembra pulito )
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.18.47, on 21/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\ZcfgSvc.exe
c:\windows\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.co.jp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;192.168.1.1;libero.it;iol.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\lexmarkmonitor.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelWireless] C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programmi\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [CmSkype] "C:\Programmi\Corega Middleware\CmSkype.exe" RUNSTART
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127936702750
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\DOCUMENTS AND SETTINGS\AKIKO\DESKTOP\ASQUARED\a2service.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\Prevx\prevx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
--
End of file - 5306 bytes
SysInspector
http://wikisend.com/download/443640/SysInspector-NOME-3A0A786083-090621-0006.xml
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.