HiJackThis - Analisi Log - leggere Regole di Sezione [Archivio] - Pagina 28

Mat75

06-10-2007, 21:11

Mat75

Fai analizzare quei percorsi che hai messo in quarantena da VIRUSTOTAL, se sono infettali cancellalli.

Puoi postare di nuovo un log di HJT?

Come faccio a far analizzare i file in quarantena? Sfoglia e A-squared? :mc:

Questo è il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.06.35, on 06/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Eraser\eraser.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Documents and Settings\Teresa\Documenti\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Bytemobile BHO - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\system32\bmbho.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Eraser] C:\Programmi\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it/free
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187766959062
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{075719DE-DDE6-4544-986C-7273BA19020A}: NameServer = 85.37.17.50 85.38.28.76
O17 - HKLM\System\CS1\Services\Tcpip\..\{075719DE-DDE6-4544-986C-7273BA19020A}: NameServer = 85.37.17.50 85.38.28.76
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 10143 bytes

Grazie.

Mazda RX8

06-10-2007, 21:13

Come faccio a far analizzare i file in quarantena? Sfoglia e A-squared? :mc:

Questo è il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.06.35, on 06/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Eraser\eraser.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Documents and Settings\Teresa\Documenti\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Bytemobile BHO - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\system32\bmbho.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Eraser] C:\Programmi\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it/free
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187766959062
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{075719DE-DDE6-4544-986C-7273BA19020A}: NameServer = 85.37.17.50 85.38.28.76
O17 - HKLM\System\CS1\Services\Tcpip\..\{075719DE-DDE6-4544-986C-7273BA19020A}: NameServer = 85.37.17.50 85.38.28.76
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 10143 bytes

Grazie.

qsto è strano...:stordita:

O2 - BHO: Bytemobile BHO - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\system32\bmbho.dll (file missing)

paolo-fcb

06-10-2007, 21:17

paolo

che cosa è questa? C:\Programmi\ThreatFire\TFTray.exe <--- se nn lo sai vai su VIRUSTOTAL e fallo analizzare e se è infetta, fixala. e fixa pure il suo avvio in automatico
O4 - HKLM\..\Run: [ThreatFire] C:\Programmi\ThreatFire\TFTray.exe

fixa la voce del nod32

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)

MSN ti funziona male? in che modo? spiegati meglio

Fixato il NOD; Threatfire me lo hanno consigliato come alternativa a Prevx 2.0, ce l'ho in startup quando avvio Winzozz.....Non so di più.....:rolleyes:
Windows live messenger, a volte mi provo a connettere ma non va e si chiude da solo, per farlo andare devo tornare su start-tutti i programmi e lanciarlo di nuovo e così via, e poi si collega in modo lento.
Grazie Gle, grazie anche a Mazda, ciao

Mazda RX8

06-10-2007, 21:19

Fixato il NOD; Threatfire me lo hanno consigliato come alternativa a Prevx 2.0, ce l'ho in startup quando avvio Winzozz.....Non so di più.....:rolleyes:
Windows live messenger, a volte mi provo a connettere ma non va e si chiude da solo, per farlo andare devo tornare su start-tutti i programmi e lanciarlo di nuovo e così via, e poi si collega in modo lento.
Grazie Gle, grazie anche a Mazda, ciao

mi posti uno screen dei prox in avvio?

paolo-fcb

06-10-2007, 23:44

mi posti uno screen dei prox in avvio?

Cioè i programmi all'avvio di Winzozz? Eccoli:

http://img212.imageshack.us/img212/2624/immaginenk5.jpg

da sx a destra: prevx2.0, windows live messenger, spyware terminator, installazioni monitor, avira, adsl, threatfire, una icona inutile ma necessaria se voglio collegarmi a internet, audio

Gle89

07-10-2007, 00:22

Gle89

07-10-2007, 01:36

Windows live messenger, a volte mi provo a connettere ma non va e si chiude da solo, per farlo andare devo tornare su start-tutti i programmi e lanciarlo di nuovo e così via, e poi si collega in modo lento.
Grazie Gle, grazie anche a Mazda, ciao

Provo ad andare per tentativi :D

Scaricati MSNFIX da QUI (http://sosvirus.changelog.fr/MSNFix.zip) sul tuo desktop, una volta decopresso creerà sempre li una cartella.
A questo punto procedi cosi:
1)lancia MSNFix.bat
2)premi I per impostare la lingua e premi invio
3)premi R per cercare il malware
4)premi N per eliminare ciò che trova
5)premi A per creare il log da pubblicare
6)premi R per ripulire il registro ed uscire
7)premi Q per terminare il tool MSNFix

Con il log che ti verrà visualizzato a video, ti verrà detto se è avvenuta o no la rimozione dell'eventuale malware.
MSNFix crea anche un file .zip ,che è nella cartella posizionata sul Desktop insieme al log, che contiene i file rimossi.
Adesso cancella solo il file .zip (NON il log) e svuota il cestino.

Ricorda che:MSNFix, rimuove automaticamente i file infetti potrebbe indicare anche altri file (che di solito si rilevano screen saver non legittim) che di solito vanno eliminati manualmente. Ad ogni modo non cancellare nulla. posta qui il log di MSNFIX.

Ciao

Mat75

07-10-2007, 07:34

Mat75

Allora devi andare (cerca con Google) sul sito VIRUSTOTAL.. ti apparirà una pagina, clicca su sfoglia e cerca, tra le tue cartella, questo percorso:
C:\WINDOWS\system32\bmbho.dll (file missing)
se alla fine dell analisi ti dice che è infetto, fixa la seguente voce:
O2 - BHO: Bytemobile BHO - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\system32\bmbho.dll (file missing)

Noto che hai NortonAntivirus... Ti conviene disinstallarlo velocemente, è pesante e inoltre fa passare tantissimi virus e infezioni varie!
Scaricati AVIRA ANTIVIR dalla mia firma e configuralo tramite la guida,anch'essa in firma.

Scaricati A-SQUARED (dalla mia firma), installalo, aggiornalo (è importantissimo), fai una scansione in modalità DEEP SCAN e alla fine dicci se hai risolto i problemi

Non ho trovato il file "C:\WINDOWS\system32\bmbho.dll (file missing)" e neanche i due che ho in quarantena con a-squared ("C/System Volume Information/_Resto Adware.backweb.a"), mi dice che i file non esistono...:mc: scusami sono proprio imbranata, che faccio?

Per il Norton, non posso disinstallarlo per motivi familiari :D (il consorte ha rinnovato da poco l'abbonamento e mi minaccia).

lancetta

07-10-2007, 11:28

Non ho trovato il file "C:\WINDOWS\system32\bmbho.dll (file missing)" e neanche i due che ho in quarantena con a-squared ("C/System Volume Information/_Resto Adware.backweb.a"), mi dice che i file non esistono...:mc: scusami sono proprio imbranata, che faccio?

Per il Norton, non posso disinstallarlo per motivi familiari :D (il consorte ha rinnovato da poco l'abbonamento e mi minaccia).

Ciao...questo O2 - BHO: Bytemobile BHO - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\system32\bmbho.dll (file missing) fixalo direttamente,non c'è bisogno del controllo..dovrebbe essere un blocco pop up ma i realtà è un redirect di siti quando fai le ricerche,contenente spyware ed adware (quelli che ha trovato Asquared;) )
Tra l'altro è già stato mezzo cancellato (missing)..quindi voce inutile.

Mazda RX8

07-10-2007, 11:54

Cioè i programmi all'avvio di Winzozz? Eccoli:

http://img212.imageshack.us/img212/2624/immaginenk5.jpg

da sx a destra: prevx2.0, windows live messenger, spyware terminator, installazioni monitor, avira, adsl, threatfire, una icona inutile ma necessaria se voglio collegarmi a internet, audio

hai CCLEANER??

Gle89

07-10-2007, 12:58

Cioè i programmi all'avvio di Winzozz?

Per i programmi in avvio devi andare in START - ESEGUI - digita MSCONFIG e premi INVIO... ti si aprirà una finestra... in alto clicca su AVVIO e da li puoi vedere tutti i programmi che partono all avvio.

Madza ti ha chiesto uno screen di quello (che poi si possono vedere da CClenaer come ti ha chiesto in seguito, ma si possono vedere pure da Hijackthis)

Ciao

Mazda RX8

07-10-2007, 13:44

Mat75

07-10-2007, 15:31

Ciao...questo fixalo direttamente,non c'è bisogno del controllo..dovrebbe essere un blocco pop up ma i realtà è un redirect di siti quando fai le ricerche,contenente spyware ed adware (quelli che ha trovato Asquared;) )
Tra l'altro è già stato mezzo cancellato (missing)..quindi voce inutile.

Ciao Lancetta, grazie.
Fixato. Elimino anche i file in quarantena?
Ho visto che nel log ci sono dei file "no name" che il controllo automatico dice sono inutili, li posso eliminare senza fare danni? O me li tengo là zitti zitti?
E con i problemi di registro che mi segnala C-Cleaner? Dovrei fare un backup (:confused: sapendolo fare...)?

Ma poi tutto questo c'entra qualcosa con gli avvisi di errore e gli avvisi quando spengo il pc ("la memoria non poteva essere written" e poi "read")?

Scusatemi ma non so a chi chiedere...

Grazie.

Gle89

07-10-2007, 15:45

Mat75

07-10-2007, 16:00

MAT75

questa voce: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) non va fixata se usi MSN messenger, il programma di chat.

Per Ccleaner, quando ti chiede si salvare il backup, digli di si (non si sa mai,anche se non ho mai conosciuto nessuno che ha riscontrato problemi) e poi RIPARA tutti i problemi. Se poi ce ne fosse bisogno per recuperare il backup è sufficiente fare doppio clic sul file generato di backup nel percorso dove lo hai salvato precedentemente.

Anche dopo queste operazioni hai quei messaggi sulla memoria? puoi scrivere i messaggi di errore completo? oppure posta uno screen

Ciao Gle89.
Allora lascio MSN anche se lo utilizzo pochissimo.

Per i messaggi di errore, appena me ne esce qualcuno lo scrivo, di solito sono al doppio click su cartelle del desktop o su IE, con relativa segnalazione errori, mentre quando sta per spegnersi tutto mi escono gli avvisi con "written" e poi "ready" con la scelta debug o ok, provvederò a memorizzarli, a volte comunque il pc si spegne comunque, altre mi rimane bloccato fino a quando non clicco ok o debug.

Ora vado su C-Cleaner..:sperem:

A dopo.
Grazie Gle89.

Gle89

07-10-2007, 16:41

Ora vado su C-Cleaner..:sperem:
A dopo.
Grazie Gle89.

Tutto a posto con CCleaner? dobbiamo risolvere i tuoi probelmi dato che sei infetta

Mat75

07-10-2007, 17:21

C-Cleaner a posto.
Ho appena fatto una scansione con A-Squared, solo cookies traccianti.

Come procediamo per "disinfestare" il pc?

Abbi pazienza se non capisco qualcosa, ma non ne capisco molto..

Gle89

07-10-2007, 17:27

Abbi pazienza se non capisco qualcosa, ma non ne capisco molto..

Non ti preoccupare! allora partiamo cosi:

Disabilita il ripristinio di configurazione di sistema, sempre che tu lo abbia attivato. Per farlo va in STAR-PROGRAMMI - ACCESSORI - UTILITà di SISTEMA - RIPRISTINIO CONFIG - sulla destra (se è attivo) clicca su "impostazioni" e da li lo disattivi - dai ok adesso vai in START - ESEGUI - digita MSCONFIG e premi invio togli la spunta a TUTTE le righe ECCETTO all'antivirus e firewall (se hai solo quello di XP lascia solo l'antivirus)
ti verrà chiesto di riavviare, fallo.
al riavvio ti apparirà un messaggio, metti la spunta alla casellina in fondo al messaggio e clicca ok

Fai una bella scansione con PANDA SCAN e dimmi se il problema cè ancora

Mazda RX8

07-10-2007, 17:30

Non ti preoccupare! allora partiamo cosi:

Disabilita il ripristinio di configurazione di sistema, sempre che tu lo abbia attivato. Per farlo va in STAR-PROGRAMMI - ACCESSORI - UTILITà di SISTEMA - RIPRISTINIO CONFIG - sulla destra (se è attivo) clicca su "impostazioni" e da li lo disattivi - dai ok adesso vai in START - ESEGUI - digita MSCONFIG e premi invio togli la spunta a TUTTE le righe ECCETTO all'antivirus e firewall (se hai solo quello di XP lascia solo l'antivirus)
ti verrà chiesto di riavviare, fallo.
al riavvio ti apparirà un messaggio, metti la spunta alla casellina in fondo al messaggio e clicca ok

Fai una bella scansione con PANDA SCAN e dimmi se il problema cè ancora

ma così facendo toglierà tutti i prox (anke quelli utili...:confused:)

Mat75

07-10-2007, 17:34

Vado subito a fare tutto. Il firewall ho quello del Norton, quindi lascio la spunta.
Il controllo con Panda Scan lo devo fare on-line da http://www.hwupgrade.it/forum/showthread.php?t=1392332 ?

Gle89

07-10-2007, 17:35

ma così facendo toglierà tutti i prox (anke quelli utili...:confused:)

i programmi UTILI all'avvio sono esclusivamente:

antivirus
firewall (se c'è uno diverso da quello di XP)

Gli altri non servono all'avvio, rallentano solo il processo di avvio del sistema operativo. Gli altri programmi basta cliccare sull'icona quando ne avremo bisogno :D

Mazda RX8

07-10-2007, 17:38

i programmi UTILI all'avvio sono esclusivamente:

antivirus
firewall (se c'è uno diverso da quello di XP)

Gli altri non servono all'avvio, rallentano solo il processo di avvio del sistema operativo. Gli altri programmi basta cliccare sull'icona quando ne avremo bisogno :D

nn hai contato dei driver vari (es: sk video) fondamentali...:D

Gle89

07-10-2007, 17:38

Vado subito a fare tutto. Il firewall ho quello del Norton, quindi lascio la spunta.
Il controllo con Panda Scan lo devo fare on-line da http://www.hwupgrade.it/forum/showthread.php?t=1392332 ?

si si è proprio quello...

Gle89

07-10-2007, 17:40

nn hai contato dei driver vari (es: sk video) fondamentali...:D

certo che li ho contati... ma in avvio non servono,vanno in automatico... per esempio prima di capire come tenere pulito e veloce il mio XP tenevo anche io in avvio le voci come ATI e REALTEK (scherda video e audio) ma qui mi hanno rassicurato dicendo che si possono benissimo togliere :D

Ad ogni modo se qualcuno avesse dei problemi si potrebbero ri-abilitare da msconfig, come ce li hai disabilitati li puoi anche rimettere :D

Mat75

07-10-2007, 17:52

Scusami Gle, dopo "START - ESEGUI - digita MSCONFIG e premi invio" nella finestra devo andare su "avvio" giusto? E lasciare solo le voci in cui c'è Norton?

Gle89

07-10-2007, 17:53

Scusami Gle, dopo "START - ESEGUI - digita MSCONFIG e premi invio" nella finestra devo andare su "avvio" giusto? E lasciare solo le voci in cui c'è Norton?

si perfetto vai tranquilla... se avessi dei problemi (ma sono sicura di no) potrai fare il procedimento inverso ovvero riabilitare le voci che disabiliterai ora :D

Mat75

07-10-2007, 18:10

Ho seguito la procedura e ho lasciato una voce con Norton ed un'altra "LVCOM" che credo sia di Norton (comunque è attivo, ed anche il suo firewall).
La scansione invece non da segni...ho cliccato su "scan your pc now" e non succede nulla, c'è solo una lucina verde in fondo alla pagina...sta facendo comunque la scansione? Non dovrei scaricare gli activex?

Gle89

07-10-2007, 18:16

Ho seguito la procedura e ho lasciato una voce con Norton ed un'altra "LVCOM" che credo sia di Norton (comunque è attivo, ed anche il suo firewall).

LVcom serve per far aggiornare il Norton se non erro :D

La scansione invece non da segni...ho cliccato su "scan your pc now" e non succede nulla, c'è solo una lucina verde in fondo alla pagina...sta facendo comunque la scansione? Non dovrei scaricare gli activex?

devi andare sul link che ti ho dato cliccare su "SCAN YOUR PC NOW" se te li chiede installa gli ActiveX (ti dovrebbe venire una barra giallina in alto, ci clichi di destro e gli dai di installarli) poi inserisci la città ed un email valida e potrai iniziare lo scan.

Mat75

07-10-2007, 18:21

Niente, Panda non da segni di vita, clicco e non succede nulla...

Gle89

07-10-2007, 18:33

Niente, Panda non da segni di vita, clicco e non succede nulla...

allora proviamo quest'altra scansione online... http://forum.wininizio.it/index.php?showtopic=36981&hl clicca sul link troverai la guida :D

fammi sapere :D

Mat75

07-10-2007, 18:56

Kaspersky sta scansionando.
Quando devo riattivare il ripristino di configurazione?
Gle credi che gli avvisi di errore siano il sintomo dell'infezione?

Gle89

07-10-2007, 19:25

Kaspersky sta scansionando.
Quando devo riattivare il ripristino di configurazione?

Devi riattivarlo quando siamo sicuri che il tuo pc è pulito :D

Hai i codec video Divx installati se si quale versione? per vedere la versione fai cosi:

PANNELLO DI CONTROLLO - SISTEMA - HARDWARE - GESTIONE PERIFERICHE -
clicca sul + del Controller audio,video giochi - clicca due volte su CODEC VIDEO - e dimmi in cima accanto a DiVX codec che numerino di versione viene scritto... <--- certe volte la versione troppo arretrata può causare il tuo problema.

Mat75

07-10-2007, 19:40

Devi riattivarlo quando siamo sicuri che il tuo pc è pulito :D

Hai i codec video Divx installati se si quale versione? per vedere la versione fai cosi:

PANNELLO DI CONTROLLO - SISTEMA - HARDWARE - GESTIONE PERIFERICHE -
clicca sul + del Controller audio,video giochi - clicca due volte su CODEC VIDEO - e dimmi in cima accanto a DiVX codec che numerino di versione viene scritto... <--- certe volte la versione troppo arretrata può causare il tuo problema.

Allora, "DIVX 6.6.1"

Mat75

07-10-2007, 19:51

Kaspersky ha finito. 0 di tutto, poi ci sono parecchie voci C:\Windows\system32C:\Documents e C:\program\ con delle x rosse accanto e poi "object is locked" e "skipped"...

Gle89

07-10-2007, 19:55

Kaspersky ha finito. 0 di tutto, poi ci sono parecchie voci C:\Windows\system32C:\Documents e C:\program\ con delle x rosse accanto e poi "object is locked" e "skipped"...

i codec vanno aggiornati ci sono la versione 6.7 quindi vai in STAR - PROGRAMMI - DiVX - e clicca su CHECK for DiVX UPDATES, e scairca e installa i nuovi Codec.
Alla fine RIAVVIA il pc e vedi se ti da sempre gli errori :D

Per Kapersky allega qui il log in formato HTML:D

Mat75

07-10-2007, 19:58

Come lo tiro fuori il log per copiarlo qui?

Scusa ci sono arrivata (meglio tardi che mai).
Lo allego e aggiorno i codec.

Sunday, October 07, 2007 8:43:11 PM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.1
Kaspersky Anti-Virus database last update: 7/10/2007
Kaspersky Anti-Virus database records: 428850

Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 45679
Number of viruses found 0
Number of infected objects 0
Number of suspicious objects 0
Duration of the scan process 00:45:15

Infected Object Name Virus Name Last Action
C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows Defender\Support\MPLog-07252007-152531.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\LiveUpdate\2007-10-07_Log.ALUSchedulerSvc.LiveUpdate Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Common Client\settings.dat Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Common Client\Confid.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Common Client\Content.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Common Client\WebHist.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Common Client\Privacy.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\Common Client\Restrict.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SubEng\submissions.idx Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SRTSP\SrtViEvt.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SRTSP\SrtNvEvt.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SRTSP\SrtMoEvt.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SRTSP\SrtScEvt.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SRTSP\SrtErEvt.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SRTSP\SrtTxFEvt.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SRTSP\SrtETmp\5810FD57.TMP Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SRTSP\SrtETmp\A23C20AA.TMP Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\SPPolicy.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\SPStart.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\SPStop.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBValid.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBConfig.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBRefr.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBNotify.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBSetCfg.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBSetCfg2.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBSetUsr.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBStHash.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBSetLoc.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBSetDev.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBDetect.log Object is locked skipped

C:\Documents and Settings\All Users\Dati applicazioni\Symantec\SPBBC\BBDebug.log Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Teresa\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Teresa\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Teresa\Impostazioni locali\Temp\~DFB775.tmp Object is locked skipped

C:\Documents and Settings\Teresa\Impostazioni locali\Temp\~DFB79A.tmp Object is locked skipped

C:\Documents and Settings\Teresa\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Teresa\Impostazioni locali\Cronologia\History.IE5\MSHist012007100720071008\index.dat Object is locked skipped

C:\Documents and Settings\Teresa\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Teresa\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Teresa\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Teresa\Impostazioni locali\Dati applicazioni\Microsoft\Feeds Cache\index.dat Object is locked skipped

C:\Documents and Settings\Teresa\Cookies\index.dat Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\NFWEVT.LOG Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\SNDSYS.log Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\SNDFW.log Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\SNDCON.log Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\SNDALRT.log Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\SNDIDS.log Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\SNDDBG.log Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\AntiSpam\Log\Spam.log Object is locked skipped

C:\Programmi\File comuni\Symantec Shared\Bonus\Log\Shazam.log Object is locked skipped

C:\Programmi\Norton Internet Security\Norton AntiVirus\AVVirus.log Object is locked skipped

C:\Programmi\Norton Internet Security\Norton AntiVirus\AVApp.log Object is locked skipped

C:\Programmi\Norton Internet Security\Norton AntiVirus\AVError.log Object is locked skipped

Scan process completed.

Gle89

07-10-2007, 20:07

E' pulito il log, quindi niente infezioni varie...

Hai ancora gli errori della memoria che non si può "writen/read"?

Mat75

07-10-2007, 20:11

E' pulito il log, quindi niente infezioni varie...

Hai ancora gli errori della memoria che non si può "writen/read"?

10 minuti fa si è chiusa l'applicazione mentre aprivo pannello di controllo, poi non si apriva il pannello e ci sono entrata da "risorse del computer" altrimenti avrei dovuto spegnere e riaccendere.
Ora aggiorno i codec e ti faccio sapere se mi esce più "written/ready" quando spengo.

Gle89

07-10-2007, 20:16

10 minuti fa si è chiusa l'applicazione mentre aprivo pannello di controllo, poi non si apriva il pannello e ci sono entrata da "risorse del computer" altrimenti avrei dovuto spegnere e riaccendere.
Ora aggiorno i codec e ti faccio sapere se mi esce più "written/ready" quando spengo.

si è chiuso il pannello di controllo? cmq aggiorna subito i codec e ti chiederà di riavviare...fammi sapere :D

Mazda RX8

07-10-2007, 20:26

certo che li ho contati... ma in avvio non servono,vanno in automatico... per esempio prima di capire come tenere pulito e veloce il mio XP tenevo anche io in avvio le voci come ATI e REALTEK (scherda video e audio) ma qui mi hanno rassicurato dicendo che si possono benissimo togliere :D

Ad ogni modo se qualcuno avesse dei problemi si potrebbero ri-abilitare da msconfig, come ce li hai disabilitati li puoi anche rimettere :D

se si toglie un file di partenza dei driver nvidia i driver vanno a quel paese...:D

Gle89

07-10-2007, 20:31

se si toglie un file di partenza dei driver nvidia i driver vanno a quel paese...:D

Ascolta se ti dico di no è no. fra l'altro me l'hanno pure confermato pure Degasp (moderatore) e River . se vuoi chiedi a loro!

juninho85

07-10-2007, 20:32

Ascolta se ti dico di no è no. fra l'altro me l'hanno pure confermato pure Degasp (moderatore) e River . se vuoi chiedi a loro!

confermo pure io,mai avuto problemi rimuovendo un qualsiasi componenti nvidia allo startup

Mat75

07-10-2007, 20:32

si è chiuso il pannello di controllo? cmq aggiorna subito i codec e ti chiederà di riavviare...fammi sapere :D

Il pannello di controllo non si voleva aprire...l'ho aperto da risorse del computer cliccando nella voce pannello di controllo (a sinistra), ora che ho riavviato si apre di nuovo dal solito posto.
Ho aggiornato i codec alla versione 6.7 ma non mi ha chiesto di riavviare, ma l'ho fatto io lo stesso.
Quando ho aperto la cartella in cui c'era l'aggiornamento dei codec per installarli, mi ha fatto il solito errore explorer.exe e ho guardato la segnalazione errori ed ho letto questo: "ModName comCtl32.dll", le altre volte in cui ho guardato era sempre quello.
Quando il pc si è spento ne è comparsa una nuova: non Written o ready, ma qualcosa come "si è verificato l'errore di except know..." e qualcos'altro con sotto "ok" non sono riuscita a leggere di più perchè poi si è spento senza bisogno di cliccare ok.

Mazda RX8

07-10-2007, 20:35

confermo pure io,mai avuto problemi rimuovendo un qualsiasi componenti nvidia allo startup

strano, xké una volta l'ho tolto e mi si è corrotto il driver...:confused:

Gle89

07-10-2007, 20:44

Quando ho aperto la cartella in cui c'era l'aggiornamento dei codec per installarli, mi ha fatto il solito errore explorer.exe e ho guardato la segnalazione errori ed ho letto questo: "ModName comCtl32.dll", le altre volte in cui ho guardato era sempre quello.

Te hai un XP originale? se si fai sempre gli aggiornamenti critici di Windows (icona gialla in basso accanto all'orologio)?

ad ogni modo leggi qui: http://www.microsoft.com/downloads/details.aspx?FamilyID=ca4eae1f-e591-4d38-894f-fa42367796d4&DisplayLang=it

Mat75

07-10-2007, 20:50

Te hai un XP originale? se si fai sempre gli aggiornamenti critici di Windows (icona gialla in basso accanto all'orologio)?

ad ogni modo leggi qui: http://www.microsoft.com/downloads/details.aspx?FamilyID=ca4eae1f-e591-4d38-894f-fa42367796d4&DisplayLang=it

Si, ho Xp originale e lo aggiorno regolarmente (aggiornamenti automatici).
Ora scarico quel download che mi hai segnalato e vediamo...:D

Mat75

07-10-2007, 20:58

Mi chiede di fare un backup del sistema prima di installarlo...come si fa? Lo devo fare?
Comunque ora purtroppo devo andare, domani torno....:D

Gle:ave: ...non ho parole per ringraziarti...:flower:

Ciao, a domani!!!

Ps Lascio tutto così, senza riattivare il ripristino di configurazione e l'avvio con solo Norton?

Gle89

07-10-2007, 21:02

Mi chiede di fare un backup del sistema prima di installarlo...come si fa? Lo devo fare?
Comunque ora purtroppo devo andare, domani torno....:D

leggi qui per il backup: http://www.microsoft.com/italy/athome/security/update/howbackup.mspx

Ps Lascio tutto così, senza riattivare il ripristino di configurazione e l'avvio con solo Norton?

Si lascia tutto cosi :D Ciao a domani

juninho85

07-10-2007, 21:32

strano, xké una volta l'ho tolto e mi si è corrotto il driver...:confused:

:boh:

xcdegasp

07-10-2007, 21:44

strano, xké una volta l'ho tolto e mi si è corrotto il driver...:confused:
confermo nel dire che non succede assolutamente nulla.. nel caso di ati eviti che ci sia l'icona nella traybar e che ci siano 3 processi attivi :D

paolo-fcb

07-10-2007, 22:06

Per i programmi in avvio devi andare in START - ESEGUI - digita MSCONFIG e premi INVIO... ti si aprirà una finestra... in alto clicca su AVVIO e da li puoi vedere tutti i programmi che partono all avvio.

Madza ti ha chiesto uno screen di quello (che poi si possono vedere da CClenaer come ti ha chiesto in seguito, ma si possono vedere pure da Hijackthis)

Ciao

Non avevo capito 1 mazza....:muro: :)
Ecco sia lo screen come detto da Gle89 sia il file txt da CClenaer
http://img237.imageshack.us/img237/7015/immaginear7.jpg

Ad-Aware 2007
Adobe Flash Player ActiveX
Adobe Photoshop CS
Adobe Shockwave Player
Aggiornamento della protezione per Windows Internet Explorer 7 (KB928090)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB931768)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB933566)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB937143)
Aggiornamento della protezione per Windows Internet Explorer 7 (KB938127)
Aggiornamento della protezione per Windows Media Player 11 (KB936782)
Aggiornamento della protezione per Windows Media Player 6.4 (KB925398)
Aggiornamento della protezione per Windows XP (KB893756)
Aggiornamento della protezione per Windows XP (KB896358)
Aggiornamento della protezione per Windows XP (KB896423)
Aggiornamento della protezione per Windows XP (KB896424)
Aggiornamento della protezione per Windows XP (KB896428)
Aggiornamento della protezione per Windows XP (KB899587)
Aggiornamento della protezione per Windows XP (KB899591)
Aggiornamento della protezione per Windows XP (KB901017)
Aggiornamento della protezione per Windows XP (KB901214)
Aggiornamento della protezione per Windows XP (KB902400)
Aggiornamento della protezione per Windows XP (KB904706)
Aggiornamento della protezione per Windows XP (KB905414)
Aggiornamento della protezione per Windows XP (KB905749)
Aggiornamento della protezione per Windows XP (KB908519)
Aggiornamento della protezione per Windows XP (KB911562)
Aggiornamento della protezione per Windows XP (KB911927)
Aggiornamento della protezione per Windows XP (KB912919)
Aggiornamento della protezione per Windows XP (KB913580)
Aggiornamento della protezione per Windows XP (KB914388)
Aggiornamento della protezione per Windows XP (KB914389)
Aggiornamento della protezione per Windows XP (KB917422)
Aggiornamento della protezione per Windows XP (KB917953)
Aggiornamento della protezione per Windows XP (KB918118)
Aggiornamento della protezione per Windows XP (KB918439)
Aggiornamento della protezione per Windows XP (KB919007)
Aggiornamento della protezione per Windows XP (KB920213)
Aggiornamento della protezione per Windows XP (KB920670)
Aggiornamento della protezione per Windows XP (KB920683)
Aggiornamento della protezione per Windows XP (KB920685)
Aggiornamento della protezione per Windows XP (KB921503)
Aggiornamento della protezione per Windows XP (KB922819)
Aggiornamento della protezione per Windows XP (KB923191)
Aggiornamento della protezione per Windows XP (KB923414)
Aggiornamento della protezione per Windows XP (KB923689)
Aggiornamento della protezione per Windows XP (KB923694)
Aggiornamento della protezione per Windows XP (KB923980)
Aggiornamento della protezione per Windows XP (KB924191)
Aggiornamento della protezione per Windows XP (KB924270)
Aggiornamento della protezione per Windows XP (KB924667)
Aggiornamento della protezione per Windows XP (KB925902)
Aggiornamento della protezione per Windows XP (KB926255)
Aggiornamento della protezione per Windows XP (KB926436)
Aggiornamento della protezione per Windows XP (KB927779)
Aggiornamento della protezione per Windows XP (KB927802)
Aggiornamento della protezione per Windows XP (KB928255)
Aggiornamento della protezione per Windows XP (KB928843)
Aggiornamento della protezione per Windows XP (KB929123)
Aggiornamento della protezione per Windows XP (KB930178)
Aggiornamento della protezione per Windows XP (KB931261)
Aggiornamento della protezione per Windows XP (KB931784)
Aggiornamento della protezione per Windows XP (KB932168)
Aggiornamento della protezione per Windows XP (KB935839)
Aggiornamento della protezione per Windows XP (KB935840)
Aggiornamento della protezione per Windows XP (KB936021)
Aggiornamento della protezione per Windows XP (KB938829)
Aggiornamento per Windows XP (KB894391)
Aggiornamento per Windows XP (KB898461)
Aggiornamento per Windows XP (KB900485)
Aggiornamento per Windows XP (KB904942)
Aggiornamento per Windows XP (KB908531)
Aggiornamento per Windows XP (KB910437)
Aggiornamento per Windows XP (KB911280)
Aggiornamento per Windows XP (KB916595)
Aggiornamento per Windows XP (KB920872)
Aggiornamento per Windows XP (KB922582)
Aggiornamento per Windows XP (KB925720)
Aggiornamento per Windows XP (KB927891)
Aggiornamento per Windows XP (KB929338)
Aggiornamento per Windows XP (KB930916)
Aggiornamento per Windows XP (KB931836)
Aggiornamento per Windows XP (KB933360)
Aggiornamento per Windows XP (KB938828)
Aggiornamento rapido per Windows Media Player 11 (KB939683)
Aggiornamento rapido per Windows XP - KB873339
Aggiornamento rapido per Windows XP - KB885835
Aggiornamento rapido per Windows XP - KB885836
Aggiornamento rapido per Windows XP - KB886185
Aggiornamento rapido per Windows XP - KB887472
Aggiornamento rapido per Windows XP - KB888302
Aggiornamento rapido per Windows XP - KB890859
Aggiornamento rapido per Windows XP - KB891781
Aggiornamento rapido per Windows XP (KB914440)
Ambiente di runtime GTK+ versione 2.10.11 rev b (solo rimozione)
Anonymizer
Anonymizer Anonymous Surfing
Anonymizer Anti-Spyware
Anonymizer Digital Shredder
Anonymizer Nyms
Ashampoo StartUp Tuner 2.00
Ashampoo UnInstaller Platinum 2
Ashampoo WinOptimizer 4.40
a-squared Free 3.0
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Display Driver
AusLogics BoostSpeed
AusLogics Disk Defrag
AVG Anti-Rootkit Free
Avira AntiVir PersonalEdition Classic
Azureus
Blocco popup (Windows Live Toolbar)
Catalyst Control Center Core Implementation
Catalyst Control Center Graphics Full Existing
Catalyst Control Center Graphics Full New
Catalyst Control Center Graphics Light
Catalyst Control Center Graphics Previews Common
CCC Help English
ccc-core-preinstall
ccc-core-static
ccc-utility
CCleaner (remove only)
C-Media 6501 Sound
Creative Media Lite
DAEMON Tools
Disco ricordo HP
Download Accelerator Plus (DAP)
DVD2one V2.0.5
DVDFab Platinum 2.9.5.2
EA SPORTS online 2008
eMule
FIFA 08
Foto e imaging HP 2.0 - All-in-One
Foto e imaging HP 2.0 - All-in-One Drivers
Foto e imaging HP 2.0 - hp psc 1100 series
Foxit PDF Creator
Foxit PDF Editor
Foxit Toolbar
Fraps
FreeRIP v3.02
Google Talk (remove only)
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB926239)
hp psc 1100 series
J2SE Runtime Environment 5.0 Update 11
Java(TM) 6 Update 2
Java(TM) SE Runtime Environment 6 Update 1
Knights Of Honor
LimeWire 4.12.6
Manuale dell'utente Creative ZEN Stone Plus
Menu intelligenti (Windows Live Toolbar)
Messenger Plus! Live
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 - Language Pack (italiano)
Microsoft .NET Framework 2.0 Language Pack - ITA
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 - Language Pack (italiano)
Microsoft .NET Framework 3.0 Italian Language Pack
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (2.0.0.7)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Navigazione a schede (Windows Live Toolbar)
Need for Speed™ Most Wanted
Nero 6 Ultra Edition
NVIDIA Drivers
OneCare Advisor (Windows Live Toolbar)
PerfectDisk
PowerStrip 3 (remove only)
Prevx 2.0 Agent
Privoxy 3.0.6
Pro Evolution Soccer 6
Rilevatore feed (Windows Live Toolbar)
RisiKo! Digital
RisiKo! Digital - Aggiornamento mappe
RisiKo! Update 1.3.0
Sandboxie version 3.01
Security Update per Microsoft .NET Framework 2.0 (KB928365)
Skins
Skype™ 3.5
Spyware Terminator
StarModem USB Network Adapter
ThreatFire 3.0
Tor 0.1.2.14
Unlocker 1.8.4
Vidalia 0.0.11
Virtual Machine Network Services Driver
WebFldrs XP
WinAVIVideoConverter
Windows Clean-Up Pro
Windows Communication Foundation
Windows Communication Foundation Language Pack - ITA
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Favorites per Windows Live Toolbar
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Live Sign-in Assistant
Windows Live Toolbar
Windows Live Toolbar Extension (Windows Live Toolbar)
Windows Live Toolbar per Outlook (Windows Live Toolbar)
Windows Media Format 11 runtime
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (ITA)
Windows Workflow Foundation
Windows Workflow Foundation IT Language Pack
WinRAR gestione archivi
WinUHA 2.0 RC1 (2005.02.27)

paolo-fcb

07-10-2007, 22:13

Provo ad andare per tentativi :D

Scaricati MSNFIX da QUI (http://sosvirus.changelog.fr/MSNFix.zip) sul tuo desktop, una volta decopresso creerà sempre li una cartella.
A questo punto procedi cosi:
1)lancia MSNFix.bat
2)premi I per impostare la lingua e premi invio
3)premi R per cercare il malware
4)premi N per eliminare ciò che trova
5)premi A per creare il log da pubblicare
6)premi R per ripulire il registro ed uscire
7)premi Q per terminare il tool MSNFix

Con il log che ti verrà visualizzato a video, ti verrà detto se è avvenuta o no la rimozione dell'eventuale malware.
MSNFix crea anche un file .zip ,che è nella cartella posizionata sul Desktop insieme al log, che contiene i file rimossi.
Adesso cancella solo il file .zip (NON il log) e svuota il cestino.

Ricorda che:MSNFix, rimuove automaticamente i file infetti potrebbe indicare anche altri file (che di solito si rilevano screen saver non legittim) che di solito vanno eliminati manualmente. Ad ogni modo non cancellare nulla. posta qui il log di MSNFIX.

Ciao

MSNFix 1.539

C:\Documents and Settings\Paolo\Desktop\MSNFix
Fix effettuato il 07/10/2007 - 23.09.08,96 By Paolo
modalità normale

************************ Cercare i files presenti

... C:\WINDOWS\IFinst27.exe

************************ MSNCHK ***** /!\ beta test /!\

************************ Ricerca le cartelle presenti

Nessuna cartella trovata

************************ Eliminazione dei files

.. OK ... C:\WINDOWS\IFinst27.exe

************************ Pulizia del Registro

************************ Files sospetti

Nessun files trovato

I files e le chiavi di registro eliminati sono stati salvati nel file 07102007_23.11.2828.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

p.s. non ho capito granchè......:muro:

Gle89

07-10-2007, 22:24

Paolo

1)disabilita il ripristinio di configurazione del sistema
2)in avvio, potresti togliere TUTTO eccetto l'antivirus e SpywareTerminator e il modem usb
3)ti chiederà di riavvirare e fallo
4)al riavvio metti la spunta all'unica casellina della finestra che ti apparirà e clicca su ok

Puoi postare un nuovo log di HJT e ricordarmi i tuoi problemi?

paolo-fcb

07-10-2007, 23:16

Gle89

07-10-2007, 23:35

Ormai non funziona più nulla, cmq ci provo, grazie Gle

Oramai non funziona piu nulla? cosa non funziona? ti vengono dati degli errori? se si quali?

paolo-fcb

07-10-2007, 23:35

Ormai non funziona più nulla, cmq ci provo, grazie Gle

Fatto ma non mi ha chiesto di riavviare, ma senza ne prevx ne threatfire non resto scoperto sul malware?

Gle hai messenger? Il mio contatto è fckassel69@hotmail.com

Da ultimo: le casse del pc Creative sono zompate, emettono un rumore frusciante molto forte, credo siano bruciate, o forse sono i codec audio nn so......
Gira tutto molto lento.....
Ora faccio un log di hjt

paolo-fcb

07-10-2007, 23:40

Ho anche disinstallato Office2003, vedo che è tornato quel file sul nod32.....:muro:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.39.35, on 08/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Creative\Shared Files\CTDevSrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\Programmi\Prevx2\PXAgent.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ThreatFire\TFService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.prevx.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prevx.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.prevx.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.prevx.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programmi\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programmi\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174439887796
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} (MSN Games – Hearts) - http://zone.msn.com/bingame/zpagames/zpa_hrtz.cab67031.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTDevSrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PREVXAgent - Prevx - C:\Programmi\Prevx2\PXAgent.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
O23 - Service: ThreatFire - PC Tools - C:\Programmi\ThreatFire\TFService.exe

--
End of file - 8729 bytes

Gle89

07-10-2007, 23:41

Fatto ma non mi ha chiesto di riavviare, ma senza ne prevx ne threatfire non resto scoperto sul malware?

Gle hai messenger? Il mio contatto è fckassel69@hotmail.com

Da ultimo: le casse del pc Creative sono zompate, emettono un rumore frusciante molto forte, credo siano bruciate, o forse sono i codec audio nn so......
Gira tutto molto lento.....
Ora faccio un log di hjt

allora lascia o prevx o threatfire...uno dei due :D

a questo punto ti conviene aprire una nuova discussione in "aiuto sono infetto,cosa faccio?" e spiegare per benino quali sono i sintomi e problemi del tuo pc

Sicuramente qualcuno molto più esperto di me, (vedi River,Degasp,Lancetta) ti risponderanno e sapranno aiutarti

paolo-fcb

07-10-2007, 23:50

Ma il log com'è? Credo ci sia qlcosa da fixare.....:rolleyes:

Gle89

08-10-2007, 00:09

Ma il log com'è? Credo ci sia qlcosa da fixare.....:rolleyes:

Lo hai disabilitato vero il ripristinio di configurazione di sistema vero?se no fallo!
Ora vai in modalità provvisoria e fissa con HJT queste voci:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.prevx.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prevx.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.prevx.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.prevx.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programmi\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)

ora usa SPYWARE TERMINATOR: clicca qui per il download (http://dnl.spywareterminator.com/Dnl/config/298/SpywareTerminatorSetup.exe)
Questo software, ti consente, inoltre, di eseguire scansioni anche parziali del sistema, di pianificare scansioni automatiche, e cosa più importante, garantisce una protezione in tempo reale.
Altri suggerimenti ed info in relazione a Spyware Terminator li puoi trovare nel Thread ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=1246338)

segnalaci se trova qualcosa questo antispyware!

EDIT

devi assolutamente AGGIORNARE JAVA :D

paolo-fcb

08-10-2007, 01:11

Lo hai disabilitato vero il ripristinio di configurazione di sistema vero?se no fallo!

L'ho fatto ma non mi ha chiesto di riavviare......

Ora vai in modalità provvisoria e fissa con HJT queste voci:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.prevx.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prevx.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.prevx.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.prevx.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programmi\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)

Perchè in modalità provvisoria?:rolleyes:

ora usa SPYWARE TERMINATOR: clicca qui per il download (http://dnl.spywareterminator.com/Dnl/config/298/SpywareTerminatorSetup.exe)
Questo software, ti consente, inoltre, di eseguire scansioni anche parziali del sistema, di pianificare scansioni automatiche, e cosa più importante, garantisce una protezione in tempo reale.
Altri suggerimenti ed info in relazione a Spyware Terminator li puoi trovare nel Thread ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=1246338)

segnalaci se trova qualcosa questo antispyware!

Spyware terminator l'ho sempre avuto ma al massimo mi trova uno spywarino in un cookie:)

EDIT

devi assolutamente AGGIORNARE JAVA :D

Sto aggiornando. Aggiornato:D

ania

08-10-2007, 01:33

O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm

SE hai installato -come io credo- DAP Download Accelerator Plus, lo rimuoverei e cercherei un'alternativa.

DAP - di certo fino a pochi mesi orsono- onestamente non so se allo stato attuale delle cose sia cambiato qualcosa , è stato ritenuto un programma responsabile di installare spyware.

Ania

paolo-fcb

08-10-2007, 01:51

SE hai installato -come io credo- DAP Download Accelerator Plus, lo rimuoverei e cercherei un'alternativa.

DAP - di certo fino a pochi mesi orsono- onestamente non so se allo stato attuale delle cose sia cambiato qualcosa , è stato ritenuto un programma responsabile di installare spyware.

Ania

Si l'ho installato, lo toglierò grazie Ania

ania

08-10-2007, 02:01

Si l'ho installato, lo toglierò grazie Ania

De nada, DAP è un software che un pò di tempo fà anche io avevo installato e mi fu caldamente suggerito di sbarazzarmene, esattamente per la ragione che ho scritto.

Da quanto ho capito leggendo molto velocemente i post precedenti, come ti ha suggerito Gle89, a breve , aprirai un thread nella sezione "Aiuto sono infetto".

Prova a chiedere conferma in quella sede agli altri che prestano assistenza qui in sezione se quanto io ricordo in merito a DAP è ancora attuale, per certo fino a pochi mesi orsono le cose stavano come ti ho detto, ma vuoi mai che si siano dati una regolata....

Ania

paolo-fcb

08-10-2007, 02:26

Mah non so davvero Ania, io non credo di essere infetsolo che ho il pc che non va.....:cry:

Ecco il nuovo log di HJK

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3.24.58, on 08/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ThreatFire\TFTray.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Creative\Shared Files\CTDevSrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\Programmi\Prevx2\PXAgent.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ThreatFire\TFService.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ThreatFire] C:\Programmi\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174439887796
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} (MSN Games – Hearts) - http://zone.msn.com/bingame/zpagames/zpa_hrtz.cab67031.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTDevSrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PREVXAgent - Prevx - C:\Programmi\Prevx2\PXAgent.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
O23 - Service: ThreatFire - PC Tools - C:\Programmi\ThreatFire\TFService.exe

--
End of file - 7910 bytes

ania

08-10-2007, 08:20

Mah non so davvero Ania, io non credo di essere infetto solo che ho il pc che non va.....:cry:
Ciao ;)
sinceramente nel tuo log non vedo nulla che mi lasci pensare al fatto che il pc sia infetto :boh:.

Però una cosa singolare c'è nel tuo logfile , e questa sì che la trovo anomala, NON vedo traccia del FIREWALL.
Possibile ?

Ti ribadisco dunque il suggerimento di Gle89:
apri un thread nella sezione "Aiuto sono infetto", e descrivi dettagliatamente i problemi che riscontri.

Non so se hai già fatto scansioni antirootkit, anche se è pur vero che Antivir ha un modulo proprio per rilevare e eliminare i rootkits...

Ania

paolo-fcb

08-10-2007, 11:09

Ciao ;)
sinceramente nel tuo log non vedo nulla che mi lasci pensare al fatto che il pc sia infetto :boh:.

Però una cosa singolare c'è nel tuo logfile , e questa sì che la trovo anomala, NON vedo traccia del FIREWALL.
Possibile ?

Ti ribadisco dunque il suggerimento di Gle89:
apri un thread nella sezione "Aiuto sono infetto", e descrivi dettagliatamente i problemi che riscontri.

Non so se hai già fatto scansioni antirootkit, anche se è pur vero che Antivir ha un modulo proprop per rilevare e eliminare i rootkits...

Ania

Il firewall utilizzo quello preimpostato in Windows xp service pack 2; si, scansioni antirootkit le ho fatte con AVG anti-rootkit free e appunto come dici tu c'è AVIRA; cmq stamattina non so cosa sia successo, tranne il messenger funziona tutto, anche le casse acustiche che ieri emettevano uno stridio assordante, io ho solo aggiornato le Java, installato gli ultimi codec audio e fixato le voci che mi avete detto tu e Gle, però non credo di essere infetto, considera che ho: a-squared, spyware terminator, prevx 2.0, threatfire e poi AVIRA come antivirus, tutti aggiornatissimi quindi escludo sia virus che rootkit, è che il mio pc non è propriamente "nuovo" e non viene formattato da parecchio, è a questo che do la colpa delle prestazioni ridotte, anche se però ad esempio ci sono programmi come PES che, ovviamente non settato al massimo ma con dettagli medi, girano benissimo nonostante io abbia una scheda video ATI Radeon 9550 quindi sono al limite.
L'informatica è un mistero, mi piacerebbe essere più bravo ma sono un semplice utente, che devo fà?:)
Cmq ringrazio tutti voi, siete gentilissimi e mi avete aiutato, grazie davvero, Paolo

lancetta

08-10-2007, 11:44

ania

08-10-2007, 12:04

Il firewall utilizzo quello preimpostato in Windows xp service pack 2Uhm, se hai un pochino di tempo a disposizione ed abbastanza interesse e passione, ti suggerirei di installare un buon firewall.

Il mio preferito è Comodo Personal Firewall Pro, che peraltro da anni si aggiudica il primo posto nei test più seri e professionali, guarda qua :
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

Ci sono due ottime guide scritte, una da Amantide per il portale Megalab e l'altra da Angelique per WinInizio, sono certa che leggendotele con calma, riuscirai a configurarlo al meglio, inoltre c'è anche un thread ufficiale dedicato a Comodo su questo stesso forum :
http://www.hwupgrade.it/forum/showthread.php?t=1181836
Comodo personal firewall pro [official Thread]
infine, c'è un forum di supporto dedicato in particolare a Comodo.
Quindi, in caso di dubbi, o bisogno di chiarimenti ed assistenza, non saresti lasciato a te stesso, ma potresti trovare qui, o sul forum di Comodo, di certo utenti generosi e disponibili a condividere con te quanto loro sanno in merito al software.

ti suggerisco questa guida scritta da Amantide redattrice di MegaLab
http://www.megalab.it/articoli.php?id=867

ed anche questo file pdf di cui puoi fare subito il download, e che è la guida scritta da Angelique di WinInizio:
http://forum.wininizio.it/index.php?act=Attach&type=post&id=13881

infine, c'è anche il forum di supporto , ed anche una sezione italiana:
http://forums.comodo.com/italiano_italian-b29.0/

infine, se devi configurare comodo e stabilire le regole relative ad emule, puoi dare uno sguardo anche qui:
http://www.emule.it/guida_emule/config_porte/comodo.asp
si, scansioni antirootkit le ho fatte con AVG anti-rootkit free e appunto come dici tu c'è AVIRA;
volendo, potresti fare uno scan anche con il Panda anti rootkit.

L'informatica è un mistero, mi piacerebbe essere più bravo ma sono un semplice utente, che devo fà?:)
Il bello dei misteri è che ci si può divertire a svelarli.

Le magie non esitono, tutto ha sempre una spiegazione molto logica e del tutto razionale, basta avere la voglia e la pazienza di cercare di capire.

Bravi si può diventarlo, a patto che lo si desideri, e si sia disposti a sacrificare un poco di tempo , fatica, energie.

Tutto ha un prezzo, sempre, sta solo a te stabilire -se e quando e per cosa- vale la pena "pagarlo".

Segui gli ottimi consigli di Lancetta :flower:, che con lui sei in ottime mani.

Ania

paolo-fcb

08-10-2007, 12:07

Ciao paolo..la prima cosa che vedo che la disinstallazione di nod non è andata a buon fine (la voce 023) e questo può essere già problema di conflitti e rallentamenti..un altra cosa..anche i codec spesso danno di questi problemi...
Vedo anche prevx e ThreatFire e manco và bene,o l'uno o l'altro..sono anche in run quindi ulteriore rallentamento.....
per quanto riguarda il messenger prova a reinstallarlo..come stai messo a deframmentazione del pc?è molto importante anche quella se non la fai da tempo.
hai effettuato le varie pulizie temp ed index dat? (ccleaner docet)
Il Dap come ti faceva notare Ania:flower: forse è meglio toglierlo,poichè fino a poco tempo fà installava spyware (sembra che attualmente non lo facciano più,ma te ti fideresti?:fiufiu: )
Per ulteriore sicurezza fai girare scarica elistarA http://www.zonavirus.com/datos/descargas/78/elistara.asp in fondo alla pagina Descargar ElistarA
lancialo, ti farà tre domande all'inizio,rispondi si tranne alla terza,("Quiere eliminar las pàgina de inicio y de busqueda del internet explorer" a questa rispondi no) dopo di chè fagli fare una scansione (Explorar) ..quando termina rilascia un log infosat.txt in C: mi raccomando prima di farlo girare disabilita tutti gli anti qualcosache hai altrimenti vanno in conflitto.

Grazie Lancetta, in effetti non riesco a sbarazzarmi del nod a quanto pare e davvero non so perchè, ho fixato 3 volte quella maledetta voce ma ricompare sempre!:muro: disinstallerò prevx, tanto è scaduto, e tolgo anche DAP; il messenger l'ho disinstallato e rimesso, ho tolto messenger plus e ora mi gira bene. Deframmentazione, pensa che stavo pensando proprio di farla oggi, anche se è difficile scegliere con cosa: io ho auslogics diskdefrag e perfect disk, userò il primo che ci capisco di più; ccleaner si lo uso quotidianamente, poi quotidianamente riparo il registro anche se ancora non ho capito come fare la copia (io l'ultima volta ho fatto start-esegui-regedit, ho cliccato su esporta e salvato il file, circa 100 mega), la deframmentazione del registro 1 volta la settimana, ora provo quella utility che mi hai detto, e provo a rifixare quella voce del nod, grazie mille amico, ciao e.....incrociamo le dita....:)

paolo-fcb

08-10-2007, 12:08

Uhm, se hai un pochino di tempo a disposizione ed abbastanza interesse e passione, io ti suggerirei di installare un buon firewall.

Il mio preferito è Comodo Perfonal Firewall Pro, che peraltro da anni si aggiudica il primo posto nei test più seri e professionali.

Ci sono due ottime guide scritte, una da Amantideper il portale Megalab e l'altra da Angelique per WinInizio, sono certa che leggendotele con calma, riuscirai a configurarlo al meglio, inoltre c'è anche un thread ufficiale dedicato a Comodo su questo stesso forum, infine, c'è un forum di supporto dedicato in particolare a Comodo.

volendo, potrestio fare uno scan anche con il Panda anti rootkit.

Bravi si può diventarlo se lo si desiedra e se si è disposti a sacrificare un poco di tempo , fatica, energie.
Tutto ha un prezzo, sempre, sta solo a te stabilire se vale la pena"pagarlo".

Segui gli ottimi consigli di Lancetta :flower:, che con lui sei in ottime mani.

Ania

Grazie Ania:)

paolo-fcb

08-10-2007, 12:47

ania

08-10-2007, 12:57

Allora, ho disinstallato DAP ma la cartella in programmi non vuole scomparire perchè all'interno di essa c'è un file incancellabile, con unlocker ho trovato che nessun handle lo blocca, provo a spostarlo per poi eliminarlo ma niente da fare, uffa. Prevx non riesco a disinstallarlo perchè nel task manager c'è almeno un'istanza di esso, e non riesco a bannarla, nemmeno in modalità provvisoria, così come quella voce sul nod la fixo ma ricompare sempre. Come fò?:muro:

Parto da prevx 2.0 .
Leggi qui:
http://info.prevx.com/faqp2.asp
copio ed incollo una delle FAQ:

Why can't I uninstall Prevx 2.0?
The most likely cause is that Prevx 2.0 hasn't been shutdown before starting the removal process.

Shutting down is not the same as closing the Console. To shutdown Prevx 2.0, right-click the tray icon and select Shutdown.

To confirm that Prevx 2.0 is not running, start the Windows Task Manager and chack that pxconsole.exe and pxagent.exe are not running.

You cannot manually remove Prevx 2.0 by deleting files/folders as Prevx 2.0 files, registry settings etc. are protected.

If you still cannot remove Prevx 2.0, then try the following:

Download the removal tool from:
http://info.prevx.com/download.asp?grab=PREVX2REMOVAL
Start your computer in Safe Mode.
Shutdown Prexv 2.0 (see above).
Run the removal tool.
Restart your computer.

Hai chiuso il programma, facendo scomparire l'icona dalla systray prima di disinstallarlo dal pannello applicazioni ?

Se avevi seguito la corretta procedura per disinstallare, ma nonostante ciò non hai ottenuto il risultato auspicato, l'uso del tool di rimozione di Prev X 2.0 , di cui puoi fare il download dal sito del produttore, dovrebbe farti risolvere la cosa.

***

DAP
Strano che con Unlocker 1.85 tu non riesca a rimuovere in file.
Hai provato a selezionare diretamente "Elimina" ?
Sinceramente non mi è mai capitato nulla del genere, al massimo mi ha elimiato il file recalcitrante ad essere rimosso al successivo riavvio della macchina.

***

NOD 32
Hai provato a fixare in modalità provvisoria ?

Ania

Gle89

08-10-2007, 13:19

Paolo, come ti ho già detto (e ripetuto Ania) posta in Aiuto sono infetto, anche se NON sei proprio sicuro di esserlo... una controllatina non fa mai male:D

Per Prevx prova prima a toglierlo dall avvio :
1)disabilita il ripristinio di configurazione di sistema
2)START - ESEGUI - MSCONFIG e invio - in alto AVVIO - togli il segno di spunta a PREVX.
3)riavvia e prova a disinstallare

paolo-fcb

08-10-2007, 13:23

Parto da prevx 2.0 .
Leggi qui:
http://info.prevx.com/faqp2.asp
copio ed incollo una delle FAQ:

Hai chiuso il programma, facendo scomparire l'icona dalla systray prima di disinstallarlo dal pannello applicazioni ?

Se avevi seguito la corretta procedura per disinstallare, ma nonostante ciò non hai ottenuto il risultato auspicato, l'uso del tool di rimozione di Prev X 2.0 , di cui puoi fare il download dal sito del produttore, dovrebbe farti risolvere la cosa.

Ora provo col tool di rimozione

*************************

DAP

Strano che con Unlocker 1.85 tu non riesca a rimuovere in file.
Hai provato a selezionare diretamente "Elimina" ?
Sinceramente non mi è mai capitato nulla del genere, al massimo mi ha eleimiato il file recalcitrante ad essere rimosso al successivo riavvio della macchina.

Ho unlocker 1.84, forse col 1.85 risolvo ora lo prendo.

**************************

NOD 32

Hai provato a fixare in modalità provvisoria ?

Si ma non se ne va......:rolleyes:

Ania

Grazie ancora

paolo-fcb

08-10-2007, 13:24

Gle89

08-10-2007, 13:27

Disabilitata, ora provo col msconfig ma prevx non ce l'ho nei programmi di startup......:muro:

Pardon ho fatto confusione :(
Con i suggerimenti di ania non va lo stesso?
Quale è l'errore preciso che ti da?

Alcuni utenti sono entrati in modalità provvisoria con l'utente ADMINISTRATOR ed hanno terminato il processo "PXAgent.exe" e poi hanno potuto disinstallare,provalo!

paolo-fcb

08-10-2007, 13:38

Col tool di rimozione mi da questo errore qui:

http://img528.imageshack.us/img528/2999/immaginexx9.jpg

Non c'è da nessuna parte, nemmeno in msconfig-avvio, davvero insopportabile questo coso utilissimo per 1 mese ma ora da estirpare......

Pardon, avevo obliato di far partire il pc in safe mode che ritengo sia modalità provvisoria, ora provo e vi riferisco.

Ragazzi, io non so davvero come ringraziarvi

Gle89

08-10-2007, 13:42

Alcuni utenti sono entrati in modalità provvisoria con l'utente ADMINISTRATOR ed hanno terminato il processo "PXAgent.exe" e poi hanno potuto disinstallare,provalo!

UP :D

paolo-fcb

08-10-2007, 13:57

Gle89

08-10-2007, 14:02

Prevx2.0: ELIMINATO!!!!!:D
La cartella di DAP sono riuscito a spostarla sul desktop ma 1 file è ancora bloccato, ho pianificato la rimozione al prossimo avvio.

BEne... Adesso quali sono i tuoi problemi? MSN hai risolto?

paolo-fcb

08-10-2007, 14:23

BEne... Adesso quali sono i tuoi problemi? MSN hai risolto?

Si col messenger ora funziona ok anche se un pò lento a connettersi; la cartella di DAP spostata sul desktop è ancora incancellabile però.....:cry:

Purtroppo quella voce del nod in hjt è ancora presente, ho provato a toglierla sia in modalità normale che provvisoria ma nulla da fare, ora posto un nuovo log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.25.40, on 08/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\ThreatFire\TFTray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Creative\Shared Files\CTDevSrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ThreatFire\TFService.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Unlocker\Unlocker.exe
C:\Programmi\Unlocker\Unlocker.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\livecall.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFoxi.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ThreatFire] C:\Programmi\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174439887796
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} (MSN Games – Hearts) - http://zone.msn.com/bingame/zpagames/zpa_hrtz.cab67031.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTDevSrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe (file missing)
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
O23 - Service: ThreatFire - PC Tools - C:\Programmi\ThreatFire\TFService.exe

--
End of file - 7713 bytes

Gle89

08-10-2007, 14:27

Il log è pulito.

Per il DAP prova questo: http://www.ursoftware.com/?ref=g_uninstaller

per il nod32 prova a chiedere qui : http://www.hwupgrade.it/forum/showthread.php?t=1401728

lancetta

08-10-2007, 14:31

Prevx2.0: ELIMINATO!!!!!:D
La cartella di DAP sono riuscito a spostarla sul desktop ma 1 file è ancora bloccato, ho pianificato la rimozione al prossimo avvio.

x Lancetta: Elistara non mi ha trovato nulla...:rolleyes:

se mettevi il log era meglio comunque per Nod prove a reinstallarlo reboot disinstalla reeboot,naturalmente non devi avere altri soft antivirus in run..

@ Gle...credo che SPYWARE TERMINATOR c'è l'abbia già almeno dai log lo vedo......

Gle89

08-10-2007, 16:10

@ Gle...credo che SPYWARE TERMINATOR c'è l'abbia già almeno dai log lo vedo......

vero :ave:

paolo-fcb

08-10-2007, 17:37

Lancetta è che il log dice pochissimo, te lo copio:

Mon Oct 08 16:37:48 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminados Ficheros Temporales del IE

Mon Oct 08 16:37:53 2007
EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

paolo-fcb

08-10-2007, 17:50

Gle89

08-10-2007, 18:03

Ragazzi sono riuscito a togliere quella voce del nod! Come ho fatto? Ci ho pensato un pò e ho fatto msconfig da esegui, sono andato su servizi e ho tolto la spunta alla voce che diceva nodkernel32.exe, ora però ogni volta che avvio mi dice che ho l'avvio selettivo, che faccio me ne frego?

ti da una finestrella con scritto e po in fondo a sinistra una casella per metterci un segno di spunta? se si metti il segno di spunta e non verrà più!

Il file di DAP invece è incancellabile, sta lì sul desktop a rompere i maroni....:muro:

hai provato questo? http://www.ursoftware.com/?ref=g_uninstaller

paolo-fcb

08-10-2007, 19:08

ti da una finestrella con scritto e po in fondo a sinistra una casella per metterci un segno di spunta? se si metti il segno di spunta e non verrà più!

Giusto:)

hai provato questo? http://www.ursoftware.com/?ref=g_uninstaller

Ma io non devo disinstallare un intero programma ma 1 solo file......:rolleyes: :doh: :( :cry: :)

Gle89

08-10-2007, 19:23

Ma io non devo disinstallare un intero programma ma 1 solo file......:rolleyes: :doh: :( :cry: :)

ok, ok non importa fare tutte quelle faccine... Oltre al file del DAP che non riesci a rimuovere c'è qualcos'altro che non va nel tuo pc?

Chill-Out

08-10-2007, 21:04

Ma io non devo disinstallare un intero programma ma 1 solo file......:rolleyes: :doh: :( :cry: :)

Prova con HijackThis -> clicca su Open The Misc Tool Section -> clicca su Delete a file on reboot -> seleziona il file in questione, ti chiederà di riavviare per effettuare la cancellazione

paolo-fcb

08-10-2007, 23:51

Prova con HijackThis -> clicca su Open The Misc Tool Section -> clicca su Delete a file on reboot -> seleziona il file in questione, ti chiederà di riavviare per effettuare la cancellazione

Grazie Chill-Out ci provo:)

Dai Gle le faccine sono nice......:)
Bè, diciamo che in particolare non c'è nulla che proprio non va ma alcune prestazioni mi dicono che sono vicino alla formattazione o peggio al cambio di HD, oggi stavo reinstallando l'Office 2003 e dal cd non venivano letti alcuni files, cioè mi diceva nel processo di inst di inserire il cd col files xxx laddove il file xxx era lì in bella mostra sul cd, mi hanno detto che questo è un sintomo di morte prossima del disco fisso, boh.....:rolleyes:

lancetta

09-10-2007, 10:07

Grazie Chill-Out ci provo:)

Dai Gle le faccine sono nice......:)
Bè, diciamo che in particolare non c'è nulla che proprio non va ma alcune prestazioni mi dicono che sono vicino alla formattazione o peggio al cambio di HD, oggi stavo reinstallando l'Office 2003 e dal cd non venivano letti alcuni files, cioè mi diceva nel processo di inst di inserire il cd col files xxx laddove il file xxx era lì in bella mostra sul cd, mi hanno detto che questo è un sintomo di morte prossima del disco fisso, boh.....:rolleyes:

Effettivamente penso che oltre la deframmentazione ti convenga fare anche uno scandisk..penso pure che hai un pò il registro incasinato con tracce di soft disinstallati...il processo del nod ad esempio è quello principale....se effettivamente sei pulito comincerei a fare subito un back up......

lancetta

09-10-2007, 10:09

vero :ave:

Dai Gle con tutti i log che guardi.........:flower:

cerbert

09-10-2007, 10:15

Buon giorno a tutti,
mi ritrovo un log HT abbastanza anomalo.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.14.32, on 09/10/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
???????????????????????????????
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\PROGRA~1\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
C:\WINNT\System32\vmnat.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\vmnetdhcp.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\D-Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
D:\downloads\cureit.exe
C:\DOCUME~1\cerutti\IMPOST~1\Temp\RarSFX1\_start.exe
C:\DOCUME~1\cerutti\IMPOST~1\Temp\RarSFX1\setup.exe
C:\WINNT\system32\taskmgr.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA34D746-6868-42C3-9350-7762918D5525}: NameServer = 10.10.10.250
O20 - Winlogon Notify: iexplore - red01.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: OracleOraHome9ClientCache - Unknown owner - C:\Programmi\Oracle\OraHome92\BIN\ONRSD.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\OUTPOS~1.0\outpost.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - Unknown owner - C:\WINNT\System32\vmnat.exe

--
End of file - 5657 bytes

La sfilza di punti interrogativi copre, stando a Task Manager, "Services.exe".

Ho fatto una scansione con gmer che mostra anch'esso i punti interrogativi ma non rileva nessun rootkit.
Ho cercato tutti i files "services.exe" e li ho sottoposti ai servizi online-scan, con luce verde su tutti.

Tutto a posto? Non tanto.
La scansione all'avvio di Avast antivirus "freeza" sul file
C:\\winnt\installer\e7b69a.mst (pulito alle scansioni on-line)
La scansione completa di DoctorWeb Cure It crasha in partenza
Il Gromozon removal tool (per dirne uno) pur non rilevando gromozon, se gli si chiede scansione completa crasha durante la scansione della cartella di windows.

Sono eccessivamente paranoico?

juninho85

09-10-2007, 10:20

prova a utilizzare la 1.99.1 anzichè la v2.0.2

cerbert

09-10-2007, 10:31

Logfile of HijackThis v1.99.1
Scan saved at 11.26.14, on 09/10/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
???????????????????????????????
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\PROGRA~1\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
c:\Programmi\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
C:\WINNT\System32\vmnat.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\vmnetdhcp.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\D-Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\HijackThis199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA34D746-6868-42C3-9350-7762918D5525}: NameServer = 10.10.10.250
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: iexplore - red01.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programmi\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: OracleOraHome9ClientCache - Unknown owner - C:\Programmi\Oracle\OraHome92\BIN\ONRSD.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\OUTPOS~1.0\outpost.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Unknown owner - C:\Programmi\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - Unknown owner - C:\WINNT\System32\vmnat.exe

Idem...:help:

juninho85

09-10-2007, 10:43

questo intanto
internat.exe
potrebbe essere maligno,fallo analizzare qui (http://www.virustotal.com/).
potrebbe essere qualche file in esecuzione avente un nome codificato con caratteri non europei

Capitan_J

09-10-2007, 12:16

questo intanto
internat.exe
potrebbe essere maligno,fallo analizzare qui (http://www.virustotal.com/).
potrebbe essere qualche file in esecuzione avente un nome codificato con caratteri non europei

Credo non sia nulla di preoccupante...su win2k è il servizio per le lingue in uso sul pc.

Piuttosto che è sta roba?

???????????????????????????????

un errore di hijack?

cerbert

09-10-2007, 12:33

questo intanto
internat.exe
potrebbe essere maligno,fallo analizzare qui (http://www.virustotal.com/).
potrebbe essere qualche file in esecuzione avente un nome codificato con caratteri non europei

Ecco il risultato dell'analisi:

File internat.exe ricevuto il 2007.10.09 13:22:09 (CET)
Stato corrente: finito
Risultato: 0/32 (0%)

Credo non sia nulla di preoccupante...su win2k è il servizio per le lingue in uso sul pc.

Piuttosto che è sta roba?

???????????????????????????????

un errore di hijack?

Anche grem mi dà la stessa cosa.
Guardando task manager corrisponde a "Services.exe", che però risulta pulito...

Mazda RX8

09-10-2007, 13:52

Ecco il risultato dell'analisi:

Anche grem mi dà la stessa cosa.
Guardando task manager corrisponde a "Services.exe", che però risulta pulito...

prova a fixarlo facendo xò il back-up...

juninho85

09-10-2007, 14:33

Ecco il risultato dell'analisi:

devi pazientare qualche minuto affinchè lo scan finisca :D

paolo-fcb

09-10-2007, 14:34

Effettivamente penso che oltre la deframmentazione ti convenga fare anche uno scandisk..penso pure che hai un pò il registro incasinato con tracce di soft disinstallati...il processo del nod ad esempio è quello principale....se effettivamente sei pulito comincerei a fare subito un back up......

Allora si, ho deframmentato, con auslogics disk defrag, la percentuale era alta, circa il 5%, ora è scesa allo 0,13. Scandisk lo fo subito; registro lo fixo quasi quotidianamente......:cry:
Si, di solito io mi faccio il backup della cartella documenti e di alcune altre cose per non restare fregato, però a proposito: cosa posso usare per fare il backup? Fra i vari nero, ashampoo, eccetera non ci capisco più nulla, io ho nero e uso il burning rom, ma forse dovrei usare il back it up?
Grazie:)

done75

09-10-2007, 14:38

e aggiungo io.... : e per fare backup del registro prima di fixaggi vari ed/od esperimenti e' meglio ERUNT o la funzione ESPORTA dell'editor di registro di windows??

cerbert

09-10-2007, 14:41

devi pazientare qualche minuto affinchè lo scan finisca :D

Ma "Stato Corrente: Finito" non significa appunto che ha finito?
:confused:

Mazda RX8

09-10-2007, 14:45

Ma "Stato Corrente: Finito" non significa appunto che ha finito?
:confused:

si, certo...

juninho85

09-10-2007, 14:45

Ma "Stato Corrente: Finito" non significa appunto che ha finito?
:confused:

scusami,ero in modalità bimbominchia per qualche minuto :D
sì,il file è pulito ;)

prova ad eseguire processxp e vedi a quale e quali file si appoggiano a services.exe

cerbert

09-10-2007, 15:28

scusami,ero in modalità bimbominchia per qualche minuto :D
sì,il file è pulito ;)

prova ad eseguire processxp e vedi a quale e quali file si appoggiano a services.exe

Ecco processxp... sia benedetto Russinovich.
E' definitivo che ????????????????? è, in realtà, services.exe.
Il che mi mette in grossi casini, direi...

juninho85

09-10-2007, 15:35

perchè ti mette nei casini se mi è dato saperlo?:stordita:

cerbert

09-10-2007, 15:42

perchè ti mette nei casini se mi è dato saperlo?:stordita:

Beh... mi sento un po' a disagio a sapere che l'host dei servizi è contrassegnato dal sistema come Mister "???".

Tenendo conto che ieri mi ha shuttato il PC di autorità...
:cry:

juninho85

09-10-2007, 15:48

Beh... mi sento un po' a disagio a sapere che l'host dei servizi è contrassegnato dal sistema come Mister "???".

Tenendo conto che ieri mi ha shuttato il PC di autorità...
:cry:

in tal caso potrebbe esser cazzi sì...:D
evidenziando il file services.exe,nella casellla di sotto dovresti trovare indicati tutti i file a cui si appoggia....verifica che non ci sia qualcosa di anomalo

cerbert

09-10-2007, 16:19

Niente di anomalo, un po' di DLL di sistema, un po' di files .evt per l'event logging, un po' di file .nls per la localizzazione... e poi, ovviamente, l'immancabile ????????????????
:muro:

ADDENDUM: ho convinto "con le buone" services.exe a ricaricarsi (leggi: l'ho killato di autorità, buttando giù il PC come conseguenza) e al riavvio si è presentato finalmente con il suo nome... i riavvii più "soft" non avevano dato lo stesso risultato... niente di meglio di un po' di sana violenza...
:grrr:

Mazda RX8

09-10-2007, 17:34

Tenendo conto che ieri mi ha shuttato il PC di autorità...
:cry:

nn sei + amministratore??

paolo-fcb

09-10-2007, 22:07

Ragazzi, Lancetta in particolare, come lo scanno il disk? Se faccio risorse del computer-c-mouse dx-proprietà-strumenti-esegui scandisk non fa una mazza, se gli dico di controllare mettendo la spunta si impianta tutto e occupa il 100% dell'utilizzo cpu (lo vedo dal task manager), ci sono altri strumenti o programmi per fare lo scandisk? Io ricordo che nel vecchio caro win98 lo faceva all'avio di winzozz dal dos durante il boot, in xp è come se questa cosa non esistesse (esattamente come il defrag). Che devo fà? Sono letteralmente distrutto, e non solo per il pc, ci mancherebbe altro....:( :cry: :muro: :mbe: :mc: :help:

Riverside

09-10-2007, 22:30

Ragazzi, Lancetta in particolare, come lo scanno il disk? Se faccio risorse del computer-c-mouse dx-proprietà-strumenti-esegui scandisk non fa una mazza, se gli dico di controllare mettendo la spunta .......
Metti la spunta sulla prima voce:

http://img116.imageshack.us/img116/7103/screenshot071ta0.jpg

e clicca su Avvia
Ti verrà richiesto il riavvio di sistema.
Una volta riavviato si eseguirà il logon e, subito dopo, partiranno le tre fasi dello Scandisk.
Se non sbaglio (almeno leggendo i tuoi precedenti post) dovresti aver installato dei programmi per eseguire la deframmentazione (tipo Diskeeper); se fosse cosi, prima disinstallali.

xcdegasp

09-10-2007, 22:43

Riverside

09-10-2007, 23:11

ADDENDUM: ho convinto "con le buone" services.exe a ricaricarsi (leggi: l'ho killato di autorità, buttando giù il PC come conseguenza) e al riavvio si è presentato finalmente con il suo nome... i riavvii più "soft" non avevano dato lo stesso risultato... niente di meglio di un po' di sana violenza...
Ciao cerbert, riposti per favore il log di Hthis, dopo

● aver disabilitato il Ripristino configurazione di sitema;
● aver installato la versione aggiornata di JavaSun;
● aver eseguito l'aggiornamento di I.E.;
● ed aver fatto un giro con:
ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

paolo-fcb

09-10-2007, 23:11

Metti la spunta sulla prima voce:

http://img116.imageshack.us/img116/7103/screenshot071ta0.jpg

e clicca su Avvia
Ti verrà richiesto il riavvio di sistema.
Una volta riavviato si eseguirà il logon e, subito dopo, partiranno le tre fasi dello Scandisk.
Se non sbaglio (almeno leggendo i tuoi precedenti post) dovresti aver installato dei programmi per eseguire la deframmentazione (tipo Diskeeper); se fosse cosi, prima disinstallali.

Ho messo la spunta li' ma mi da errore....:(

http://img77.imageshack.us/img77/2065/immaginetu7.jpg

E poi cavolo River, disinstallare auslogics diskdefrag e perfect disk? Così mi uccidi....:cry:

juninho85

09-10-2007, 23:14

clicca su si

juninho85

09-10-2007, 23:14

Se non sbaglio (almeno leggendo i tuoi precedenti post) dovresti aver installato dei programmi per eseguire la deframmentazione (tipo Diskeeper); se fosse cosi, prima disinstallali.
perchè?

paolo-fcb

09-10-2007, 23:24

ok, però mi cago sotto ogni volta che devo fare ste cose.....ora sto facendo una scansione con Elistara ma a me il log me lo da senza riavviare e non dice nulla, da quanto ho capito se non trova nessun ficheros infectados è tutto ok correggetemi se sbaglio.....:rolleyes: :help: :muro:

Riverside

09-10-2007, 23:42

paolo-fcb

09-10-2007, 23:46

Clicca su si :mad: e riavvia (te lo avevo anche detto).
EliStartA non era per te.

Elistarta me lo aveva consigliato LANCETTA (ribadisco: LANCETTA, mica pizza e fichi!) 3 pagine fa.....e poi perchè quella faccia arrabbiata?:confused:

Riverside

10-10-2007, 00:07

Elistarta me lo aveva consigliato LANCETTA (ribadisco: LANCETTA, mica pizza e fichi!) 3 pagine fa.....e poi perchè quella faccia arrabbiata?:confused:
Vuoi eseguire lo scandisk?? altrimenti perdiamo solo del tempo (tu ed io).

paolo-fcb

10-10-2007, 00:14

Fatto lo scandisk, non mi ha rilevato nulla, ora che devo fà?:)

Vabbè per tornare in tema posto il mio ultimo log di hjt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.13.29, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Creative\Shared Files\CTDevSrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ThreatFire\TFTray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ThreatFire\TFService.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\MSN Messenger\livecall.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFox1.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFox1.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ThreatFire] C:\Programmi\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174439887796
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} (MSN Games – Hearts) - http://zone.msn.com/bingame/zpagames/zpa_hrtz.cab67031.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTDevSrv.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
O23 - Service: ThreatFire - PC Tools - C:\Programmi\ThreatFire\TFService.exe

--
End of file - 8048 bytes

E' pulito? Spero.....:(

Riverside

10-10-2007, 00:23

Fatto lo scandisk, non mi ha rilevato nulla, ora che devo fà?:) Vabbè per tornare in tema posto il mio ultimo log di hjt
Direi che è ora di cambiare, completamente, tema (anche perchè, credo, questo sia il decimo log di Hthis che pubblichi e, ci giri, ancora, attorno).
Quindi, facciamo una cosa fatta bene; apri una nuova discussione in questa Sezione: http://www.hwupgrade.it/forum/forumdisplay.php?f=125
e, evitando di perderti in 300 post, spieghi, esattamente che problemi avrebbe il tuo P.C. -.
Poi, vedremo come procedere.

cerbert

10-10-2007, 09:25

Ciao cerbert, riposti per favore il log di Hthis, dopo

Ciao,
grazie per la disponibilità, purtroppo il PC non è il mio ma viene usato per lo sviluppo e la manutenzione di un progetto "legacy"... quindi gli aggiornamenti che posso fare sono limitati.

● aver disabilitato il Ripristino configurazione di sitema;

Su W2K non mi pare sia attiva.

● aver installato la versione aggiornata di JavaSun;

verifico se è permesso, ma potrebbe darsi di no.

● aver eseguito l'aggiornamento di I.E.;

Non usiamo IE.

● ed aver fatto un giro con:
ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

Ti tengo aggiornato.

ADDENDUM: no, purtroppo non posso fare gli aggiornamenti che mi hai richiesto. Fortunatamente a breve arriverà il mio PC nuovo e questa macchina tornerà ad essere una ciofeca da accendere di tanto in tanto. Ringrazio per l'aiuto che mi avete dato.

paolo-fcb

10-10-2007, 09:28

River, ma io so cosa ha che non va il mio pc: è semplicemente un pò "datato" e l'HD non risponde più molto bene, non credo che una semplice formattazione risolverebbe granchè, formattazione che sto cercando di rinviare il più possibile; ora cmq seguirò il tuo consiglio, però è difficile per me che non sono esperto descrivere i problemi del mio pc, cmq lo farò, grazie e buona giornata, Paolo:)

Eddie666

10-10-2007, 14:15

salve ragazzi; ho un problema con un malware che non riesco ad eliminare "TR/Dldr.ConHook.Gen"..avira mi rileva il file infetto (sperando sia solo quello), e cioè ssqpm.dll (locato in C:\windows\system32),ma no nriesce ad eliminarlo. intanto ecco il log di HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.53.41, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\PowerISO\PWRISOVM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\NextSensor\NxSensor.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B9ECF81-666D-4B07-A71C-CEDCBD50B4F4} - C:\WINDOWS\system32\xxywtuv.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {F444AD01-FE04-4923-981E-745AB4AC71AF} - C:\WINDOWS\system32\ssqpm.dll
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [mwqiotbg] C:\ndrwobhn.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NxSensor.lnk = C:\Programmi\NextSensor\NxSensor.exe
O4 - Global Startup: updspl.lnk = C:\Programmi\PDF4free\updspl\UpdSpl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189786561781
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://irastrana.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FDCCB93-A2A4-4A1F-B545-171878AD38A8}: NameServer = 193.12.150.2,212.247.152.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{3FDCCB93-A2A4-4A1F-B545-171878AD38A8}: NameServer = 193.12.150.2,212.247.152.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{3FDCCB93-A2A4-4A1F-B545-171878AD38A8}: NameServer = 193.12.150.2,212.247.152.2
O20 - Winlogon Notify: xxywtuv - C:\WINDOWS\SYSTEM32\xxywtuv.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 7559 bytes

Mazda RX8

10-10-2007, 14:40

cancella qsti:

O2 - BHO: (no name) - {4B9ECF81-666D-4B07-A71C-CEDCBD50B4F4} - C:\WINDOWS\system32\xxywtuv.dll
O2 - BHO: (no name) - {F444AD01-FE04-4923-981E-745AB4AC71AF} - C:\WINDOWS\system32\ssqpm.dll
O20 - Winlogon Notify: xxywtuv - C:\WINDOWS\SYSTEM32\xxywtuv.dll

paolo-fcb

10-10-2007, 14:45

Il mio era pulito? Cmq seguendo i vostri consigli ho aperto un topic nella sezione aiuto sono infetto, ora vediamo, lunga vita a PES6.....si lo so non c'entra una mazza ma ho sempre sognato di dirlo......:) :p :muro: :Prrr: :doh: :banned:

Gle89

10-10-2007, 15:00

Eddie666

prima di tutto se hai attivo il Ripristinio di Configurazione di sistema, DISABILITALO.

adesso fixa queste voci:

O2 - BHO: (no name) - {4B9ECF81-666D-4B07-A71C-CEDCBD50B4F4} - C:\WINDOWS\system32\xxywtuv.dll
O2 - BHO: (no name) - {F444AD01-FE04-4923-981E-745AB4AC71AF} - C:\WINDOWS\system32\ssqpm.dll
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [mwqiotbg] C:\ndrwobhn.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: updspl.lnk = C:\Programmi\PDF4free\updspl\UpdSpl.exe
O20 - Winlogon Notify: xxywtuv - C:\WINDOWS\SYSTEM32\xxywtuv.dll
O17 - HKLM\System\CS1\Services\Tcpip\..\{3FDCCB93-A2A4-4A1F-B545-171878AD38A8}: NameServer = 193.12.150.2,212.247.152.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{3FDCCB93-A2A4-4A1F-B545-171878AD38A8}: NameServer = 193.12.150.2,212.247.152.2

poi fai pulizia con CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

Adesso fai una bella scansione con A-SQUARED: (che puoi scaricare dalla mia firma) , installalo, eseguilo, aggiornalo (è importantissimo) e avvia la scansione DEEP SCAN.

Alla fine posta un nuovo log di HJT

juninho85

10-10-2007, 15:09

mi pare si tratti del virtumonde

Eddie666

10-10-2007, 16:03

Rieccomi...il problema erano le due dll "ssqpm" e "xxywtuv"; una volta eliminate le stesse grazie ad "avenger" il problema si è risolto, ho cmq seguito i vostri consigli e alcune voci di programmi regolari sono state cancellate,per cui li stò ripristinando; ecco cmq il log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmi\NextSensor\NxSensor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NxSensor.lnk = C:\Programmi\NextSensor\NxSensor.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189786561781
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://irastrana.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76C5C01A-0F87-42F8-B5C2-3FB6EF2B1ECB}: NameServer = 193.12.150.2,212.247.152.2
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 6050 bytes

Mazda RX8

10-10-2007, 16:22

togli qsta:

C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32Info.exe

Eddie666

10-10-2007, 16:27

togli qsta:

C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32Info.exe

come mai? non è legata ad acrobate reader 8?

Gle89

10-10-2007, 17:56

come mai? non è legata ad acrobate reader 8?

il log è pulito, non devi fixare quella voce

Ciao :D

anthonykiedis

10-10-2007, 19:20

ciao, mi dareste gentilmente un'occhiata a questo:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.14.06, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\eMule0.48a\eMule0.48a-ScarAngel_v2.3-bin\emule.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Hijackthis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)
O1 - Hosts: 67.15.57.172 auto.search.msn.com #NETVISION
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {29797771-6804-4D03-B591-F2E94382F5B2} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\C\Desktop\T487AF1.exe" -scan
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: *.doginhispen.com
O15 - Trusted Zone: *.whataboutadog.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4F6C03A-655F-4500-BC03-E8A8EB1E5DBC}: NameServer = 85.37.17.9 85.38.28.75
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmi\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

Bugs Bunny

10-10-2007, 19:30

O1 - Hosts: 67.15.57.172 auto.search.msn.com #NETVISION

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: (no name) - {29797771-6804-4D03-B591-F2E94382F5B2} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)

O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\C\Desktop\T487AF1.exe" -scan

O15 - Trusted Zone: *.doginhispen.com

O15 - Trusted Zone: *.whataboutadog.com

O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - hxxps://media.pineconeresearch.com/A...oadcontrol.cab

che obfuscated abbia sostituito whataboutrabit con doginhispen? dopo lo controllo

Gle89

10-10-2007, 19:42

anthonykiedis

manca il pezzo iniziale del log che inizia per:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.53.41, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

prima di fixare quelle voci che ti sono state dette, disabilita se lo hai attivo, il ripristino di configurazione di sistema

inoltre dopo aver fixiato fai pulizia con CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

inoltre devi assolutamente AGGIORNARE JAVA, hai una versione vecchia da morire (pannello controllo - java - in alto aggiornamento - aggiorna adesso e segui le istruzioni)

Alla fine riavvia e posta un nuovo log di HJT

juninho85

10-10-2007, 19:51

che obfuscated abbia sostituito whataboutrabit con doginhispen? dopo lo controllo
basta questo "whataboutadog.com" ;)

anthonykiedis posta un log di FindAWF così ripristiniamo i backup degli eseguibili....no,non fare domande per ora :O

Mazda RX8

10-10-2007, 20:02

come mai? non è legata ad acrobate reader 8?

si, ma è inutile...;)

anthonykiedis

10-10-2007, 20:06

ciao ecco quello che mi avevi chiesto, non ci capisco niente, ma mi sa che è preoccupante sta roba.

Find AWF report by noahdfear ©2006
Version 1.40

bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\WINDOWS\BAK

11/05/2000 03.00 90.112 UpdReg.EXE
1 File 90.112 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\ANTIVI~1\BAK

09/09/2007 07.55 249.896 avgnt.exe
1 File 249.896 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\ITUNES\BAK

26/09/2007 14.42 267.064 iTunesHelper.exe
1 File 267.064 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\QUICKT~1\BAK

10/10/2007 18.38 28.172 qttask.exe
1 File 28.172 byte
3 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\WINDOWS\SYSTEM32\BAK

09/07/2001 12.50 155.648 NeroCheck.exe
1 File 155.648 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\ALICET~1\SMARTB~1\BAK

21/04/2006 15.41 438.359 MotiveSB.exe
1 File 438.359 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

23/02/2005 18.19 53.248 DVDLauncher.exe
1 File 53.248 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\DELL\MEDIAE~1\BAK

27/01/2005 03.02 86.016 DMXLauncher.exe
1 File 86.016 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\GRISOFT\AVGANT~1.5\BAK

20/07/2007 12.21 6.731.312 avgas.exe
1 File 6.731.312 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\INTEL\INTELM~1\BAK

17/06/2005 09.56 139.264 iaanotif.exe
1 File 139.264 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

18/06/2007 15.10 271.360 LaunchApplication.exe
1 File 271.360 byte
2 Directory 143.776.677.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\QUICKT~1\BAK\BAK

29/06/2007 06.24 286.720 qttask.exe
1 File 286.720 byte
2 Directory 143.776.673.792 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\WINDOWS\SYSTEM32\DLA\BAK

25/03/2004 03.04 122.939 tfswctrl.exe
1 File 122.939 byte
2 Directory 143.776.673.792 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\DVDAUDIO\BAK

18/06/2003 03.00 45.056 CTDVDDET.EXE
1 File 45.056 byte
2 Directory 143.776.673.792 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\SURROU~1\BAK

17/09/2003 12.43 57.344 CTSysVol.exe
1 File 57.344 byte
2 Directory 143.776.673.792 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\BAK

20/03/2006 17.34 86.960 issch.exe
1 File 86.960 byte
2 Directory 143.776.673.792 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\FILECO~1\SONIC\UPDATE~1\BAK

19/08/2003 02.01 110.592 sgtray.exe
1 File 110.592 byte
2 Directory 143.776.673.792 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\PROGRA~1\JAVA\JRE15~1.0_0\BIN\BAK

10/11/2005 14.03 36.975 jusched.exe
1 File 36.975 byte
2 Directory 143.776.673.792 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98AD-DF38

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

08/02/2005 06.00 98.304 E_FATIACE.EXE
1 File 98.304 byte
2 Directory 143.776.673.792 byte disponibili

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

28172 10 Oct 2007 "C:\WINDOWS\UpdReg.EXE"
90112 11 May 2000 "C:\WINDOWS\bak\UpdReg.EXE"
28172 10 Oct 2007 "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe"
249896 9 Sep 2007 "C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe"
28172 10 Oct 2007 "C:\Programmi\iTunes\iTunesHelper.exe"
116024 12 Jul 2007 "C:\Programmi\Apple Software Update\Packages\iTunesSetupAdmin.exe"
267064 26 Sep 2007 "C:\Programmi\iTunes\bak\iTunesHelper.exe"
102400 29 Sep 2007 "C:\WINDOWS\Installer\{B045B608-4A47-4C77-9EAD-06C394503306}\iTunesIco.exe"
116024 29 Sep 2007 "C:\Documents and Settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\iTunes 7.4.3.1\iTunesSetupAdmin.exe"
116024 15 Sep 2007 "C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\78BA28C3\iTunesSetupAdmin[1].exe"
116024 3 Aug 2007 "C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\8T2RCXER\iTunesSetupAdmin[1].exe"
116024 22 Sep 2007 "C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\OHE341YR\iTunesSetupAdmin[1].exe"
28176 2 Oct 2007 "C:\Programmi\QuickTime\qttask.exe"
28172 10 Oct 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
286720 29 Jun 2007 "C:\Programmi\QuickTime\bak\bak\qttask.exe"
28176 2 Oct 2007 "C:\Programmi\QuickTime\qttask.exe"
28172 10 Oct 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
286720 29 Jun 2007 "C:\Programmi\QuickTime\bak\bak\qttask.exe"
28172 10 Oct 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
28172 10 Oct 2007 "C:\Programmi\Alice ti aiuta\SmartBridge\MotiveSB.exe"
438359 21 Apr 2006 "C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe"
28172 10 Oct 2007 "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe"
53248 23 Feb 2005 "C:\Programmi\CyberLink\PowerDVD\bak\DVDLauncher.exe"
28172 10 Oct 2007 "C:\Programmi\Dell\Media Experience\DMXLauncher.exe"
86016 27 Jan 2005 "C:\Programmi\Dell\Media Experience\bak\DMXLauncher.exe"
6731312 11 Jun 2007 "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe"
6731312 20 Jul 2007 "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\bak\avgas.exe"
28172 10 Oct 2007 "C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe"
139264 17 Jun 2005 "C:\Programmi\Intel\Intel Matrix Storage Manager\bak\iaanotif.exe"
28172 10 Oct 2007 "C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe"
271360 18 Jun 2007 "C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe"
28176 2 Oct 2007 "C:\Programmi\QuickTime\qttask.exe"
28172 10 Oct 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
286720 29 Jun 2007 "C:\Programmi\QuickTime\bak\bak\qttask.exe"
28172 10 Oct 2007 "C:\WINDOWS\system32\dla\tfswctrl.exe"
122939 25 Mar 2004 "C:\WINDOWS\system32\dla\bak\tfswctrl.exe"
122939 25 Mar 2004 "C:\Programmi\Sonic\MyDVD Studio Deluxe Suite\DLA\install\tfswctrl.exe"
28172 10 Oct 2007 "C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"
45056 18 Jun 2003 "C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\bak\CTDVDDET.EXE"
28172 10 Oct 2007 "C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe"
57344 17 Sep 2003 "C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\bak\CTSysVol.exe"
28172 10 Oct 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe"
86960 20 Mar 2006 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe"
28172 10 Oct 2007 "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe"
110592 19 Aug 2003 "C:\Programmi\File comuni\Sonic\Update Manager\bak\sgtray.exe"
32881 19 Nov 2003 "C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe"
28172 10 Oct 2007 "C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe"
36975 10 Nov 2005 "C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe"
28172 10 Oct 2007 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIACE.EXE"
98304 8 Feb 2005 "C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx380035be\E_FATIACE.EXE"
98304 8 Feb 2005 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE"

end of report

Gle89

10-10-2007, 20:30

Ok, per il post aspetta juninho85 per ora fai queste cose come ti avevo già suggerito prima
anthonykiedis

manca il pezzo iniziale del log che inizia per:

prima di fixare quelle voci che ti sono state dette, disabilita se lo hai attivo, il ripristino di configurazione di sistema

inoltre dopo aver fixiato fai pulizia con CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

inoltre devi assolutamente AGGIORNARE JAVA, hai una versione vecchia da morire (pannello controllo - java - in alto aggiornamento - aggiorna adesso e segui le istruzioni)

Alla fine riavvia e posta un nuovo log di HJT

juninho85

10-10-2007, 20:44

esegui avenger (http://www.megalab.it/articoli.php?id=946) con questo script:

Files to move:
C:\WINDOWS\bak\UpdReg.EXE | C:\WINDOWS\UpdReg.EXE
C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.ex e| C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\bak\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe | C:\Programmi\Alice ti aiuta\SmartBridge\MotiveSB.exe
C:\Programmi\CyberLink\PowerDVD\bak\DVDLauncher.exe | C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programmi\Dell\Media Experience\bak\DMXLauncher.exe | C:\Programmi\Dell\Media Experience\DMXLauncher.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\bak\avgas.exe | C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\bak\iaanotif.exe | C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe | C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\dla\bak\tfswctrl.exe | C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\bak\CTDVDDET.EXE | C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\bak\CTSysVol.exe | C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe | C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\Sonic\Update Manager\bak\sgtray.exe | C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIACE.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE| C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx380035be\E_FATIACE.EXE
C:\WINDOWS\system32\dla\bak\tfswctrl.exe | C:\Programmi\Sonic\MyDVD Studio Deluxe Suite\DLA\install\tfswctrl.exe

non mi è chiaro però dove si trovano gli exe originali di
C:\Programmi\Apple Software Update\Packages\iTunesSetupAdmin.exe e
C:\WINDOWS\Installer\{B045B608-4A47-4C77-9EAD-06C394503306}\iTunesIco.exe

fatto questo posti il log di avenger

anthonykiedis

11-10-2007, 06:59

ciao, prima di tutto devo ringraziarvi perchè siete davvero gentili ad aiutarmi, sopprattutto perchè non ci capisco molto di queste cose.

allora cercando di sfruttare tutti i vostri consigli ho scaricato ccleaner, e ho inserito le impostazioni suggerite.

poi per quanto riguarda avenger, avevo trovato una piccola guida, dove però come mi aspettavo non ci ho capito quasi niente.

l'unica cosa che mi sembra di capire e che in avengere devo inserire in ordine

file to delete
file to remove

è giusto quello che ho capito, per cui devo copiare lo script che mi avete gentilmente postato ed inserirlo in avenger?

grazie

juninho85

11-10-2007, 07:22

poi per quanto riguarda avenger, avevo trovato una piccola guida, dove però come mi aspettavo non ci ho capito quasi niente.

l'unica cosa che mi sembra di capire e che in avengere devo inserire in ordine

file to delete
file to remove

è giusto quello che ho capito, per cui devo copiare lo script che mi avete gentilmente postato ed inserirlo in avenger?

grazie

non devi fare altro che aprire avenger e inputare manualmente lo script che ti ho messo sopra,non preoccuparti del resto

anthonykiedis

11-10-2007, 07:50

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\sqmyicqi

*******************

Script file located at: \??\C:\Documents and Settings\bkgsobsw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\bak\UpdReg.EXE|C:\WINDOWS\UpdReg.EXE completed successfully.

File C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.ex e not found!
File move operation C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.ex e|C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe failed!

Could not process line:
C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.ex e|C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
Status: 0xc0000034

File move operation C:\Programmi\iTunes\bak\iTunesHelper.exe|C:\Programmi\iTunes\iTunesHelper.exe completed successfully.
File move operation C:\Programmi\QuickTime\bak\bak\qttask.exe|C:\Programmi\QuickTime\qttask.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.
File move operation C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe|C:\Programmi\Alice ti aiuta\SmartBridge\MotiveSB.exe completed successfully.
File move operation C:\Programmi\CyberLink\PowerDVD\bak\DVDLauncher.exe|C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe completed successfully.
File move operation C:\Programmi\Dell\Media Experience\bak\DMXLauncher.exe|C:\Programmi\Dell\Media Experience\DMXLauncher.exe completed successfully.
File move operation C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\bak\avgas.exe|C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe completed successfully.
File move operation C:\Programmi\Intel\Intel Matrix Storage Manager\bak\iaanotif.exe|C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe completed successfully.
File move operation C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe|C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe completed successfully.
File move operation C:\WINDOWS\system32\dla\bak\tfswctrl.exe|C:\WINDOWS\system32\dla\tfswctrl.exe completed successfully.
File move operation C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\bak\CTDVDDET.EXE|C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE completed successfully.
File move operation C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\bak\CTSysVol.exe|C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe completed successfully.
File move operation C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe|C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe completed successfully.
File move operation C:\Programmi\File comuni\Sonic\Update Manager\bak\sgtray.exe|C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe completed successfully.
File move operation C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe|C:\Programmi\Java\jre1.5.0_06\bin\bak\jusched.exe completed successfully.
File move operation C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIACE.EXE completed successfully.

File C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE not found!
File move operation C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx380035be\E_FATIACE.EXE failed!

Could not process line:
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx380035be\E_FATIACE.EXE
Status: 0xc0000034

File C:\WINDOWS\system32\dla\bak\tfswctrl.exe not found!
File move operation C:\WINDOWS\system32\dla\bak\tfswctrl.exe|C:\Programmi\Sonic\MyDVD Studio Deluxe Suite\DLA\install\tfswctrl.exe failed!

Could not process line:
C:\WINDOWS\system32\dla\bak\tfswctrl.exe|C:\Programmi\Sonic\MyDVD Studio Deluxe Suite\DLA\install\tfswctrl.exe
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

juninho85

11-10-2007, 07:55

riesegui con questo script:
Files to move:
C:\WINDOWS\system32\dla\bak\tfswctrl.exe | C:\Programmi\Sonic\MyDVD Studio Deluxe Suite\DLA\install\tfswctrl.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx380035be\E_FATIACE.EXE
C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe | C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe

anthonykiedis

11-10-2007, 08:04

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rypybrpf

*******************

Script file located at: \??\C:\Program Files\bttmxubm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\dla\bak\tfswctrl.exe not found!
File move operation C:\WINDOWS\system32\dla\bak\tfswctrl.exe|C:\Programmi\Sonic\MyDVD Studio Deluxe Suite\DLA\install\tfswctrl.exe failed!

Could not process line:
C:\WINDOWS\system32\dla\bak\tfswctrl.exe|C:\Programmi\Sonic\MyDVD Studio Deluxe Suite\DLA\install\tfswctrl.exe
Status: 0xc0000034

File C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE not found!
File move operation C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx380035be\E_FATIACE.EXE failed!

Could not process line:
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIACE.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx380035be\E_FATIACE.EXE
Status: 0xc0000034

File move operation C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe|C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe completed successfully.

Completed script processing.

*******************

Finished! Terminate.

juninho85

11-10-2007, 08:13

fai una ricerca con la funzione di windows e indicami i percorsi esatti in cui si trovano tutti i seguenti file(anche se ripetuti):
tfswctrl.exe
E_FATIACE.EXE
iTunesIco.exe
iTunesSetupAdmin.exe

anthonykiedis

11-10-2007, 08:22

tfswctrl.exe

c:\i386
avenger
c:\WINDOWS\system32\dla
c:\Programmi\Sonyc\MyDVD Studio Deluxe Suite\DLA\install

E_FATIACE.EXE

avenger
c:\WINDOWS\system32\spool\drivers\w32x86\3
c:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx380035be

iTunesIco.exe

nessuna voce

iTunesSetupAdmin.exe

nessuna voce

juninho85

11-10-2007, 08:27

per sicurezza reinstalla sia MyDVD Studio Deluxe Suite sia i driver della epson

anthonykiedis

11-10-2007, 08:28

sei stato davvero gentile.

grazie

lo_straniero

11-10-2007, 15:41

raga ho questo virus tr/dldr.conhook.gen e il cesso di avira non riesce ad eliminare :rolleyes: :rolleyes: dandomi 1000000000000000000 finestre sempre uguali (parlo di avira) :rolleyes:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.38.36, on 11/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\__GameS__\medal airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pack.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\yqkjfhoi.dll",sitypnow
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{57F6F824-557B-480D-900B-60C81D672323}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{57F6F824-557B-480D-900B-60C81D672323}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\atsymtdo.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\__GameS__\medal airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5760 bytes

sono nelle vostre mani

Riverside

11-10-2007, 15:51

raga ho questo virus

Disabilita il ripristino configurazione di sitema, e fixa:

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\yqkjfhoi.dll",sitypnow

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\atsymtdo.exe (file missing)

installa JAVASUN: clicca qui per il download (http://www.java.com/it/)

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

lo_straniero

11-10-2007, 17:54

Disabilita il ripristino configurazione di sitema, e fixa:

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\yqkjfhoi.dll",sitypnow

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\atsymtdo.exe (file missing)

installa JAVASUN: clicca qui per il download (http://www.java.com/it/)

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

Thu Oct 11 17:16:21 2007
EliStartPage v14.81 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
grazie mille ho fatto tutto come mi hai detto...ma il problema persiste

grazie per la pazienza :cry:

Riverside

11-10-2007, 18:51

grazie mille ho fatto tutto come mi hai detto...ma il problema persiste
Per favore, riposta il log di Elistarta, però questa volta, completo.
E poi riposta un nuovo log di HThis.
La scansione con Asquared, che risultati ha dato?.
Vorrei risolvere questa questione visto che è dal 21 settembre che convivi con quel trojan.

paolo-fcb

11-10-2007, 18:58

@ Riverside

Scusa se mi intrometto; anche io ho ELISTARTA ma non ho ancora capito come si crea il log, cioè una volta che clicco su "salir" si chiude e mi crea un file txt in risorse del computer-c, ma praticamente non dice nulla.
Sono io che sbaglio qualcosa? Oppure dipende da come rispondi alle 3 domande? Io ho seguito i consigli dati qui, 2 si e un no, ma il log mi vengono fuori 5 righe in spagnolo castigliano assolutamente che non dicono una mazza.....:rolleyes: :muro: :D

lo_straniero

11-10-2007, 19:13

Per favore, riposta il log di Elistarta, però questa volta, completo.
E poi riposta un nuovo log di HThis.
La scansione con Asquared, che risultati ha dato?.
Vorrei risolvere questa questione visto che è dal 21 settembre che convivi con quel trojan.

con avira mi ha dato queste virus

http://i23.tinypic.com/30uwyhc.jpg

dopo il delete .......ho avviato elistara ma nel doc di testo e vuoto e ce solo quelle 2 righe.....ho avviato pure ccleaner/spybot/a-squared ma non hanno trovato nulla :confused:

alla avvio di nuovo ad avira continua a dire che ancora sto virus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.01.34, on 11/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\__GameS__\medal airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Comodo\Firewall\CPF.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Fatima\Desktop\ELISTARA.20102007.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pack.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{57F6F824-557B-480D-900B-60C81D672323}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{57F6F824-557B-480D-900B-60C81D672323}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\__GameS__\medal airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6074 bytes

Riverside

11-10-2007, 19:20

anche io ho ELISTARTA ma non ho ancora capito come si crea il log, cioè una volta che clicco su "salir" si chiude e mi crea un file txt in risorse del computer-c, ma praticamente non dice nulla.
Sono io che sbaglio qualcosa?
Scusa l'osservazione: i log, di norma, dicono ciò che devono dire: se ti viene chiesto di pubblicare un log, lo devi semplicemente pubblicare.
Non è mica detto che un tool di rimozione, debba, per forza di cose rimuovere qualcosa che non esiste.
Non te la prendere, ma tu continui a postare a destra e sinistra, senza ottenere risultati, per la semplice regione che non ci sono risultati da ottenere; il tuo P.C., come ti è stato detto, diverse volte, non è infetto.
I tuoi sono, quasi certamente, problemi a livello hardware che, comunque, non risolveresti, neppure, formattando.
Ciò che devi fare, è salvarti tutti i dati che ti interessano in maniera che non vadano perduti, perché, purtroppo, prima o dopo, quel P.C., ti lascerà a piedi.

Mazda RX8

11-10-2007, 19:42

straniero usa il tool della nod APGFIX x cancellare i file...:)

Riverside

11-10-2007, 20:07

con avira mi ha dato queste virus
Ti ho risposto nell'altra discussione che hai aperto:
http://www.hwupgrade.it/forum/showthread.php?t=1574932

lo_straniero

11-10-2007, 20:11

straniero usa il tool della nod APGFIX x cancellare i file...:)

mi linki il file sul google non esiste :confused:

Mazda RX8

11-10-2007, 20:18

mi linki il file sul google non esiste :confused:

opss mi son scordato una V (agvpfix)

juninho85

11-10-2007, 20:22

mi linki il file sul google non esiste :confused:

agvp (http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP)

lo_straniero

11-10-2007, 20:48

agvp (http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP)

niente vieni qui se ti va http://www.hwupgrade.it/forum/showthread.php?t=1574932

opss mi son scordato una V (agvpfix)

thanks

paolo-fcb

12-10-2007, 10:10

Scusa l'osservazione: i log, di norma, dicono ciò che devono dire: se ti viene chiesto di pubblicare un log, lo devi semplicemente pubblicare.
Non è mica detto che un tool di rimozione, debba, per forza di cose rimuovere qualcosa che non esiste.
Non te la prendere, ma tu continui a postare a destra e sinistra, senza ottenere risultati, per la semplice regione che non ci sono risultati da ottenere; il tuo P.C., come ti è stato detto, diverse volte, non è infetto.
I tuoi sono, quasi certamente, problemi a livello hardware che, comunque, non risolveresti, neppure, formattando.
Ciò che devi fare, è salvarti tutti i dati che ti interessano in maniera che non vadano perduti, perché, purtroppo, prima o dopo, quel P.C., ti lascerà a piedi.

Grazie River; in effetti l'unica cosa da capire è QUANDO il mio HD mi lascerà a piedi, io cmq mi faccio tutti i backups possibili e incrocio le dita.....
Ciao:)

dHaOs

13-10-2007, 16:03

Segue da questa discussione http://www.hwupgrade.it/forum/showthread.php?t=1576366

in pratica pur essendo administrator non posso cancellare le seguenti chiavi

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.svg
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.svgz

se ci provo mi dice: L'utente non è autorizzato a visualizzare le impostazioni relative alle autorizzazioni correnti per .svg, ma è autorizzato a modificarle

mi è stato suggerito allora di provare a dare un occhiata con hijackthis, ed eccomi qua

ps Pc con win Xp Pro

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.56.14, on 13/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\SUPERMICRO\SDIII\NTService.exe
C:\WINDOWS\system32\SD3Service.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\WinVNC.exe
C:\Programmi\SUPERMICRO\SDIII\Xitami\xiwinnt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\QuickTime\QTTask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\OpenOffice.org 2.0\program\soffice.exe
C:\Programmi\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
C:\Programmi\VS Revo Group\Revo Uninstaller\revouninstaller.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.adobe.com/store/productregistration/register_product.jhtml?pageID=RegMp1&platformCode=WIN&prodData=m5ufkpuYmZOem5KakpiYnpuYnZifnJuZ&version=7.0&nameCode=AEPB&languageCode=USENGLIS&systemCode=AOLN
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Blackmagic CheckVersion PCI] C:\Programmi\Blackmagic Design\Blackmagic DeckLink\CheckVersionPCI.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SuperMicro Health Assistant - Unknown owner - C:\Programmi\SUPERMICRO\SDIII\NTService.exe
O23 - Service: Supero SD3Service Daemon - Unknown owner - C:\WINDOWS\system32\SD3Service.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TridiaVNC Server (winvnc) - Tridia Corporation - C:\WINDOWS\system32\WinVNC.exe
O23 - Service: Xitami Web Server (Xitami) - Unknown owner - C:\Programmi\SUPERMICRO\SDIII\Xitami\xiwinnt.exe

--
End of file - 7240 bytes

Gle89

13-10-2007, 16:17

scusa il ritardo, il log sembra apposto, queste due voci le conosci? le hai installate te?

O4 - HKLM\..\Run: [Blackmagic CheckVersion PCI] C:\Programmi\Blackmagic Design\Blackmagic DeckLink\CheckVersionPCI.exe
C:\Programmi\VS Revo Group\Revo Uninstaller\revouninstaller.exe

no niente problema di virus, credo!

Riverside

13-10-2007, 16:25

mi è stato suggerito allora di provare a dare un occhiata con hijackthis, ed eccomi qua
Disabilita il Ripritino configurazione di sistema e fixa queste voci:

C:\Programmi\VS Revo Group\Revo Uninstaller\revouninstaller.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" –atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Blackmagic CheckVersion PCI] C:\Programmi\Blackmagic Design\Blackmagic DeckLink\CheckVersionPCI.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

aggiorna INTERNET EXPLORER: clicca qui per il download (https://www.microsoft.com/italy/windows/downloads/ie/getitnow.mspx)
scorri fino in fondo la pagina web, a sinistra devi selezionare il tuo sistema operativo (nel tuo caso sarà Windows XP ServicePack2 e avvii il download

Scarica questi software e tool per eseguire una pulizia:

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

ESET ADS REVEALER: clicca qui per il download (http://www.nod32.it/getfile.php?tool=adsr)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua, rimuove ed esporta gli Alternate Data Streams (ADS) presenti su file system NTFS (solo se la partizione è NTFS, se fosse FAT32, non serve)

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

dHaOs

13-10-2007, 16:26

scusa il ritardo, il log sembra apposto, queste due voci le conosci? le hai installate te?

Quote:
O4 - HKLM\..\Run: [Blackmagic CheckVersion PCI] C:\Programmi\Blackmagic Design\Blackmagic DeckLink\CheckVersionPCI.exe
C:\Programmi\VS Revo Group\Revo Uninstaller\revouninstaller.exe
no niente problema di virus, credo!

Le ho installate io.

dHaOs

13-10-2007, 16:29

Disabilita il Ripritino configurazione di sistema e fixa queste voci:

scusa l'ignoranza come faccio a "fixarle"?

alfonsog

13-10-2007, 16:31

Ciao ragazzi,
potreste gentilmente provare a dare un'occhiata a questo log?? Vi sembra pulito?
Grazie infinite.

Logfile of HijackThis v1.99.1
Scan saved at 17.30.30, on 13/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Alfredo\Documenti\File ricevuti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - C:\DOCUME~1\Alfredo\IMPOST~1\Temp\~DPD.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E808CD7-6373-4EB4-A10B-5371F5634194}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Lexmark International, Inc. - (no file)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Saluti

Riverside

13-10-2007, 16:40

scusa l'ignoranza come faccio a "fixarle"?
Rilancia Hthis, poi cerchi le voci che ti ho elencato, a sinistra, a fianco di ognuna di essa metti la spunta nella relativa casellina ed, infine, clicca su FixChecked

juninho85

13-10-2007, 16:41

Ciao ragazzi,
potreste gentilmente provare a dare un'occhiata a questo log?? Vi sembra pulito?
Grazie infinite.
tutto ok

alfonsog

13-10-2007, 16:45

tutto ok

Grazie 1000!!!! juninho85

Riverside

13-10-2007, 16:47

....... potreste gentilmente provare a dare un'occhiata a questo log?? Vi sembra pulito?

Disattiva il Ripristino configurazione di sistema e fixa queste

O1 - Hosts: 66.98.148.65 auto.search.msn.com

O1 - Hosts: 66.98.148.65 auto.search.msn.es

O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - C:\DOCUME~1\Alfredo\IMPOST~1\Temp\~DPD.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)

O23 - Service: LiveUpdate - Lexmark International, Inc. - (no file)

Poi:

aggiorna INTERNET EXPLORER: clicca qui per il download (https://www.microsoft.com/italy/windows/downloads/ie/getitnow.mspx)
scorri fino in fondo la pagina web, a sinistra devi selezionare il tuo sistema operativo (nel tuo caso sarà Windows XP ServicePack2 e avvii il download

aggiorna JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al suo Pannello di controllo
● clicca sulla scheda Aggiornamento e poi sul pulsante Aggiorna adesso

Scarica questi software e tool per eseguire una pulizia:

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

ESET ADS REVEALER: clicca qui per il download (http://www.nod32.it/getfile.php?tool=adsr)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua, rimuove ed esporta gli Alternate Data Streams (ADS) presenti su file system NTFS (solo se la partizione è NTFS, se fosse FAT32, non serve)

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

Al termine, pubblica un nuovo log di Hthis.

alfonsog

13-10-2007, 18:05

Grazie Riverside,
Ho fatto quasi tutto ciò che dici eccetto l'installazione di explorer 7.
questo è il mio nuovo log di H.
Allego anche il file infosat.txt
Spero Di aver eseguito correttamente il tutto. e che ora sia ok!!
Grazie ancora e ciao

Logfile of HijackThis v1.99.1
Scan saved at 19.04.04, on 13/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Alfredo\Documenti\File ricevuti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E808CD7-6373-4EB4-A10B-5371F5634194}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Framol

13-10-2007, 19:56

Ciao ragazzi,visto che son ancora fresco dalla rimozione del Gromzone e di altri piccoli bastardi:D ,potreste darmi un'occhiata a questo Log?
E' a posto?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.55.45, on 13/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Windows Defender\MSASCui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Empire\PVR Plus\TVR\Scheduled.exe
C:\Programmi\TomTom HOME\TomTomHOME.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programmi\Logitech\QuickCam\Quickcam.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Softwin\BitDefender9\bdmcon.exe
C:\Programmi\Softwin\BitDefender9\bdoesrv.exe
C:\Programmi\Softwin\BitDefender9\bdnagent.exe
C:\programmi\softwin\bitdefender9\bdswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programmi\Sony\MD Simple Burner\NetMDSB.exe
C:\WINDOWS\system32\poweroff.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programmi\HP\hpcoretech\comp\hptskmgr.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\Softwin\BitDefender9\vsserv.exe
C:\Programmi\File comuni\Logishrd\LQCVFX\COCIManager.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe
C:\Programmi\Lavalys\EVEREST Ultimate Edition\everest.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\Programmi\Empire\SERIE 3000\P3XRCtl.exe
C:\Programmi\Windows Desktop Search\WindowsSearch.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Francesco\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O1 - Hosts: s file and its contents are hereby granted to MXPie.Info
O1 - Hosts: 205.238.40.52 www.winmx.com err.winmx.com
O1 - Hosts: 205.238.40.1 cache0.winmx.com test3201.winmx.com test3205.winmx.com
O1 - Hosts: 205.238.40.2 cache1.winmx.com test3202.winmx.com test3206.winmx.com
O1 - Hosts: 82.43.224.20 cache2.winmx.com test3203.winmx.com test3207.winmx.com
O1 - Hosts: 82.204.21.111 cache3.winmx.com test3204.winmx.com test3208.winmx.com
O1 - Hosts: 205.238.40.1 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 82.204.21.111 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PVR Agent] C:\Programmi\Empire\PVR Plus\TVR\Scheduled.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [neowou] C:\WINDOWS\System32\luoredb.exe
O4 - HKLM\..\Run: [Koteot] C:\Program Files\Qqtjs\Jpbqg.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Programmi\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [HPHUPD05] J:\hp photosmart\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "c:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmi\File comuni\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programmi\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programmi\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programmi\Softwin\BitDefender9\bdswitch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [] /s
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programmi\File comuni\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programmi\Lavalys\EVEREST Ultimate Edition\everest.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [*tt] rundll32 \\?\C:\WINDOWS\system32\lpt9.tpt,zvuzbgdzxexeqyiqqrv (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Programmi\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Programmi\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O4 - Global Startup: TV Remote Control.lnk = C:\Programmi\Empire\SERIE 3000\P3XRCtl.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enqueue in Star Downloader - C:\Programmi\Star Downloader\sdieenq.htm
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Salva tutti gli oggetti con Star Downloader - C:\Programmi\Star Downloader\leechie.htm
O8 - Extra context menu item: Scarica con Star Downloader - C:\Programmi\Star Downloader\sdie.htm
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30499022-8ED7-42B4-8C60-364061C3E5B1} - http://mufxggfi.com/70ba13e0/55000/1/xp/RealSpace.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.nfq.de/hb/plugin/mssurvid.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{425650F3-F0C5-4031-AF9A-117FF8FB087E}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{607FA679-3476-4803-8696-E1C2DF56234C}: NameServer = 130.244.127.161,130.244.127.169
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: intocx - intocx.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programmi\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Poweroff - Jorgen Bosman Traduzione ITA: EntropheaR@zanezane.net - C:\WINDOWS\system32\poweroff.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programmi\File comuni\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programmi\Softwin\BitDefender9\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 20161 bytes

juninho85

13-10-2007, 20:50

C:\WINDOWS\system32\SearchIndexer.exe
O1 - Hosts: s file and its contents are hereby granted to MXPie.Info
O4 - HKLM\..\Run: [neowou] C:\WINDOWS\System32\luoredb.exe
O4 - HKLM\..\Run: [Koteot] C:\Program Files\Qqtjs\Jpbqg.exe
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\FRANCE~1\IMPOST~1\Temp\svchost.exe 1
O4 - HKCU\..\Run: [] /s
O4 - HKUS\S-1-5-19\..\RunOnce: [*tt] rundll32 \\?\C:\WINDOWS\system32\lpt9.tpt,zvuzbgdzxexeqyiqqrv (User 'SERVIZIO LOCALE')
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: intocx - intocx.dll (file missing)

quelli in neretto,prima di eliminarli,falli analizzare qui (http://www.virustotal.com)

Riverside

13-10-2007, 21:03

...... Ho fatto quasi tutto ciò che dici eccetto l'installazione di explorer 7. questo è il mio nuovo log ....... Allego anche il file infosat.txt
ElistartA ha ripulito il file hosts.
Rilancia HThis e fixa questa voce:
O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - (no file)
Ricorda di aggiornare I.E.
Prenderei in considerazione, anche, l'idea di sostituire l'antivirus; Avast è, decisamente, mediocre.

byker

13-10-2007, 21:31

Volevo cortesemente una letta a questo log...grazie x sapere se devo rimuovere qualcosa

Chill-Out

13-10-2007, 21:37

Volevo cortesemente una letta a questo log...grazie x sapere se devo rimuovere qualcosa

posta il log, copi e incolli qui il contenuto del file di testo generato, non il risultato dell'analizzatore :D

byker

13-10-2007, 21:56

posta il log, copi e incolli qui il contenuto del file di testo generato, non il risultato dell'analizzatore :D

Sorry...
ecco il log:doh:

Logfile of HijackThis v1.99.1
Scan saved at 22.12.41, on 13/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\lg_fwupdate\fwupdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\user\Impostazioni locali\Temp\wz38ce\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programmi\lg_fwupdate\fwupdate.exe blrun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?8b6c6b51a202486ba861518cb80a5eef
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?8b6c6b51a202486ba861518cb80a5eef
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C2D89CB-4BDD-4533-B76A-7D1BF3067F91}: NameServer = 151.99.125.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDE70D65-2656-4375-B53B-FDCED0BA8824}: NameServer = 151.99.125.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programmi\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Chill-Out

13-10-2007, 22:06

@biker
Il log è pulito, ma non vedo firewall, inoltre devi assolutamente aggiornare:
Internet Explorer meglio sostituirlo con Firefox o Opera
Acrobat Reader c.s. con Foxit Reader
Distinstallare Avast in favore di Antivir

Framol

13-10-2007, 22:08

Ma sul sito VirusTotal,se quando faccio la scansione e mi dà la lista dei diversi Antivirus,e sotto stato mi dai il trattino(-) ,sono a posto?

juninho85

13-10-2007, 22:09

Ma sul sito VirusTotal,se quando faccio la scansione e mi dà la lista dei diversi Antivirus:

Stato

xxxxxxxxxxxxxxxxxxxxxxxxxxxx -
xxxxxxxxxxxxxxxxxxxxxxxxxxxx -

E sotto stato mi dà il trattino,sono a posto?:confused:

tanto meglio,devi eliminare soltanto gli altri

byker

13-10-2007, 22:13

Chill-Out

13-10-2007, 22:14

grazie Chill-out x l'info farò senz'altro le modifiche:D :D

Prego ed installa un firewall ;)
Edit: sarei curioso di sapere perchè da un precedente log risulta che avevi IE7 ora ha IE6.

alfonsog

13-10-2007, 22:21

ElistartA ha ripulito il file hosts.
Rilancia HThis e fixa questa voce:
O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - (no file)
Ricorda di aggiornare I.E.
Prenderei in considerazione, anche, l'idea di sostituire l'antivirus; Avast è, decisamente, mediocre.

OK Riverside, fatto e grazie ancora di tutto
L'Avas con cosa lo posso sostituire? no dirmi il Northon?
Buona notte

Riverside

14-10-2007, 00:44

OK Riverside, fatto e grazie ancora di tutto
L'Avas con cosa lo posso sostituire? no dirmi il Northon?
Vorresti passare da un SIvirus (Avast) ad un virus vero e proprio (Norton) :mbe:

Ti presento un Antivirus:

ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

alfonsog

14-10-2007, 10:27

Vorresti passare da un SIvirus (Avast) ad un virus vero e proprio (Norton) :mbe:

Ti presento un Antivirus:

ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.
Ancora grazie farò tesoro del tuo consiglio.
Ciao

Mazda RX8

14-10-2007, 11:18

EDIT

juninho85

14-10-2007, 11:28

poweroff è legittimo,se fixa le 01 winmx non riuscirà più a collegarsi alla rete

Mazda RX8

14-10-2007, 11:29

poweroff è legittimo,se fixa le 01 winmx non riuscirà più a collegarsi alla rete

ma winmix nn era stato kiuso??:confused: :confused:

juninho85

14-10-2007, 11:29

ma winmix nn era stato kiuso??:confused: :confused:

...e riaperto :D

Gle89

14-10-2007, 11:31

...e riaperto :D

e già da un bel po oltretutto :D

Mazda RX8

14-10-2007, 11:35

...e riaperto :D
ok,allora ritiro il fixaggio di quelle voci...:)

Gle89

14-10-2007, 11:40

ok,allora ritiro il fixaggio di quelle voci...:)

se non sbaglio juninho85 ti ha detto che power off è lecito

Mazda RX8

14-10-2007, 11:41

se non sbaglio juninho85 ti ha detto che power off è lecito

a ke serve??:fagiano:

juninho85

14-10-2007, 11:43

a ke serve??:fagiano:
link (http://www.megalab.it/articoli.php?id=295)

Gle89

14-10-2007, 11:44

Oh Madza, fare una bella ricerchina su Google? :D Non è che ci voglia molto.
http://www.megalab.it/articoli.php?id=295 ecco qui.

Ad ogni modo se juninho85 ti aveva detto che era lecito, dovevi toglierlo subito invece è sempre li quella voce.:cool:

juninho85

14-10-2007, 11:45

mi sarei anche potuto sbagliare,4 occhi vedono sempre meglio di 2 :D

Mazda RX8

14-10-2007, 11:47

juninho85

14-10-2007, 11:48

ok, e l'altra voce??:confused:

l'altra penso si possa anche lasciare,pare innocua

Mazda RX8

14-10-2007, 11:49

l'altra penso si possa anche lasciare,pare innocua

ma secondo te a ke serve?

juninho85

14-10-2007, 11:50

ma secondo te a ke serve?

dovrebbe essere la descrizione degli items inseriti per far girare winmx

Mazda RX8

14-10-2007, 11:52

dovrebbe essere la descrizione degli items inseriti per far girare winmx

ah, ok, allora edito tutto...:stordita:

xcdegasp

14-10-2007, 12:01

mazda hai pvt :)

Zero-Giulio

15-10-2007, 13:18

Mi date una occhiatina al mio log?

Avevo un pò di programmi aperti quando l'ho generato, se è un problema ne genero un altro in un momento più tranquillo.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.07.14, on 15/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\Programmi\Avast\aswUpdSv.exe
C:\Programmi\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Dell Network Assistant\hnm_svc.exe
C:\Programmi\Mate\MatLab\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\PerfectDisk\PDAgent.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avast\ashMaiSv.exe
C:\Programmi\Avast\ashWebSv.exe
C:\Programmi\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\stsystra.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Dell\QuickSet\quickset.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Creative\Mixer\CTSVolFE.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Dell\MediaDirect\PCMService.exe
C:\WINDOWS\system32\iexplorer.exe
C:\PROGRA~1\Avast\ashDisp.exe
C:\Programmi\PowerISO\PWRISOVM.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\Ripping\DVDFab Platinum\DVDFabPlatinum.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.it/ig/dell?hl=it&client=dell-row&channel=it&ibd=6070531
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.it/hws/sb/dell-row/it/side.html?channel=it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it/hws/sb/dell-row/it/side.html?channel=it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.it/hws/sb/dell-row/it/side.html?channel=it
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.it/ig/dell?hl=it&client=dell-row&channel=it&ibd=6070531
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programmi\BAE\BAE.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programmi\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [srvhost] iexplorer.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Ripping\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [srvhost] iexplorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ModemOnHold] C:\Programmi\NetWaiting\netwaiting.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186318278781
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Avast\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programmi\Dell Network Assistant\hnm_svc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\Mate\MatLab\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\PerfectDisk\PDEngine.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9660 bytes

Grazie...

juninho85

15-10-2007, 13:24

Mi date una occhiatina al mio log?

Avevo un pò di programmi aperti quando l'ho generato, se è un problema ne genero un altro in un momento più tranquillo.

Grazie...
rigenera che altrimenti c'è da perdersi :D

Gle89

15-10-2007, 13:24

Prima di guardare il log fai cosi, almeno togliamo un po di roba, senno è troppo laborioso:

Fa una scansione con ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

Poi scaricato PREVX 2.0 (cercalo da google) che è una versione TRIAL per 30 giorni.

Alla fine posta un nuovo log di HJT, con più programmi chiusi :D

Ciao ti aspettiamo

Zero-Giulio

15-10-2007, 13:48

ok, chiusi. E' rimasto aperto solo Internet Explorer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.46.11, on 15/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\Programmi\Avast\aswUpdSv.exe
C:\Programmi\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\Dell Network Assistant\hnm_svc.exe
C:\Programmi\Mate\MatLab\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\PerfectDisk\PDAgent.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Avast\ashMaiSv.exe
C:\Programmi\Avast\ashWebSv.exe
C:\Programmi\PerfectDisk\PDEngine.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\stsystra.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Dell\QuickSet\quickset.exe
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Creative\Mixer\CTSVolFE.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Dell\MediaDirect\PCMService.exe
C:\WINDOWS\system32\iexplorer.exe
C:\PROGRA~1\Avast\ashDisp.exe
C:\Programmi\PowerISO\PWRISOVM.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digital Line Detect\DLG.exe
C:\Programmi\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.it/ig/dell?hl=it&client=dell-row&channel=it&ibd=6070531
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.it/hws/sb/dell-row/it/side.html?channel=it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it/hws/sb/dell-row/it/side.html?channel=it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.it/hws/sb/dell-row/it/side.html?channel=it
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.it/ig/dell?hl=it&client=dell-row&channel=it&ibd=6070531
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programmi\BAE\BAE.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programmi\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [srvhost] iexplorer.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmi\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Ripping\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [srvhost] iexplorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ModemOnHold] C:\Programmi\NetWaiting\netwaiting.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186318278781
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Avast\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programmi\Dell Network Assistant\hnm_svc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\Mate\MatLab\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\PerfectDisk\PDEngine.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9636 bytes

EDIT: ho letto solo adesso il post di gle

Mazda RX8

15-10-2007, 13:55

ok, chiusi. E' rimasto aperto solo Internet Explorer

EDIT: ho letto solo adesso il post di gle

come pericoloso fixa:

C:\WINDOWS\system32\iexplorer.exe
O4 - HKLM\..\Run: [srvhost] iexplorer.exe
O4 - HKLM\..\RunServices: [srvhost] iexplorer.exe

Gle89

15-10-2007, 14:14

come pericoloso fixa:

C:\WINDOWS\system32\iexplorer.exe
O4 - HKLM\..\Run: [srvhost] iexplorer.exe
O4 - HKLM\..\RunServices: [srvhost] iexplorer.exe

vero è pericoloso, ma prima facciamo levare un po di robaccia con A-SQUARED e PREVX cosi dopo diamo una bella occhiata al log...
Oltre che da fixare è da elimnare manualmente C:\WINDOWS\system32\iexplorer.exe

Zero Giulio fai le scansione e alla fine posta il log nuovo. poi ti spieghiamo :D

xcdegasp

15-10-2007, 14:18

come pericoloso fixa:

....

dovresti leggere anche cosa dicono gli altri utenti, se viene consigliato di ripulire con dei programmi è perchè c'è un motivo ed è la presenza di molto malware che rende solo lunga l'operazione manuale ed estenuante per tutti (sia per l'infetto che per chi lo aiuta)..
meglio quindi togliere molte cose con appunto prodotti potenti che svolgono bene il loro lavoro e poi proseguire con le finezze manuali ;)

Mazda RX8

15-10-2007, 14:19

dovresti leggere anche cosa dicono gli altri utenti, se viene consigliato di ripulire con dei programmi è perchè c'è un motivo ed è la presenza di molto malware che rende solo lunga l'operazione manuale ed estenuante per tutti (sia per l'infetto che per chi lo aiuta)..
meglio quindi togliere molte cose con appunto prodotti potenti che svolgono bene il loro lavoro e poi proseguire con le finezze manuali ;)

ok, grazie x la precisazione...:)

Zero-Giulio

15-10-2007, 16:15

Ma hiJackThis e A-Squared vanno fatti in modalità provvisoria senza ripristino?

Gle89

15-10-2007, 16:22

Ma hiJackThis e A-Squared vanno fatti in modalità provvisoria senza ripristino?

no falli pure in modalità normale, ma prima disattiva il ripristinio! ma non li hai ancora fatti? :(

paolo-fcb

15-10-2007, 17:54

no falli pure in modalità normale, ma prima disattiva il ripristinio! ma non li hai ancora fatti? :(

Gle, ma è una domanda aperta a tutti ovviamente, perchè è così importante disabilitare il ripristino configurazione di sistema? Io su vostro consiglio l'ho disattivato, però vorrei saperne le finalità.
Grazie, ciao, Paolo

juninho85

15-10-2007, 17:58

Gle, ma è una domanda aperta a tutti ovviamente, perchè è così importante disabilitare il ripristino configurazione di sistema? Io su vostro consiglio l'ho disattivato, però vorrei saperne le finalità.
Grazie, ciao, Paolo
eviti che il malware possa rigenerarsi

Gle89

15-10-2007, 18:20

eviti che il malware possa rigenerarsi

E' arrivato prima di me :D

Zero-Giulio

15-10-2007, 19:12

A-Squared mi ha trovato

backdoor.win32.rbot.crz
trace.file.sc-keylogpro
trace.registry.bsplayer
trace.trackingcookie
trojan-clicker.html.agent.a
email-worm.win32.renouce.b
trojan.win32.obfuscated.fk

Cosa faccio?

Ora, quelli in grossetto hanno nomi inquietanti. E infatti sono stati già selezionati dal programma.

Gli altri?

Non ho disattivato il ripristino, mi son dimenticato. Se lo faccio adesso (non ho ancora cliccato su elimina gli oggetti selezionati) va bene uguale, vero?
O devo rifare la scansione? (ma non ne vedrei il motivo).

Gle89

15-10-2007, 19:19

Giulio disattiva il ripristinio ora, e poi elimina tutto ciò che trova A-SQUARED.

Poi riapri HJT e fissi queste voci:

C:\WINDOWS\system32\iexplorer.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe –startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" –start
O4 - HKLM\..\Run: [srvhost] iexplorer.exe
O4 - HKLM\..\RunServices: [srvhost] iexplorer.exe
04 - Global Startup: Digital Line Detect.lnk = ?

Scarica questi software e tool per eseguire una pulizia:

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup201.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)

ELISTARTA TOOL: clicca qui per il download (http://www.zonavirus.com/datos/descargas/78/elistara.asp)
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

alla fine riposta un log di HJT

Zero-Giulio

15-10-2007, 19:24

Quindi cancello anche le tre voci non evidenziate da a-squared?

Anche quella con bsplayer, per intenderci?

Quanto alle voci con HiJackThis... QuickSet e Digital Line Detect son miei programmi. Sicuro siano da fissare?

Gle89

15-10-2007, 19:32

Quindi cancello anche le tre voci non evidenziate da a-squared?

Anche quella con bsplayer, per intenderci?

si vai tranquillo

Quanto alle voci con HiJackThis... QuickSet e Digital Line Detect son miei programmi. Sicuro siano da fissare?

intanto sono una ragazza e poi sono sicura perchè lo so che sono tuoi programmi ma non servono che partino all'avvio, perchè rallentano e basta il tuo sistema operativo al caricamento.

Esegui le istruzioni e posta i log :D

Framol

15-10-2007, 19:55

Il malware Link Optimizer è stato debellato o gira ancora??

Bugs Bunny

15-10-2007, 21:10

Il malware Link Optimizer è stato debellato o gira ancora??

per link optimizer intendi l'adware scaricato dalle prime versioni di gromozon o il vero gromozon?
nel primo caso credo che non venga + scaricato

nel secondo caso... finché non tireremo una bomba sui paesi come romania,russia e altri,dove si trovano i server di inhoster e compagnia bella,famosi per essere la casa di moltissimi malware..... posso rispondere così: :rotfl:

juninho85

15-10-2007, 21:36

trojan.win32.obfuscated.fk[/B]

oltre alla procedura indicata da glè posta anche un log di findAWF

Zero-Giulio

15-10-2007, 21:54

so che sono tuoi programmi ma non servono che partino all'avvio, perchè rallentano e basta il tuo sistema operativo al caricamento.

Esegui le istruzioni e posta i log

Ok capo, vado al lavoro.

Domani posto i risultati...

Gle89

15-10-2007, 22:08

Ok capo, vado al lavoro.

Domani posto i risultati...
Nooooo ma che capo... figurati :mc:

xcdegasp

15-10-2007, 23:01

Nooooo ma che capo... figurati :mc:

intendeva Capò :asd:

:fiufiu:

paolo-fcb

15-10-2007, 23:51

E' arrivato prima di me :D

Grazie ragazzi, questa non la sapevo assolutamente, ciao:)

Ragazzi visto che ci siamo mi date una controllatina? Grazie in anticipo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.06.44, on 16/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\Creative\Shared Files\CTDevSrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\Sandboxie\SbieSvc.exe
C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ThreatFire\TFService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\ThreatFire\TFTray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\MSN Messenger\livecall.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rsvp.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rojadirecta.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFox1.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Foxit Toolbar - {73c7d5b0-7b03-444a-84c7-ce1ba03b5573} - C:\Programmi\Foxit\tbFox1.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~2\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ThreatFire] C:\Programmi\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174439887796
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} (MSN Games – Hearts) - http://zone.msn.com/bingame/zpagames/zpa_hrtz.cab67031.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Programmi\Creative\Shared Files\CTDevSrv.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programmi\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
O23 - Service: ThreatFire - PC Tools - C:\Programmi\ThreatFire\TFService.exe

--
End of file - 8071 bytes

michiru82

16-10-2007, 12:55

Ciao a tutti!
Sono nuova qui e se ho sbagliato a postare qui o altro, fatemelo presente.
Avrei un problema: praticamente il mio pc non si collega più alla rete.
Ho fatto una scansione con spyware doctor che ha rilevato diverse infezioni e minacce. Le ha rimosse tutte tranne una: Trojan-Downloader.Agent.akq che non riesce a rimuovere. Il problema con la rete persiste.
Non sapendo che cosa fare per rimuoverlo, ho pensato di chiedere aiuto qui.
Ho provato anche il tool DrWeb CureIT come consigliato sul forum, ma non ha rilevato nulla.
Ho fatto una scansione con Hijackthis e vi copio qui sotto il log.
Vi ringrazio in anticipo per l'attenzione.

Ester

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.00.30, on 16/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\Programmi\Alwil Software\Avast4\setup\avast.setup
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\MICHIRU\Desktop\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151655586015
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

--
End of file - 8180 bytes