[WinXP] Security Alert?

[loopad]

Ciao a tutti. Da un paio di giorni il mio pc ha "qualche problema" e quindi mi sono deciso a chiedere il vostro aiuto.

CONFIGURAZIONE
Microsoft Windows XP SP2
router Netgear DG834PN (con firewall) a cui sono collegato in wi-fi (ADSL Tele2)
Kaspersky Internet Security 6.0

SINTOMI
1. sono comparse sul desktop tre nuove icone: Error Cleaner, Spyware & Malware Protection, Privacy Protector
2. viene visualizzata in tray (vicino all’orologio di sistema) una icona circolare rossa con dentro una croce bianca; l’icona lampeggia e ogni tanto appare un flag con scritto “SYSTEM ALERT - System detected virus activities. These may impact the performance of your computer. Please, use recomeded antispyware software to protect your system from parasite programs”
3. mi compare una finestra di messaggio del tipo “WINDOWS SECURITY ALERT - windows has detected an Internet attack attempt... Somedody's trying to infect your PC with spyware or harmful viruses. Run full system scan now to protect your PC from Internet attacks, hijacking attempts and spyware! Click here to download spyware remover for total protection”
4. altra finestra di messaggio: “SPYwARE ALERT - Worm.Win32.NetSky detected on your machine. The virus is distributed via the Internet trough e-mail and Active-X objects. The worm has its own SMTP engine which means it gather e-mails from your local computer and re-distributes itself. In worst cases this worm can allow attachers to access your computer, stealing passwords and personal data. This process should be removed from your system.”
5. mi si apre da solo IE7 e vengo indirizzato alla pagina safenavweb.com/index.php?sid=502&said=0&aid=454&pn=5&pid=0
6. il pc è particolarmente lento ed ha sempre la ventola in funzione (notebook HP)


Ho cercato sul forum le infezioni che davano sintomi simili a questi. Quella che mi sembra più vicina è Windows Security Alert. Siccome però i sintomi non sono esattamente gli stessi e siccome erano post già molto lunghi, ho pensato – con l’approvazione del moderatore – che fosse meglio aprire un post nuovo.



AUTO-MEDICAZIONE
seguendo i post guida, ho fatto le seguenti operazioni

1. scansione con Kaspersky e con Ad-Aware 2007, senza alcun risultato rilevato se non i soliti cookie balordi con rischio basso
2. disattivato il ripristino di sistema
3. fatto una pulizia avanzata con Ccleaner (v. 1.40.520), sia dei file che del registro
4. eseguita una prima scansione deep con A-Squared Free (v. 3.1) con le definizioni VECCHIE (non riuscivo ad accedere a internet per aggiornarle): gli oggetti che ho trovato li ho messi in quarantena
5. fatto nuovamente una pulizia avanzata con Ccleaner (v. 1.40.520), sia dei file che del registro
6. lanciato Alternative Data Stream Revealer (v. 1.0.0.1) e eliminato i files che ha trovato
7. eseguita una nuova scansione deep con A-Squared Free (madò che lunga!!!), questa volta con definizione aggiornate. Nessun oggetto rilevato
8. già che c’ero, eseguita scansione in-depth con Panda Rootkit (v. 1.08), senza che sia stato rilevato alcun oggetto
9. eseguita scansione con PrevX CSI (v. 1.2.101.109): rilevati quattro file ma non eliminati (mi chiede la registrazione per farlo), come si evince dal log
10. eseguite le scansioni on-line: Nanoscan (nessun oggetto rilevato)
11. lanciata la scansione e creato il log con HiJackThis
12. eseguita una scansione con Gmer (v. 1.0.13)

Questi sono i file che vi potrebbero essere utili
- log della prima scansione con a-Squared (4) a2scan_080118-191331.txt - 0.01MB
- log della scansione con PrevX CSI (8) prevxcsi.log - 0.42MB
- log HiJackThis (10) hijackthis.log - 0.01MB

- il log di gmer arriva appena termina la scansione!!

(mancano all’appello il log di ADSR del punto 6 e della seconda scansione con a-Squared del punto 7)


Scatenatevi gente!!!

[Riverside]

Riallega tutti i log sul nuovo Servizio in uso, per favore (ZShare non lo facciamo più utilizzare da giorni):

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su FileUP clicca qui per raggiungere FileUP, pubblicando, nella discussione, in unico post, singolarmente per ogni log, il link che verrà rilasciato per il download

[murack83pa]

scarica Smitfraudfix: DOWNLOAD
decomprimi l'archivio in una cartella,
clicca su Smitfraud,
ti si aprirà una finestra dos, clicca un pulsante qualsiasi x continuare
digita 1 (cerca) e poi invio

alla fine della scansione, in c:\ troverai il log " rapport.txt"

lo alleghi qui, e attendi istruzioni

edit: river, è infetto da trojan zlob, ho ricontrollato il log di prevx csi, che rilevato queste dll "C:\WINDOWS\bxsnvqt.dll" rilevato come "Downloader.Zlob" e "C:\WINDOWS\egodktf.dll" rilevato come "Trojan.Zlob"

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- se il relativo txt generato è max 20 kb, allegarlo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post

[Riverside]

Quote:

Originariamente inviato da murack83pa

river, è infetto da trojan zlob......che ne pensi dell'uso di smitfraud?

Se hai controllato i log (cosa che io non ho fatto in attesa che li riallegasse) ed è ciò quello che é emerso, andate avanti.
In ogni caso, i log è meglio che vengano riallegati hostandoli su FileUP

[loopad]

Scusatemi!

http://www.fileup.itadib.com/downloa...QsZQ2ZvFFvBQpJ

http://www.fileup.itadib.com/downloa...h9GdPCxD3lkRna

http://www.fileup.itadib.com/downloa...n8urvgHlVuW0HG

e questo è il log di Gmer

http://www.fileup.itadib.com/downloa...WpnrUl71vCSKM5


Questo invece il "rapport" di Smitfraudfix

http://www.fileup.itadib.com/downloa...dhKkIDVhk70I3S


aspetto umilmente ordini!

[Riverside]

Quando si usa Emule per scaricare c****te, non può che essere cosi
Diverse infezioni: se non lo hai ancora fatto, segui la procedura indicata in Guida.
Buon lavoro

[loopad]

Mi sembra di aver già fatto tutto quello che c'era nella guida, come puoi leggere nel primo messaggio della discussione..
I problemi però sono rimasti, quindi attendo istruzioni!

grazie

[Riverside]

Quote:

Originariamente inviato da loopad

Mi sembra di aver già fatto tutto quello che c'era nella guida, come puoi leggere nel primo messaggio della discussione..
I problemi però sono rimasti, quindi attendo istruzioni! grazie

Ho letto il tuo primo post giusto ora:

Quote:

10. eseguite le scansioni on-line: Nanoscan (nessun oggetto rilevato)

Intanto, colgo l'occasione per chiarire una cosa:

Nanoscan (per quel che può valere come scanner online) come quasi tutti gli scanner online, esegue una scansione ma non permette di rimuovere ciò che rileva (quindi, non serve alla causa).
Esistono, solo due servizi di scansione online che, oltre a rilevare eventuali infezioni consentono di rimuoverle:
1) BITEDEFENDER Scanner online
2) FSECURE Scanner online
Tutti gli altri, sono assolutamente inutili.

Quindi, visto che hai praticamente utilizzato tutto quello che prevede la Guida, riesegui, per favore una scansione online:

● BITDEFENDER ONLINE SCANNER
Compatibilità: Windows XP e Windows VISTA

● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva sia il log che Report html che verranno rilasciati ed allegali

Ed allega, anche, un nuovo log di Hthis, prodotto dopo aver eseguito la scansione online.

[loopad]

Quote:

Originariamente inviato da Riverside

Intanto, colgo l'occasione per chiarire una cosa:

Nanoscan (per quel che può valere come scanner online) come quasi tutti gli scanner online, esegue una scansione ma non permette di rimuovere ciò che rileva (quindi, non serve alla causa).

Hai fatto benissimo a specificarlo: forse sarebbe il caso di scrivere queste informazioni direttamente nel thread guida che contiene l'elenco degli antivirus on-line: io, quando mi sono trovato davanti alla lista, ho scelto praticamente... a caso

Dopo un po' di magheggi - IE7 continua ad aprirmi finestre strane - sono riuscito a far partire lo scan on line con BitDefender..
Il tempo rimanente viene indicato in una ventina di ore, per cui - se il programma è di parola - vi do i risultati domani mattina..

(a meno di novità) intanto grazie della gentilezza e notte

[loopad]

Buon giorno!
è stato un parto ma ce l'ho fatta!

allora

log di bitdefender (l'ho messo in txt, spero si legga tutto, altrimenti allego il file salvato in html) http://www.fileup.itadib.com/downloa...ZkTCEcI17Sku1C

report hmtl http://www.fileup.itadib.com/downloa...P8B2IAbeSJ5iMz

nuovo report HiJackThis
http://www.fileup.itadib.com/downloa...mSXEfYINWDLWhv

attendo ordini! grassie

[Chill-Out]

Per favore un nuovo log di Prevx CSI

[xcdegasp]

@ loopad:
fixa queste voci:

Quote:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SXG Advisor - {696EE2DD-9008-44D5-BA5F-286D59F77F2E} - C:\WINDOWS\dopfwrldxw.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: The egodktf - {0720868F-9F83-48AB-B1C2-284674202F72} - C:\WINDOWS\egodktf.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Startup: Collegamento a html2pop3.exe.lnk = C:\Web Download\UTILITIES\Mail crack\html2pop3232win32 beta b\html2pop3.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O15 - Trusted Zone: http://www.unibocconi.it
O16 - DPF: {3BB4FE3B-7A37-11D3-A41E-0060080C03B3} (Entire Screen Builder Web Viewer) - http://vblu.uni-bocconi.it/vblu/NWWClientFull.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O21 - SSODL: aslpmqk - {71DB93B0-2595-4BDA-B0B3-0B81E34686E4} - C:\WINDOWS\aslpmqk.dll
O21 - SSODL: bxsnvqt - {DC99FE8D-809F-478C-B204-F9C56F6793CF} - C:\WINDOWS\bxsnvqt.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programmi\MATLAB\R2006a\webserver\bin\win32\matlabserver.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

Tutti gli oggetti in grassetto possono darti problemi nella rimozione, o nel eseguire il comando di "Fix it" (rifacendo il log con HiJackThis al termine il tasto in basso a sinistra si chiamerà "Fix IT") da subito errore o completerà il comando ma rifacendo subito un nuovo log ricompariranno tale voci.

Per procedere è quindi necessario intervenire in diversi modi:
1) scarica UnDLL con questo programma puoi metetre fuori uso le dll incriminate e procedere con la rimozione e fixaggio (comando Fix IT)

2) se ancora non bastasse scarica e usa Unlocker per rimuovere con un click tali oggetti, ma facendo ovviamente anche il "Fix IT"

[xcdegasp]

non sono convinto di queste due voci:
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm

le lascio a parte così semmai ci pensiamo poi


Hai la java che è vecchia, AcrobatReader vecchio, Kaspersky vecchio... a questo punto attendiamo che la tua connessione non abbia altre schermate che si aprono e poi li aggiorniamo con l'uso di http://secunia.com/software_inspector/ che ispezione il tuo pc in cerca di software critico non aggiornato

[loopad]

Ecco il nuovo log di PrevX CSI

http://www.fileup.itadib.com/downloa...irh2J4tnEB1bKC

@xcdegasp

ho fatto un nuovo HiJackThis, spuntato le voci in grassetto e fatto Fix!.. l'unico oggetto per cui ho ricevuto un messaggio di errore è stato

O2 - BHO: SXG Advisor - {696EE2DD-9008-44D5-BA5F-286D59F77F2E} - C:\WINDOWS\dopfwrldxw.dll

inoltre, volevo chiederti: ho visto che mi hai fatto cancellare delle cose relative ad iSilox: il programma continuerà a funzionare anche dopo queste operazioni?

Edit: per quanto riguarda KIS non me ne ero accorto! Acrobat Reader non lo uso perchè ho Adobe Acrobat (writer) vero e proprio e quindi uso direttamente quello... per la Java ti do ragione su tutta la linea!

[loopad]

E questo è invece il nuovo log di HiJackThis dopo essere intervenuto con UnDll su questi file e aver ri-fixato quelli che rimanevano ancora in vita

http://www.fileup.itadib.com/downloa...0m1N0Dro8iFx6X

mi sembra che popup non ce ne siano più e che siano rimaste solo le icone del desktop...

cosa dite, sto per uscire dal tunnel????

[xcdegasp]

@ loopad:
in ogni caso acrobat è vecchio, è alla 8.1 o 8.0
tutti i programmi per i quali ti ho fatto fixare i riferimenti continueranno a funzionare come funzionavano prima con una particolarità, ossia ora quei servizi (abbiamo solo chiuso dei servizi non abbiamo rimosso nulla) che abbiamo fixato li abbiamo messi su "avvio manuale"..
significa che solo se usati effettivamente da un'azione svolta dal programma quel servizio verrà avviato altrimenti rimarrà spento.

questo ha il vantaggio di risparmiare ram e di avere un sistema meno "sporco" ossia con la roba realmente utile in esecuzione.


ora rimuovi quelle dll ad esclusione di:
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)

visto che lo usi e lo hai installato volontariamente

edit, potresti usare il programma avenger per rimuoverle ma farei prima un'operazione manuale per vedere come si comportano su un tentativo di cancellazione, l'elenco è:
C:\WINDOWS\dopfwrldxw.dll
C:\WINDOWS\egodktf.dll
C:\PROGRA~1\MI3AA1~1\INetRepl.dll
C:\WINDOWS\aslpmqk.dll
C:\WINDOWS\bxsnvqt.dll
:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE

[loopad]

Quote:

Originariamente inviato da xcdegasp

ora rimuovi quelle dll ad esclusione di:
O9 - Extra button: iSiloX Clipper - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)
O9 - Extra 'Tools' menuitem: iSiloX Clipper... - {C86027A6-12A1-4298-B6EA-A42AC6EE6C7C} - C:\Programmi\iSilo\iSiloX\iSiloXIE.dll (HKCU)

visto che lo usi e lo hai installato volontariamente

un po' tardi... vabbè lo reinstallo che dovrebbe essere freeware

Quote:

edit, potresti usare il programma avenger per rimuoverle ma farei prima un'operazione manuale per vedere come si comportano su un tentativo di cancellazione, l'elenco è:
C:\WINDOWS\dopfwrldxw.dll
C:\WINDOWS\egodktf.dll
C:\PROGRA~1\MI3AA1~1\INetRepl.dll
C:\WINDOWS\aslpmqk.dll
C:\WINDOWS\bxsnvqt.dll
:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE

allora... alcuni già non c'erano più.. Ho eliminato manualmente egodktf.dll e inetrepl.dll e poi ho fatto ccleaner..

invece imjpmig.exe quando l'ho eliminato mi ha chiesto di inserire il cd di windows dicendomi che il sistema poteva diventare instabile, quindi per il momento è ancora lì in attesa di consigli..

[xcdegasp]

ma in teoria quel exe non è nulla di critico:

Quote:

imjpmig.exe belongs to the Microsoft Input Method Editor. It is used to simplify the input of Asian characters in the Microsoft Office suite
imjpmig.exe is not a critical component.

ma se non digiti cose in asiatico non dovrebbe nemmeno essere caricato...
ad ogni modo dicono anche:

Quote:

Description: File imjpmig.exe is located in a subfolder of C:\Windows. Known file sizes on Windows XP are 208952 bytes (92% of all occurrence), 36985 bytes.
The application starts upon Windows startup (see Registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). imjpmig.exe is a trustworthy file from Microsoft. It is not a Windows system file. Therefore the technical security rating is 9% dangerous, however also read the users reviews.

puoi lasciarlo lì dove è


prova a fare un reboot e vediamo che succede

[Chill-Out]

Lo disabiliti in avvio con MSCONFIG

[loopad]

Uhm, allora...

l'ho disabilitato con MsConfig e ho riavviato. Appena caricato windows, mi è comparsa una finestra in cui si diceva che la configurazione era stata modificata bla bla bla.... e mi si chiedeva se volevo ripristinarla.
Io non l'ho ripristinata, con il risultato che se adesso apro MsConfig il file exe non è più spuntato e che risulto essere in "Avvio selettivo".
Direi che qui ci siamo, o sbaglio??

Per quanto riguarda l'infezione in generale, non ci sono più segni esteriori di schifezze.
Questo è l'ultimo log HiJackThis http://www.fileup.itadib.com/downloa...dijOXFxk8uGz9k

Faccio qualche altra scansione di controllo o qualche altra mossa per controllare che non sia rimasto qualcosa o posso ritenermi "guarito"?