GUIDA alla rimozione virus da MSN Messenger (Thread semi-ufficiale).

[Riverside]

GUIDA ALLA RIMOZIONE VIRUS DA MSN MESSENGER

hanno contribuito: Lancetta, Chill-Out, Gle89, Beyond, ShoShen
Grazie, anche a Deneb per il servizio di free hosting FileUP

Ultimo aggiornamento - 21 febbraio 2008:

Con l’aggiornamento del 21 febbraio 2008, In considerazione del fatto che il team di LIVEKILL CLEAN MESSENGER ha cessato di proseguirne lo sviluppo e che, pertanto, il tool non viene più aggiornato, è stato aggiunto, tra gli strumenti di scansione, MSN CLEANER.

In ogni caso, per ora e fino a quando non avremo accertato, dall'analisi dei log di MSN CLEANER che verranno pubblicati, il sorgere di eventuali problemi collaterali, LIVEKILL CLEAN MESSENGER, deve considerarsi, ancora, in uso.

**********

SUGGERIMENTI PRIMA DI PROCEDERE:

● prima di eseguire la procedura leggi, attentamente, il contenuto della Guida;

● apri un post nella discussione, descrivendo, in termini sintetici, il problema che hai riscontrato sul tuo P.C., indicando, inoltre, il Sistema operativo in uso e il tipo di antivirus installato, ed attendi che qualcuno ti risponda (non è escluso che il problema possa non dipendere da una infezione presa attraverso MSN Messenger; quindi potrebbe esserti suggerito di postare in una sezione più attinente rispetto al problema segnalato);

● non eseguire la terza parte della procedura (pulizia e manutenzione) prima di aver pubblicato, per l’analisi, i log ed i report che vengono richiesti nella fase precedente;

● dopo aver analizzato l'ultimo log di Hijackthis che viene richiesto, potrebbero essere consigliati alcuni aggiornamenti da effettuare (per esempio l’aggiornamento di Java, Internet Explorer, ecc.);

● alcuni Antivirus potrebbero riconoscere alcuni dei tool proposti come potenziali worms (è un falso positivo) e, di conseguenza, impedirne il download: nel caso, prova a ripetere l’operazione, disabilitando, temporaneamente, l’Antivirus;

● a puro titolo informativo, dai log di HiJackThis fino ad ora analizzati, è emerso che, gli utenti maggiormente colpiti da questo virus e sue varianti, sono quelli che hanno installato, sul proprio P.C., Avast Antivirus;

● non sollecitare le risposte ed abbi la cortesia di essere paziente (cerchiamo di offrirvi, il più rapidamente possibile il nostro aiuto, ma non viviamo 24 ore su 24, al P.C.) e di attendere una risposta.

**********

I TOOL DI RIMOZIONE ED I SOFTWARE DI PULIZIA E DI CONTROLLO DEVONO ESSERE ESEGUITI CON LA SEQUENZA INDICATA NELLA GUIDA.

**********

OPERAZIONE PRELIMINARE:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della procedura

**********

PRIMA PARTE - I SOFTWARE ED I TOOL NECESSARI:

La procedura è stata, il più possibile, uniformata, in maniera che possa essere eseguita, anche, dai possessori di P.C. con installato Windows VISTA.
Scarica, quindi, solo quelli compatibili per il Sistema operativo che hai in uso.

Scarica, senza installarli, i seguenti Software e Tool e, per comodità, posizionali sul Desktop

● CCLEANER: clicca qui per il download
Compatibilita: Windows XP e Windows Vista

● LIVEKILL CLEAN MESSENGER: clicca qui per il download
Compatibilità: scegli la versione per il Sistema operativo in uso: Windows XP oppure Windows Vista
In alternativa è possibile eseguire il download dal corrispondente Mirror
● LIVEKILL CLEAN MESSENGER per Windows XP: Mirror per il download
● LIVEKILL CLEAN MESSENGER per Windows Vista: Mirror per il downoad

● MSNFIX TOOL: clicca qui per il download
Compatibilita: Windows XP
In alternativa è possibile eseguire il download dal corrispondente Mirror
● MSNFIX TOOL: Mirror per il download

● MSN CLEANER: clicca qui per il download
Compatibilita: Windows XP e Windows Vista

● KASPERSKY VIRUS REMOVAL TOOL: clicca qui per il download
Compatibilita: Windows XP
scarica la versione del tool più aggiornata rispetto alla data ed ora di pubblicazione

● HIJACKTHIS v.2.0.2: clicca qui per il download
Compatibilita: Windows XP e Windows Vista

● PANDA ANTIROOTKIT: clicca qui per il download
Compatibilita: Windows XP

● SUPER ANTI SPYWARE: clicca qui per il download
Compatibilita: Windows XP e Windows Vista

MODALITA' DI ESECUZIONE DEI SOFTWARE E TOOL:

Richiedono l’installazione:
● CCLEANER
● LIVEKILL CLEAN MESSENGER
● KASPERSKY VIRUS REMOVAL TOOL
● SUPER ANTI SPYWARE

Richiede l’installazione di un ActiveX:
● BITDEFENDER SCANNER ONLINE da eseguire solo se il S.O. è Windows VISTA in sotituzione di KASPERSKY VIRUS REMOVAL TOOL

Non richiedono l’installazione (Tool standalone):
● MSNFIX TOOL
● MSN CLEANER
● HIJACKTHIS v.2.0.2
● PANDA ANTIROOTKIT

**********

SECONDA PARTE – FASE 1 – OPERAZIONI DI PULIZIA:

Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Installa CCLEANER:
● clicca sulla icona di Setup, si avvierà il Wizard di installazione
● durante l'installazione, tra le diverse opzioni, verrà, anche, richiesta l'installazione della Toolbar di Yahoo: togli la spunta alla relativa voce in maniera da non installarla
Una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

**********

SECONDA PARTE – FASE 2 - INDIVIDUAZIONE E RIMOZIONE:
DURANTE L'ESECUZIONE DELLA PROCEDURA, MSN MESSENGER DEVE ESSERE TENUTO CHIUSO.

installa LIVEKILL CLEAN MESSENGER:
Una volta installato
● lancia LiveKill
● l'antivirus si aggiornerà automaticamente ed eseguirà una scansione
● se vengono rilevati virus, verrà segnalato: procedi con la rimozione
● verrà rilasciato un Log (reperibile sul Desktop)
salva il log che verrà rilasciato

Installa MSNFIX:
● scompatta il file Zip che hai, precedentemente posizionato sul Desktop (verrà creata una cartella)
● lancia MSNFix File batch
● digita I per impostare la lingua, e, premi invio
● digita R per cercare il malware
● digita N per eliminare ciò che trova
● digita A per creare il log da pubblicare
● digita R per ripulire il registro ed uscire
● digita Q per terminare MSNFix
All'interno della cartella posizionata sul Desktop, verranno creati un file Zip ed un log:
● provvedi a cestinare, solo il file Zip e ripulisci il cestino
salva il log che verrà rilasciato

Installa MSN CLEANER:
● scompatta il file Zip che hai, precedentemente posizionato sul Desktop (verrà creata una icona)
● chiudi tutte le pagine Internet eventualmente aperte
● lancia MSN CLEANER
● imposta la lingua in Italiano
● clicca sul tasto Analizza per lanciare la scansione
● seleziona gli eventuali file infetti rilevati
● clicca sul tasto Cancella per provvedere alla loro rimozione
● clicca sul tasto Report per creare il log da pubblicare
● clicca sul tasto Esci per chiudere il tool
salva il log che verrà rilasciato

Installa KASPERSKY VIRUS REMOVAL TOOL
● verrà creata una apposta cartella sul Desktop
● all’interno della cartella è presente la classica icona (una K) di Kapsersky
● clicca sull’icona per lanciare il tool
● imposta le aree che intendi scansionare (Startup Objects e Disk boot sector sono impostate di default)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
salva il log che verrà rilasciato

Nota 1: ● Il tool è incompatibile se si hanno già prodotti Kaspersky installati
Nota 2: ● non possiede una funzione di aggiornamento automatico delle firme

PROCEDURA DI DISINSTALLAZIONE DI KASPERSKY VIRUS REMOVAL TOOL:

● clicca sull’icona per lanciare il tool
● nella finestra principale, in basso, clicca sulla voce Complete Virus Protection
● verrà visualizzato un messaggio: clicca su Ok
● chiudi la pagina web che verrà aperta
● nel messaggio successivo, clicca su SI per avviare la disinstallazione
● al termine, verrà richiesto di riavviare il P.C.
Si suggerisce di eseguire la disinstallazione, una volta portata a termine l'intera procedura prevista dalla Guida

SE IL S.O. IN USO È WINDOWS VISTA, TENUTO CONTO CHE KASPERSKY VIRUS REMOVAL TOOL NON È COMPATIBILE:

● BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salva il Report che verrà rilasciato

TERMINATA QUESTA FASE, E' NECESSARIO RIAVVIARE IL SISTEMA

Installa HIJACKTHIS v.2.0.2:
● devi creare una apposta Cartella in C:/Programmi (chiamala HThis)
● scompatta, all'interno della cartella creata, il file Zip

pulisci, prima di tutto, gli eventuali ADS, quindi:
● lancia Hijackthis_v2
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● togli la spunta alla voce Quick scan (Windows base folder only)
● lascia la spunta alla voce Ignore safe system info streams
● togli la spunta alla voce Calculate MD5 Checksum of streams
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

rilancia Hijackthis_v2, clicca su Do a system scan and save a logfile
● una volta che è stata creata la list, clicca su Save Log
salva il log che verrà rilasciato

A questo punto, devi allegare, nella SEQUENZA SOTTOINDICATA, i log che hai salvato

1 ● il log di LIVEKILL CLEAN MESSENGER
2 ● il log di MSNFIX
3 ● il log di MSN CLEANER
4 ● il log di KASPERSKY VIRUS REMOVAL TOOL
5 ● il Report di BITDEFENDER SCANNER ONLINE solo se il S.O. Windows VISTA
6 ● il log di HIJACKTHIS

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

● se il relativo txt generato è max 20 kb, allegato alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
● se superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere hostato su uno dei server consigliati nelle Regole di Sezione, pubblicando il link per il download di ciasc'un log.


PRIMA DI ESEGUIRE LA TERZA PARTE DELLA PROCEDURA, ATTENDI UNA RISPOSTA

**********

TERZA PARTE - SCANSIONI DI CONTROLLO:

Installa PANDA ANTIROOTKIT:
● scompatta il file Zip, sul Desktop (verrà creata una icona di Startup)
● una volta lanciato, il Tool si aggiornerà automaticamente ed eseguirà una scansione per verificare la presenza, o meno, di Rootkit, sul P.C.; se rilevati, provvederà a rimuoverli.

Installa SUPER ANTISPYWARE:
una volta installato, accedi al pannello Control Center, apri la sezione Scanning Control e spunta questi voci:

● Scan for tracking cookies
● Resolve link/Shortcuts during scan
● Scan Alternate Data Streams
● Use Kernel Direct File Access
● Use Kernel Direct Registry Access
● Display scan option in Explorer context
● conferma le impostazione cliccando su Close, poi:

● clicca sulla voce Scan you Computer
nella finestra successiva:
● nel menu a sinistra nella sezione Scan Location spunta solo la voce C:\Fixed drive (NTFS)
● nel menu a destra, spunta la voce Perform Complete Scan
● clicca su Avanti e verrà avviata la scansione
● al termine della scansione avrai la possibilità di salvare il relativo log
salva ed allega il log che verrà rilasciato

TERMINATE LE SCANSIONI, DEVI RIAVVIARE IL SISTEMA

Rilancia HIJACKTHIS ed esegui una nuova scansione
allega il log che verrà rilasciato per farlo controllare ed attendi una risposta

Stabilito che il problema si è risolto, se vuoi puoi riattivare, seguendo lo stesso procedimento indicato all’inizio della Guida, il Ripristino configurazione di sistema

[Stetone]

eccoli

[Riverside]

Quote:

Originariamente inviato da Stetone

eccoli

MSNFIX ha rimosso quello che doveva rimuovere. Entrambi il log sono puliti. Riscontri, ancora qualche problema?.

[BEY0ND]

@ riverside
ben fatto,sarà una guida utilissima per questa sezione

[Stetone]

ancora non ho notato nulla di strano, in caso vi faro' sapere, cmq grazie mille

[lancetta]

Complimenti al socio Riverside per l'ottima ed esaustiva guida molto semplice.... raccomandiamo a tutti quelli che arrivano qui per il problema suddetto di seguire prima il tutto, eppoi chiedere ,se eventualmente non si riesce a risolvere, nella sezione "aiuto sono infetto".Per la prevenzione si raccomanda di non accettare niente via msn,neanche da contatti conosciuti,ed eventualmente chiedere prima alle persone interessate se vi hanno inviato qualcosa.

Saluti

[kloettina]

ecco io ho fatto....ha funzionato???

[kloettina]

dimenticavo...eccolo l'altro :P

[kloettina]

nn riesco ad allegare l'altro

[Riverside]

Quote:

Originariamente inviato da kloettina

nn riesco ad allegare l'altro

Aspetta ad allegarlo per favore, nel log di MSNFX ci sono dei problemi.
Dammi solo il tempo di verificarlo.

[kloettina]

ah ok...grazie..magari me lo dici tu quando posso allegare l'altro

[Riverside]

Quote:

Originariamente inviato da kloettina

ecco io ho fatto....ha funzionato???

Ciao Claudia, qui abbiamo alcuni problemi:

Questi, li devi rimuovere, manualmente:
[C:\Documents and Settings\Claudia\jwgcxd.exe] 819001232D19A4A42C66EB6D520110B4
[C:\Documents and Settings\Claudia\yhkbae.exe] C3F9D2BEB432060476B631D242B38015
[C:\Documents and Settings\Claudia\sdlute.exe] D3CF7A778FA4023A0B2AB123A1B3252E

quindi procedi in questa maniera:
● Risorse del Computer
● Disco locale C:
● apri la cartella Documents and Settings
● apri la cartella Claudia
cerca questi tre files:
jwgcxd.exe
yhkbae.exe
sdlute.exe
e, uno alla volta, li elimini.
Una volta eliminati, svuota il cestino.

Questi, invece, sono degli screensaver, i tre che ti indico, sono legittimi:
[C:\WINDOWS\system32\davinci.scr] 4C319DA8BA79200467957A07FA2A5028
[C:\WINDOWS\system32\nature.scr] AC9E9C086D62D92F79327B3FD2C45C93
[C:\WINDOWS\system32\wpgldfsh.scr] E3BB5BDA4ACE41BE6153D7024077EC4E
[C:\WINDOWS\system32\space.scr] E404B5923AAF8408397A04DF4D5B77F1
[C:\WINDOWS\system32\mypixdx.scr] A312A65C6ADFD918497D6A34C00395FE
davinci.scr
nature.scr
space.scr

questi, invece:
wpgldfsh.scr
mypixdx.scr
a meno che non li abbia installati tu, devono essere rimossi manualmente, quindi procedi in questa maniera:
● Risorse del Computer
● Disco locale C:
● apri la cartella WINDOWS
● apri la cartella system32
cerca i due files
wpgldfsh.scr
mypixdx.scr
e, uno alla volta, li elimini.
Una volta eliminati, svuota il cestino.

Una volta eseguito questo passaggio:
● pubblica il log di Hthis (se non riesci ad allegarlo, fai un copia – incolla del contenuto del log, nella discussione;
● dimmi se Messenger ti da ancora problemi;
● infine, se il log di Hthis sarà a posto, dai una ripulita, con Ccleaner.

[kloettina]

mmm nn riesco a trovare gli ultimi due..

[kloettina]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.08.18, on 10/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\mioengine.exe
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\DOCUME~1\Claudia\IMPOST~1\Temp\RtkBtMnt.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Claudia\Desktop\HThis\HijackThis.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\livecall.exe
C:\WINDOWS\system32\svchost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-225347050-62320999-694804019-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-225347050-62320999-694804019-1005\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-225347050-62320999-694804019-1005 Startup: My Vodafone.it.lnk = C:\Documents and Settings\Claudia\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio (User '?')
O4 - Startup: My Vodafone.it.lnk = C:\Documents and Settings\Claudia\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...rch.jhtml?p=ZR
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://claudiagiacobbe.spaces.live.c...d/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://www.gamenext.it/online/online...amesloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8877 bytes

[Riverside]

Quote:

Originariamente inviato da kloettina

mmm nn riesco a trovare gli ultimi due..

In system32??? impossibile ... devono esserci per forza: ricontrolla bene.

[kloettina]

no no trnquillo li ho trovati adesso

[kloettina]

ti ho dovuto copiare quel log x' nn riesco ad allegarlo

[Riverside]

Quote:

Originariamente inviato da kloettina

Logfile of Trend Micro HijackThis

Disattiva il ripristino configurazione di sistema, rilancia Hthis e fixa questa voce:

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...rch.jhtml?p=ZR

Controlla se conosci questo sito web: www.gamenext.it; se non lo conosci, fixa anche questo riferimento:

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://www.gamenext.it/online/online...amesloader.cab

Poi scarica:

ADS REVEALER: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone - posizionalo sul Desktop); una volta lanciato, individua, rimuove ed esporta gli Alternate Data Streams (ADS) presenti su file system NTFS

Al termine, riavvia, e ripubblica un nuovo log di Hthis.

[kloettina]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.55.00, on 10/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\mioengine.exe
C:\Programmi\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\DOCUME~1\Claudia\IMPOST~1\Temp\RtkBtMnt.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Claudia\Desktop\HThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-225347050-62320999-694804019-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-225347050-62320999-694804019-1005\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-225347050-62320999-694804019-1005 Startup: My Vodafone.it.lnk = C:\Documents and Settings\Claudia\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio (User '?')
O4 - Startup: My Vodafone.it.lnk = C:\Documents and Settings\Claudia\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://claudiagiacobbe.spaces.live.c...d/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8430 bytes

[Riverside]

Quote:

Originariamente inviato da kloettina

Logfile of Trend Micro HijackThis

Brava Claudia, complimenti il log ora è a posto.
Dai una bella ripulita con CCleaner (sia pulizia che problemi) e dimmi se il P.C. ti da ancora problemi.