HiJackThis - Analisi Log - leggere Regole di Sezione

[andorra24]

Quote:

Originariamente inviato da .Kougaiji.

Non si vuole levare come faccio? mod provvisoria se ne va ma dopo un po torna .-.

Disattiva il ripristino di sistema e ripeti il fix in modalita' provvisoria.

[.Kougaiji.]

mai attivato il ripristino ogni volta che formatto disabilitato a vita

[BravoGT83]

Quote:

Originariamente inviato da .Kougaiji.

mai attivato il ripristino ogni volta che formatto disabilitato a vita

che programmi usi?

hai qualche programma che controlla il tuo registro per caso?

[.Kougaiji.]

jv16powertools perche?o ti riferisci ad antispyware?cmq ho provato con ewido,lavasoft,spy-bot non trova niente di strano.Ho fatto una ricerca sulla stringa di quei caratteri e porta al coolwebsearch.. ho provato anche quel programma della trend micro CWShredder ma sono pulito..

[Kars]

Quote:

Originariamente inviato da WhiteR@bbit

fatto..ma continuano ad esserci questi problemi:
- sfondo di winxp sparito, è stato sostituito da una pagina html bianca...e se provo ad accedere alle impostazioni del monitor, manca la scheda "desktop";
- all'avvio compare in systray uno scudo rosso con croce bianca, non è il centro di sicurezza di xp..è un tarocco, ed avvisa che sono potenzialmente infetto....(norton antivirus aggiornato ad oggi, non ha rilevato alcun virus!)



..mi sa che sono costretto a formattare e reinstallare tutto..

Un malware ti ha modificato le impostazioni di xp,capita
Dopo esserti assicurato che non parte all'avvio nessun processo cattivo (es. co Starter ) ti bastera' soltanto usare un nuovo utente.
ciao


PS: io denuncierei la norton per millantaggio,poi fai te

[WhiteR@bbit]

Quote:

Originariamente inviato da Kars

Un malware ti ha modificato le impostazioni di xp,capita
Dopo esserti assicurato che non parte all'avvio nessun processo cattivo (es. co Starter ) ti bastera' soltanto usare un nuovo utente.
ciao


PS: io denuncierei la norton per millantaggio,poi fai te

Quindi controllo i processi e (ad esemprio con startup control pannel) elimino dall'avvio tutto quello che è "strano" o comunque comparso di recente e/o non legato a winzoz e programmi che conosco...poi creo un nuovo utente e si sistema tutto?
Ma in questo modo, l'utente originario," l'administrator" resta inutilizzabile..o cmnq compromesso...finchè non reinstallo...no?

[Kars]

L'utente administrator rimane come lo hai lasciato,se lo vuoi lasciare.
Bisogna prestare attenzione perche' i processi cattivi possono usare percorsi non monitorati dai tool + in voga come hijackT. e spyB per autoavviarsi,quindi ogni volta si sta' da capo a 12.Devo dire cmq che controllando i log approfonditi di entrambi i programmi (solo ultime versioni) e utilizzando anche le altre funzionalita' (non solo "scan&remove" ) si puo' risolvere la maggior parte delle situazioni rognose.
ciao

[ValterManetta]

salve a tutti
volevo porvi un quesito sulle impostazioni di sicurezza di IE EX.
Premetto che ho tre pc in lan, e quello + vecchio ke fa da server era connesso ad internet con il modem D-Link302T, ora sostituito da un ericssonHM 120dp; alice flat 4M., SO WinXPpro con firewall, F-PROTantivirus, Spybot-Search & Destroy.
Tempo fa, aprendo le connessioni di rete, in remote ho trovato due icone: una attinente al modem B-Quick con il segno di spunta di predifinito; l'altra con il nome di "connessione predefinita" e con il n° tel (7020102463).
Quest'ultima l'ho eliminata subito anche se, sia prima ke dopo non mi sono mai accorto di malfunzionamenti a parte qualche disconnessione di linea che mi costringeva riavviare il pc.
Qualche giorno fa, leggendo questa discussione a pag. 25, post 487, l'utente matita parlava dello stesso n°, allora ho fatto una ricerca con google ed ho notato ke fa riferimento al sito web "sfondiitaliani.it dove si scaricano sfondi o suonerie, se non ricordo bene; non mi sono mai collegato a questo sito.
Nella stessa pag., consigliavano di entrare nel bowser, >Strumenti>OpzioniInternet>schedaProtezione>SitiAttendibili>Siti, e nella finestrella SitiWeb cancellare la suddetta voce.
Aperta, ho trovato le seguenti voci: Playitalia.com, Sfondissimi.net, Archiviosex.net, Sgrunt.biz, Skymasters.biz; le ho cancellate tutte.
Non so se ho fatto bene, o se ho ottenuto un effetto contrario, fatto stà che alla successiva connessione, mi è apparso un avviso che mi diceva che si stava reindirizzando la linea ad un altro collegamento telefonico.
Preso un pò dal panico, ho chiuso tutto ed ho staccato i cavi del modem.
Non riesco spiegarmi l'accaduto xkè se non sbaglio, con l'ADSL non si viene dirottati in altre linee a pagamento come le 702, ma non si sa mai!!!!
Sapete x favore darmi spiegazioni??
Non ho capito se nella scheda "Siti Web" ci sono le voci attendibili o quelle da tener sotto controllo.
Vi allego il file di log, chiedendovi di analizzarlo, e se al n° 017 dovrebbe apparire l'indirizzo IP client ke risulta nei dettagli scheda modem klikando sui due televisorini, il quale nel mio caso è completamente diverso, essendo un gruppo di 4 cifre, contro le 8 del log.
Vi ringrazio anticipatamente, Valter
---------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 11.43.33, on 08/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\FSI\F-Prot\F-Sched.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\FSI\F-Prot\fpavupdm.exe
C:\PROGRA~1\Serv-U\ServUDaemon.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\FSI\F-Prot\F-StopW.exe
C:\Documents and Settings\Server Administrator\Desktop\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll (disabled by BHODemon)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programmi\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programmi\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094502777032
O17 - HKLM\System\CCS\Services\Tcpip\..\{80A56DA6-6123-4E3C-8009-DC145AE77348}: NameServer = 85.37.17.6 151.99.125.1
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programmi\FSI\F-Prot\fpavupdm.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - C:\PROGRA~1\Serv-U\ServUDaemon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programmi\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

[andorra24]

Il tuo log e' pulito. I dns della voce 017 sono di Alice adsl. Fai una scansione con ewido: http://download.ewido.net/ewido-setup.exe

[ValterManetta]

Quote:

Originariamente inviato da andorra24

Il tuo log e' pulito. I dns della voce 017 sono di Alice adsl. Fai una scansione con ewido: http://download.ewido.net/ewido-setup.exe

Grazie x la tempestività, adesso installo ewido e faccio una scansione
ciao

[juninho85]

Quote:

Originariamente inviato da ValterManetta

Tempo fa, aprendo le connessioni di rete, in remote ho trovato due icone: una attinente al modem B-Quick con il segno di spunta di predifinito; l'altra con il nome di "connessione predefinita" e con il n° tel (7020102463).
Quest'ultima l'ho eliminata subito anche se, sia prima ke dopo non mi sono mai accorto di malfunzionamenti a parte qualche disconnessione di linea che mi costringeva riavviare il pc.
Qualche giorno fa, leggendo questa discussione a pag. 25, post 487, l'utente matita parlava dello stesso n°, allora ho fatto una ricerca con google ed ho notato ke fa riferimento al sito web "sfondiitaliani.it dove si scaricano sfondi o suonerie, se non ricordo bene; non mi sono mai collegato a questo sito.
Nella stessa pag., consigliavano di entrare nel bowser, >Strumenti>OpzioniInternet>schedaProtezione>SitiAttendibili>Siti, e nella finestrella SitiWeb cancellare la suddetta voce.
Aperta, ho trovato le seguenti voci: Playitalia.com, Sfondissimi.net, Archiviosex.net, Sgrunt.biz, Skymasters.biz; le ho cancellate tutte.
Non so se ho fatto bene, o se ho ottenuto un effetto contrario, fatto stà che alla successiva connessione, mi è apparso un avviso che mi diceva che si stava reindirizzando la linea ad un altro collegamento telefonico.
Preso un pò dal panico, ho chiuso tutto ed ho staccato i cavi del modem.
Non riesco spiegarmi l'accaduto xkè se non sbaglio, con l'ADSL non si viene dirottati in altre linee a pagamento come le 702, ma non si sa mai!!!!
Sapete x favore darmi spiegazioni??
Non ho capito se nella scheda "Siti Web" ci sono le voci attendibili o quelle da tener sotto controllo.
V

nessuna linea a pagamento...non con le 702 almeno
prendi le giuste precauzioni ed edita il file host su system32/etc/drivers e inserisci le seguenti voci:
Playitalia.com 127.0.0.1
Sfondissimi.net 127.0.0.1
Archiviosex.net 127.0.0.1
Sgrunt.biz 127.0.0.1
Skymasters.biz 127.0.0.1

[ValterManetta]

Quote:

Originariamente inviato da juninho85

nessuna linea a pagamento...non con le 702 almeno
prendi le giuste precauzioni ed edita il file host su system32/etc/drivers e inserisci le seguenti voci:
Playitalia.com 127.0.0.1
Sfondissimi.net 127.0.0.1
Archiviosex.net 127.0.0.1
Sgrunt.biz 127.0.0.1
Skymasters.biz 127.0.0.1

--------------------------------------------------------------------------
grazie x l'informazione: x favore mi potresti indicare il procedimento esatto per inserire questi siti, e in quale file host li metto; come puoi notare dall'immg. allegata ci sono 4 host.
Nel primo ci sono migliaia d'indirizzi, "preceduti" dal n° (se non sbaglio) del mio
pc, cioè 127.0.0.1 penso inseriti automaticamente da spybot, però non ho trovato i suddetti, forse sconosciuti a spybot.
Il secondo è quello allegato, e nel terzo, scritto in inglese, c'è la seguente stringa: 192.168.0.1 server.mshome.net # ed un'altro n.° formato da 8 gruppi di cifre.
Il quarto mi sembra contenga una specie d'informazione.
------------------------------------------------------
X andorra24 :
ho fatto la scansione con EWIDO che ho scaricato dal tuo link, CAVOLI!!!!
91 minuti e 20 secondi, contro i 5 / 6 di F-Prot a.v. e Spybot che però non mi trovavano mai niente!!!!
Risultato: backdoor.ServU-based grave eliminato-
Heuristic. win32. Dialer, medio, sospetto eliminato-
Il secondo mi è stato chiesto di inviarlo, però penso di aver sbagliato il procedimento xkè l'ho eliminato prima, ho notato che si trovano ancora nella cartella "quarantena", devo eliminarli ancora?
Ultima domanda: ho visto ke EWIDO ha una licenza di 14 gg., però da altri link c'è la possibilità di scaricarlo free, sono la stessa cosa?
GRAZIE x la Vs. disponibilità, Byez

http://img436.imageshack.us/img436/4663/immhost5sf.jpg

[juninho85]

Quote:

Originariamente inviato da ValterManetta

--------------------------------------------------------------------------
grazie x l'informazione: x favore mi potresti indicare il procedimento esatto per inserire questi siti, e in quale file host li metto; come puoi notare dall'immg. allegata ci sono 4 host.
Nel primo ci sono migliaia d'indirizzi, "preceduti" dal n° (se non sbaglio) del mio
pc, cioè 127.0.0.1 penso inseriti automaticamente da spybot, però non ho trovato i suddetti, forse sconosciuti a spybot.
Il secondo è quello allegato, e nel terzo, scritto in inglese, c'è la seguente stringa: 192.168.0.1 server.mshome.net # ed un'altro n.° formato da 8 gruppi di cifre.
Il quarto mi sembra contenga una specie d'informazione.

inseriscili sotto quel "local host 127.0.0.1"

[andorra24]

Quote:

Originariamente inviato da ValterManetta

X andorra24 :
ho fatto la scansione con EWIDO che ho scaricato dal tuo link, CAVOLI!!!!
91 minuti e 20 secondi, contro i 5 / 6 di F-Prot a.v. e Spybot che però non mi trovavano mai niente!!!!
Risultato: backdoor.ServU-based grave eliminato-
Heuristic. win32. Dialer, medio, sospetto eliminato-
Il secondo mi è stato chiesto di inviarlo, però penso di aver sbagliato il procedimento xkè l'ho eliminato prima, ho notato che si trovano ancora nella cartella "quarantena", devo eliminarli ancora?
Ultima domanda: ho visto ke EWIDO ha una licenza di 14 gg., però da altri link c'è la possibilità di scaricarlo free, sono la stessa cosa?
GRAZIE x la Vs. disponibilità, Byez

http://img436.imageshack.us/img436/4663/immhost5sf.jpg

E' strano che la scansione di ewido sia durata cosi tanto. Solitamente il full scan dura molto di meno. Per quanto riguarda i files in quarantena direi che puoi eliminarli. Ewido dura 14 giorni in versione full (cioe' con la protezione in real time e gli updates automatici), scaduti questi 14 giorni puoi continuare ad usare il prodotto gratuitamente ma senza il real time e con gli updates da effettuare manualmente. E' un ottimo software ewido.

[ValterManetta]

Quote:

Originariamente inviato da andorra24

E' strano che la scansione di ewido sia durata cosi tanto. Solitamente il full scan dura molto di meno. Per quanto riguarda i files in quarantena direi che puoi eliminarli. Ewido dura 14 giorni in versione full (cioe' con la protezione in real time e gli updates automatici), scaduti questi 14 giorni puoi continuare ad usare il prodotto gratuitamente ma senza il real time e con gli updates da effettuare manualmente. E' un ottimo software ewido.

Ho fatto la scansione completa sul server che adopero x navigare, è un pentium III 600 MHz con solo 256 MB di memoria.
Potrà influire a rallentare la scansione il TeaTimer attivato di Spybot?
Secondo te, dovrei installare Ewido anche sull'altro pc (P IV 2600MHz unGB di ram) ke adopero solo x editare filmati?
Quando l'accendo e il server è collegato, a sua volta si connette x aggiornare Avast antivirus, quindi penso ke le difese del server non servano x proteggere anche questo!!!! Sbaglio???
Byez

[andorra24]

Quote:

Originariamente inviato da ValterManetta

Ho fatto la scansione completa sul server che adopero x navigare, è un pentium III 600 MHz con solo 256 MB di memoria.
Potrà influire a rallentare la scansione il TeaTimer attivato di Spybot?

Probabilmente influisce. Al limite mentre fai lo scan con ewido puoi disattivare per un po' il tea-timer.

Quote:

Originariamente inviato da ValterManetta

Secondo te, dovrei installare Ewido anche sull'altro pc (P IV 2600MHz unGB di ram) ke adopero solo x editare filmati?
Quando l'accendo e il server è collegato, a sua volta si connette x aggiornare Avast antivirus, quindi penso ke le difese del server non servano x proteggere anche questo!!!! Sbaglio???
Byez

Uno scan ogni tanto con ewido fallo anche sull'altro pc.

[Duff79]

Mi dareste una controllatina per favore?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Spamihilator\spamihilator.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
D:\Luca\Varie\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programmi\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - Startup: FreePOPs.lnk = C:\Programmi\FreePOPs\freepopsd.exe
O4 - Startup: SIGuardian.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53FFA686-A68A-4B70-9947-38FBF905B5CD}: NameServer = 213.205.32.70,213.205.36.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{53FFA686-A68A-4B70-9947-38FBF905B5CD}: NameServer = 213.205.32.70,213.205.36.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{53FFA686-A68A-4B70-9947-38FBF905B5CD}: NameServer = 213.205.32.70,213.205.36.70
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

[andorra24]

X Duff79:

Il tuo log e' pulito.

[ValterManetta]

una precisazione che forse sarà stata fatta più volte ma non ricordo di averla letta:
con EWIDO, o con altri SW antivir-spy, quando si elimina la voce da quarantena, è probabile ke il programma non funzioni +?
Vi chiedo questo, xkè dopo aver fatto la scansione (vedi qualche post sopra) il file infetto (backdoor alto rischio) ke si trovava dentro il programma ServU-FTP, mi sembra sia stato contrassegnato da una D celeste; dopo l'eliminazione da "quarantena" non l'ho + trovato.
Non so se il file è stato aggiunto dal malware xkè nel nome appariva la voce OLD (Serv-U\Old_servUDaemon.exe) o se è uno necessario al funzionamento.
Per fortuna è un prog. ke aveva installato anni fa mia figlia e non l' adopera +, anzi devo disinstallarlo x recuperare spazio e x rendere le scansioni + brevi.

Il secondo problema a medio rischio " Heuristic Win32.Dialer" si trovava in Windows\Downloaded\Program Files, dove ci sono i file di Java, Macromedia, ecc. non mi son accorto di variazioni, nessuno contrassegnato ed eliminato.
Un Grazie x l'attenzione, siete sempre gentili e premurosi,
Byez

[andorra24]

Quote:

Originariamente inviato da ValterManetta

una precisazione che forse sarà stata fatta più volte ma non ricordo di averla letta:
con EWIDO, o con altri SW antivir-spy, quando si elimina la voce da quarantena, è probabile ke il programma non funzioni +?
Vi chiedo questo, xkè dopo aver fatto la scansione (vedi qualche post sopra) il file infetto (backdoor alto rischio) ke si trovava dentro il programma ServU-FTP, mi sembra sia stato contrassegnato da una D celeste; dopo l'eliminazione da "quarantena" non l'ho + trovato.
Non so se il file è stato aggiunto dal malware xkè nel nome appariva la voce OLD (Serv-U\Old_servUDaemon.exe) o se è uno necessario al funzionamento.
Per fortuna è un prog. ke aveva installato anni fa mia figlia e non l' adopera +, anzi devo disinstallarlo x recuperare spazio e x rendere le scansioni + brevi.

Il secondo problema a medio rischio " Heuristic Win32.Dialer" si trovava in Windows\Downloaded\Program Files, dove ci sono i file di Java, Macromedia, ecc. non mi son accorto di variazioni, nessuno contrassegnato ed eliminato.
Un Grazie x l'attenzione, siete sempre gentili e premurosi,
Byez

Solitamente ewido fa sempre il backup di ogni cosa che elimina, quindi in caso di problemi puoi ripristinare il backup.