Immigration online e task manager disattivato

[warpino]

Salve ragazzi,

tentate tutte le altre strade (scansioni multiple e incrociate, off e online, cure it e tutto il resto) non mi resta che postare un nuovo thread.

Il laptop su cui sto lavorando è ultimamente lentissimo e molto instabile. Quando sono connesso a internet si apre una finestra di IE dal titolo "Immigartion ONline" o qualcosa di simile. Da premettere che io OVVIAMENTE non uso mai IExplorer ma solo Firefox.
Il motore di AVG continua a funzionare (posso eseguire scansioni) ma la protezione in tempo reale non funziona, se provo a lanciare manualmente il Control Center mi dice che è impossibile. La scansione, comunque, rivela puntualmente vari Trojan che vengono sistematicamente eliminati.
Il punto peggiore è che non funziona il Task Manager!!! O meglio, lo lancio e compare solo la barra inferiore con i tasti "Termina Operazione" e "Passa a".

Mi sembra ovvio che si tratta di un brutto virus, ma in rete non ho trovato niente a cui potessi accomunare i sintomi... Avete qualche idea??? Mi permetto di allegare il log di Hijackthis,

grazie infinite!!

w.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.55.37, on 02/10/2007
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programmi\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\donatella.NATUCCIO-EN2IHC\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/startpage/dial_up/ita/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4EAADBF6-0D20-4B76-AAAD-E4911E88D8B0} - C:\WINDOWS\System32\tuvsq.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\ddcayay.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\uypghcwk.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?269e83eefd2f4b248c3a9fca6a06cabf
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?269e83eefd2f4b248c3a9fca6a06cabf
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/startpage/dial_up/ita/
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1128090370620
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1128089675029
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O20 - Winlogon Notify: ddcayay - C:\WINDOWS\SYSTEM32\ddcayay.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 7063 bytes

[Chill-Out]

Da fixare:
O2 - BHO: (no name) - {4EAADBF6-0D20-4B76-AAAD-E4911E88D8B0} - C:\WINDOWS\System32\tuvsq.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\ddcayay.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\uypghcwk.dll",sitypnow
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O20 - Winlogon Notify: ddcayay - C:\WINDOWS\SYSTEM32\ddcayay.dll
Non vedo ne SP2 ne Firewall.
Disabilita ripristino configurazione sistema
Scarica CCleaner per la pulizia dei file temporanei da qui: http://www.filehippo.com/download/83...b540/download/ installalo senza la toolbar di Yahoo, lancialo, clicca su opzione, avanzate, spunta la casella "Cancella file Windows Temp solo se più vecchi di 48 ore" ed avvia la pulizia.
Scarica FindAwf da qui: http://noahdfear.geekstogo.com/FindAWF.exe
doppio clic si aprira una finestra, premi invio, si aprirà il blocco note, copia quello che c'è all'interno e lo posti qui.

[warpino]

Fatto tutto..

questo è il report di AWF

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\LAUNCH~1\BAK

12/05/2003 15.05 167.936 CtrlVol.exe
19/05/2003 12.51 45.056 HotkeyApp.exe
12/05/2003 14.28 32.768 LaunchAp.exe
30/08/2002 16.02 94.208 PowerKey.exe
28/05/2003 11.02 53.248 Wbutton.exe
5 File 393.216 byte
2 Directory 11.191.296.000 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\LTMOH\BAK

25/11/2002 04.23 172.032 Ltmoh.exe
1 File 172.032 byte
2 Directory 11.191.291.904 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 11.191.291.904 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 11.191.291.904 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\WINDOWS\SYSTEM32\BAK

31/08/2001 12.00 13.312 ctfmon.exe
06/04/2003 18.07 114.688 hkcmd.exe
06/04/2003 18.19 155.648 igfxtray.exe
09/07/2001 12.50 155.648 NeroCheck.exe
4 File 439.296 byte
2 Directory 11.191.291.904 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\ACER\NOTEBO~1\BAK

16/05/2003 18.09 509.952 almxptray.exe
1 File 509.952 byte
2 Directory 11.191.291.904 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK

21/01/2007 15.06 369.664 avgcc.exe
1 File 369.664 byte
2 Directory 11.191.291.904 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\SKYPE\PHONE\BAK

0 File 0 byte
2 Directory 11.191.291.904 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\THOMSON\SPEEDT~1\BAK

26/01/2004 12.38 866.816 Dragdiag.exe
1 File 866.816 byte
2 Directory 11.191.291.904 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~1\121128~1.546\BAK

15/02/2007 12.27 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 11.191.291.904 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 80A2-28E4

Directory di C:\PROGRA~1\ADOBE\PHOTOS~1\3.0\APPS\BAK

07/07/2005 19.41 57.344 apdproxy.exe
1 File 57.344 byte
2 Directory 11.191.291.904 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

167936 12 May 2003 "C:\Programmi\Launch Manager\bak\CtrlVol.exe"
45056 19 May 2003 "C:\Programmi\Launch Manager\bak\HotkeyApp.exe"
32768 12 May 2003 "C:\Programmi\Launch Manager\bak\LaunchAp.exe"
94208 30 Aug 2002 "C:\Programmi\Launch Manager\bak\PowerKey.exe"
53248 28 May 2003 "C:\Programmi\Launch Manager\bak\Wbutton.exe"
172032 25 Nov 2002 "C:\Programmi\ltmoh\bak\Ltmoh.exe"
13312 31 Aug 2001 "C:\WINDOWS\system32\ctfmon.exe"
13312 31 Aug 2001 "C:\WINDOWS\system32\bak\ctfmon.exe"
15360 20 Aug 2004 "C:\WINDOWS\SoftwareDistribution\Download\59c09c8627b551c5be08ab5777d2dca8\ctfmon.exe"
114688 6 Apr 2003 "C:\WINDOWS\LastGood.Tmp\system32\hkcmd.exe"
114688 6 Apr 2003 "C:\WINDOWS\system32\bak\hkcmd.exe"
114688 6 Apr 2003 "C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\hkcmd.exe"
155648 6 Apr 2003 "C:\WINDOWS\LastGood.Tmp\system32\igfxtray.exe"
155648 6 Apr 2003 "C:\WINDOWS\system32\bak\igfxtray.exe"
155648 6 Apr 2003 "C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\igfxtray.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
509952 16 May 2003 "C:\Programmi\Acer\Notebook Manager\bak\almxptray.exe"
369664 21 Jan 2007 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
866816 26 Jan 2004 "C:\Programmi\Thomson\SpeedTouch USB\bak\Dragdiag.exe"
52272 15 Feb 2007 "C:\Programmi\Google\googletoolbar3user.exe"
138168 15 Feb 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
171448 15 Feb 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
57344 7 Jul 2005 "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe"


end of report

[juninho85]

francamente....se non hai intenzione di installarti il service pack 2 una volta risolto il problema nemmeno val la pena sprecar tempo

[warpino]

guarda, lo stavo già scaricando

[wizard1993]

intanto con questo
http://www.megalab.it/articoli.php?id=946

inserisci questo script
Files to delete:
"C:\WINDOWS\SoftwareDistribution\Download\59c09c8627b551c5be08ab5777d2dca8\ctfmon.exe"
"C:\WINDOWS\LastGood.Tmp\system32\hkcmd.exe"
"C:\WINDOWS\system32\bak\hkcmd.exe"
"C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\hkcmd.exe"
"C:\WINDOWS\LastGood.Tmp\system32\igfxtray.exe"
"C:\WINDOWS\system32\bak\igfxtray.exe"
"C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\igfxtray.exe"

per il ripristino degli altri file ci lavoro

[warpino]

La protezione di AVG adesso funziona, ma il Task Manager è ancora fuori uso, non é che se adesso installo il SP2 mi si aggiusta da solo??

w.

PS: ma che cosa mi ero preso esattamente?

[wizard1993]

un po di robaccia, che errore i da quando tenti di aprire il task manager?

[warpino]

semplicemente:

del task manager si vedono solo i pulsanti "Termina operazione", "Passa a" e "Nuova operazione".

Nella barra applicazioni si vede solo l'icona e non la scritta "Task Manager Windows".

Non è possibile chiuderlo!

io intanto provo a mettere l'SP2

w.

[Riverside]

Quote:

Originariamente inviato da warpino

io intanto provo a mettere l'SP2

Direi che sarebbe il caso.

[Chill-Out]

Sinceramente pensavo che l'avessi già installato e da ieri che ti si dice.

[warpino]

installato l'SP 2. Ancora niente Task Manager...

i sintomi sono quelli che vi ho detto.

[Chill-Out]

Quote:

Originariamente inviato da warpino

installato l'SP 2. Ancora niente Task Manager...

i sintomi sono quelli che vi ho detto.

Fai questa prova

• Start -> Esegui -> "Regedit"
• Cerca la sottochiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
• Per riattivare il TaskManager impostare la chiave DisableTaskMgrcol valore 0

[warpino]

Niente, niente di niente.

Ho perfino usato un programmino che permette di abilitare/disabilitare Taskman

Ho copiato e incollato il taskman di un altro computer.

zero, continua a fare lo stesso gioco.

w.