Problema Dialer aiuto vi prego - Pagina 5

juninho85 · 21-10-2007, 00:35

Quote:

Originariamente inviato da albygpf

li ho fatti analizzare tutti nessun infetto

strano.
oltre il problema del dialer avresti anche questo

Quote:

C:\WINDOWS\syss.dll

da eliminare,però se non riesci a trovarmi gli altri due file che lo rigenerano siamo a punta da capo

albygpf · 21-10-2007, 09:53

Quote:

Originariamente inviato da juninho85

strano.
oltre il problema del dialer avresti anche questo

da eliminare,però se non riesci a trovarmi gli altri due file che lo rigenerano siamo a punta da capo

non ci sono quei due

juninho85 · 21-10-2007, 12:20

lo scan di gmer l'hai già fatto?

albygpf · 21-10-2007, 13:01

Quote:

Originariamente inviato da juninho85

lo scan di gmer l'hai già fatto?

Codice:

GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-10-21 13:01:37
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.13 ----

SSDT    a347bus.sys                                                                                    ZwClose
SSDT    a347bus.sys                                                                                    ZwCreateKey
SSDT    a347bus.sys                                                                                    ZwCreatePagingFile
SSDT    a347bus.sys                                                                                    ZwEnumerateKey
SSDT    a347bus.sys                                                                                    ZwEnumerateValueKey
SSDT    a347bus.sys                                                                                    ZwOpenFile
SSDT    a347bus.sys                                                                                    ZwOpenKey
SSDT    \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys                                              ZwOpenProcess
SSDT    a347bus.sys                                                                                    ZwQueryKey
SSDT    a347bus.sys                                                                                    ZwQueryValueKey
SSDT    a347bus.sys                                                                                    ZwSetSystemPowerState
SSDT    \??\C:\Programmi\ewido anti-spyware 4.0\guard.sys                                              ZwTerminateProcess
SSDT    \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                ZwUnloadKey

---- Kernel code sections - GMER 1.0.13 ----

.text   ntkrnlpa.exe!ZwCallbackReturn + 2748                                                           8050144C 2 Bytes  [ D0, D6 ]
?       C:\WINDOWS\system32\Drivers\uphcleanhlp.sys                                                    Impossibile trovare il file specificato.

---- User code sections - GMER 1.0.13 ----

.text   C:\Programmi\Internet Explorer\iexplore.exe[2240] USER32.dll!DialogBoxParamW                   77D2662C 5 Bytes  JMP 435FF2C1 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2240] USER32.dll!DialogBoxIndirectParamW           77D32043 5 Bytes  JMP 4379030F C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2240] USER32.dll!MessageBoxIndirectA               77D3A05A 5 Bytes  JMP 43790290 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2240] USER32.dll!DialogBoxParamA                   77D3B11C 5 Bytes  JMP 437902D4 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2240] USER32.dll!MessageBoxExW                     77D50538 5 Bytes  JMP 4379021C C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2240] USER32.dll!MessageBoxExA                     77D5055C 5 Bytes  JMP 43790256 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2240] USER32.dll!DialogBoxIndirectParamA           77D56CAD 5 Bytes  JMP 4379034A C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2240] USER32.dll!MessageBoxIndirectW               77D66093 3 Bytes  JMP 43621676 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2240] USER32.dll!MessageBoxIndirectW + 4           77D66097 1 Byte  [ CB ]
.text   C:\Programmi\Internet Explorer\iexplore.exe[2688] USER32.dll!DialogBoxParamW                   77D2662C 5 Bytes  JMP 435FF2C1 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2688] USER32.dll!DialogBoxIndirectParamW           77D32043 5 Bytes  JMP 4379030F C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2688] USER32.dll!MessageBoxIndirectA               77D3A05A 5 Bytes  JMP 43790290 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2688] USER32.dll!DialogBoxParamA                   77D3B11C 5 Bytes  JMP 437902D4 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2688] USER32.dll!MessageBoxExW                     77D50538 5 Bytes  JMP 4379021C C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2688] USER32.dll!MessageBoxExA                     77D5055C 5 Bytes  JMP 43790256 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2688] USER32.dll!DialogBoxIndirectParamA           77D56CAD 5 Bytes  JMP 4379034A C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2688] USER32.dll!MessageBoxIndirectW               77D66093 3 Bytes  JMP 43621676 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[2688] USER32.dll!MessageBoxIndirectW + 4           77D66097 1 Byte  [ CB ]
.text   C:\Programmi\Internet Explorer\iexplore.exe[3060] USER32.dll!DialogBoxParamW                   77D2662C 5 Bytes  JMP 435FF2C1 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[3060] USER32.dll!DialogBoxIndirectParamW           77D32043 5 Bytes  JMP 4379030F C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[3060] USER32.dll!MessageBoxIndirectA               77D3A05A 5 Bytes  JMP 43790290 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[3060] USER32.dll!DialogBoxParamA                   77D3B11C 5 Bytes  JMP 437902D4 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[3060] USER32.dll!MessageBoxExW                     77D50538 5 Bytes  JMP 4379021C C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[3060] USER32.dll!MessageBoxExA                     77D5055C 5 Bytes  JMP 43790256 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[3060] USER32.dll!DialogBoxIndirectParamA           77D56CAD 5 Bytes  JMP 4379034A C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[3060] USER32.dll!MessageBoxIndirectW               77D66093 3 Bytes  JMP 43621676 C:\WINDOWS\system32\IEFRAME.dll
.text   C:\Programmi\Internet Explorer\iexplore.exe[3060] USER32.dll!MessageBoxIndirectW + 4           77D66097 1 Byte  [ CB ]
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] kernel32.dll!LoadResource                         7C80A065 7 Bytes  JMP 27001B70 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] kernel32.dll!FindResourceExW                      7C80AB10 7 Bytes  JMP 27001AE0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] kernel32.dll!FindResourceW                        7C80BA56 7 Bytes  JMP 27001A60 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] kernel32.dll!SizeofResource                       7C80BAF1 7 Bytes  JMP 27001C20 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] kernel32.dll!LockResource                         7C80C6CF 2 Bytes  JMP 27001CD0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] kernel32.dll!LockResource + 3                     7C80C6D2 2 Bytes  [ 7F, AA ]
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] kernel32.dll!SetUnhandledExceptionFilter          7C810386 5 Bytes  JMP 004DE392 C:\Programmi\MSN Messenger\msnmsgr.exe
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] kernel32.dll!CreateEventA                         7C81E4BD 5 Bytes  JMP 27001840 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] ADVAPI32.dll!CryptDeriveKey                       77F5A685 7 Bytes  JMP 27001000 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] ADVAPI32.dll!CryptDecrypt                         77F5A7B1 2 Bytes  JMP 27001050 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] ADVAPI32.dll!CryptDecrypt + 3                     77F5A7B4 4 Bytes  [ 0A, AF, CC, CC ]
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] USER32.dll!PeekMessageW                           77D1929B 5 Bytes  JMP 27003760 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] USER32.dll!CreateWindowExW                        77D1FF50 5 Bytes  JMP 27003270 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] USER32.dll!SetWindowRgn                           77D202DD 7 Bytes  JMP 27004AB0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] USER32.dll!CreateDialogParamW                     77D284EE 5 Bytes  JMP 27004E30 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] USER32.dll!SetWindowPlacement                     77D2DF46 5 Bytes  JMP 270049D0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] USER32.dll!FlashWindow                            77D55C5C 5 Bytes  JMP 27004B50 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] USER32.dll!MessageBoxIndirectW                    77D66093 5 Bytes  JMP 27004F90 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] USER32.dll!TrackPopupMenuEx                       77D6CB1A 5 Bytes  JMP 27003F30 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] WS2_32.dll!send                                   71A3428A 5 Bytes  JMP 270095A0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] WS2_32.dll!WSARecv                                71A34318 5 Bytes  JMP 27009390 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] WS2_32.dll!recv                                   71A3615A 5 Bytes  JMP 27009200 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] WS2_32.dll!WSASend                                71A36233 5 Bytes  JMP 27009720 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] WS2_32.dll!closesocket                            71A39639 5 Bytes  JMP 27009930 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] SHELL32.dll!Shell_NotifyIconW                     7CA31B0A 5 Bytes  JMP 27002BA0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] ole32.dll!CoInitializeEx                          774CEF6B 5 Bytes  JMP 27001D30 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] ole32.dll!CoRegisterClassObject                   774E8720 5 Bytes  JMP 27001E30 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] WININET.dll!InternetCloseHandle                   4330DA89 5 Bytes  JMP 27008460 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] WININET.dll!HttpOpenRequestA                      43314361 5 Bytes  JMP 27008180 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] WININET.dll!InternetReadFile                      4331ABBC 5 Bytes  JMP 270082E0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text   C:\Programmi\MSN Messenger\msnmsgr.exe[3540] WININET.dll!HttpSendRequestA                      4331CD40 5 Bytes  JMP 270083B0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll

---- User IAT/EAT - GMER 1.0.13 ----

IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]    [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetProcAddress]     [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]   [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!GetProcAddress]   [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]   [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]   [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]   [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]     [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]  [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]    [5CF97774] C:\WINDOWS\system32\ShimEng.dll
IAT     C:\WINDOWS\Explorer.EXE[460] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]   [5CF97774] C:\WINDOWS\system32\ShimEng.dll

Device  \FileSystem\Ntfs \Ntfs IRP_MJ_READ                                                             8A556488

---- Modules - GMER 1.0.13 ----

Module  _________                                                                                      BA6BD000-BA6D5000 (98304 bytes)

---- EOF - GMER 1.0.13 ----

lancetta · 23-10-2007, 11:51

Quote:

Originariamente inviato da juninho85

falli analizzare uno alla volta qui

quelli sono di kaspersky...sono i file che scansiona e poi rinomina per velocizzare lo scan in seguito....

albygpf....non conosci il percorso del dialer?

albygpf · 23-10-2007, 17:30

Quote:

Originariamente inviato da lancetta

quelli sono di kaspersky...sono i file che scansiona e poi rinomina per velocizzare lo scan in seguito....

albygpf....non conosci il percorso del dialer?

no magari

lancetta · 23-10-2007, 19:13

Quote:

Originariamente inviato da albygpf

no magari

fai una complete scan da superantispyware e gentilmente se riporti qui il log che ti rilascia.
Poi un altro giro con elistarta..gli ads puoi tranquillamente fixarli.Poi apri hijackthis Open the Misc Tools section->Generate StartupList log ti darà un log memorizzato nella clipboard...per visualizzarlo clic dx su un punto vuoto del desktop Nuovo->documento di testo apri il file notepad e fai incolla all'interno ci sarà il log di start up del pc che riporterai qui.

albygpf · 23-10-2007, 19:38

antivir mi segnala questo virus TR/Fake.GoogleB.A.1

questo è il log di hijackthis

Codice:

StartupList report, 23/10/2007, 19.31.25
StartupList version: 1.52.2
Started from : C:\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v7.00 (7.00.6000.16544)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\UPHClean\uphclean.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programmi\eMule\emule.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica]
BlueSoleil.lnk = ?

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

BluetoothAuthenticationAgent = "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent
SpeedTouch USB Diagnostics = "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
SunJavaUpdateSched = "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
avgnt = "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ccleaner = "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
SUPERAntiSpyware = C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = Notepad.exe "%1"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}
Google Toolbar Helper - C:\Documents and Settings\AMD\Google\googletoolbar1.dll - {AA58ED58-01DD-4D91-8333-CF10577473F7}
(no name) - C:\Programmi\Live_TV\tbLive.dll - {b69a9db4-d0a1-4722-b56b-f20757a29cdf}

--------------------------------------------------

Enumerating Task Scheduler jobs:

kmx.job
ldeyyy.job
ujfinrro.job

--------------------------------------------------

Enumerating Download Program Files:

[CKAVWebScan Object]
InProcServer32 = C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
CODEBASE = http://www.kaspersky.com/kos/eng/par...an_unicode.cab

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL
CODEBASE = http://download.microsoft.com/downlo...eckControl.cab

[TotalScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ascstubie.dll
CODEBASE = http://www.nanoscan.com/as/v1/cabs/ascstubie.cab

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://www.update.microsoft.com/wind...?1192475595508

[{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]
CODEBASE = http://fpdownload.macromedia.com/get.../ultrashim.cab

[ActiveScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll
CODEBASE = http://acs.pandasoftware.com/actives...ree/asinst.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:\WINDOWS\system32\wshbth.dll

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOCUME~1\AMD\Cookies\index.dat||C:\Documents and Settings\All Users\Dati applicazioni\Avira\AntiVir PersonalEdition Classic\Update\AVUPDATE_471e0c83\UPDENGVDFTEST||C:\DOCUME~1\AMD\IMPOST~1\Temp\drmtemp009E1C8F.htm||C:\DOCUME~1\AMD\IMPOST~1\Temp\drmtemp009E4661.htm||C:\DOCUME~1\AMD\IMPOST~1\Temp\drmtemp009F88F3.htm||C:\DOCUME~1\AMD\IMPOST~1\Temp\drmtemp009F8B92.htm||C:\DOCUME~1\AMD\IMPOST~1\Temp\drmtemp009F9532.htm


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 7.460 bytes
Report generated in 0,050 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only


E QUESTO DI SUPERANTISPYWARE

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 10/23/2007 at 07:37 PM

Application Version : 3.9.1008

Core Rules Database Version : 3259
Trace Rules Database Version: 1270

Scan type       : Complete Scan
Total Scan Time : 00:02:50

Memory items scanned      : 0
Memory threats detected   : 0
Registry items scanned    : 6159
Registry threats detected : 0
File items scanned        : 651
File threats detected     : 5

Adware.Tracking Cookie
	C:\Documents and Settings\AMD\Cookies\amd@atdmt[2].txt
	C:\Documents and Settings\AMD\Cookies\amd@youporn[2].txt
	C:\Documents and Settings\AMD\Cookies\[email protected][1].txt
	C:\Documents and Settings\AMD\Cookies\[email protected][1].txt
	C:\Documents and Settings\AMD\Cookies\[email protected][1].txt

xcdegasp · 24-10-2007, 01:08

mi spieghi da dove hai preso questa versione straobsoleta di HiJackThis quando in un post precedente hai usato la 1.9 ?
esattamente qui:
http://www.hwupgrade.it/forum/showpo...0&postcount=58

inoltre abituati a usare il tag code.

qua nessuno si diverte a darti una mano e non è nemmeno corretto scherzare con il tempo che dedicano le persone gratuitamente sul forum ad aiutare persone come te.
detto questo spero seriamente di non vedere altre cose del genere

lancetta · 24-10-2007, 11:36

Quote:

Originariamente inviato da xcdegasp

mi spieghi da dove hai preso questa versione straobsoleta di HiJackThis quando in un post precedente hai usato la 1.9 ?
esattamente qui:
http://www.hwupgrade.it/forum/showpo...0&postcount=58

inoltre abituati a usare il tag code.

qua nessuno si diverte a darti una mano e non è nemmeno corretto scherzare con il tempo che dedicano le persone gratuitamente sul forum ad aiutare persone come te.
detto questo spero seriamente di non vedere altre cose del genere

hem...degasp

quello è il log dello startup list è sempre di hijack ma la versione modulo è quella...tra l'altro l'avevo chiesto io per analizzarlo......

lancetta · 24-10-2007, 12:05

allora albygpf : Disconnettiti dal web,abilita la visualizzazione di cartelle e file nascosti (apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica)

Vai in C:\Windows\Temp e cancella tutto quello che c'è all'interno (no la cartella)........vai in C:\Windows\Tasks e cancella tutto all'interno (no la cartella)ci dovrebbero essere 3 voci .
Poi vedi se riesci a cancellare il dialer.....fammi sapere.

albygpf · 24-10-2007, 15:41

Quote:

Originariamente inviato da lancetta

allora albygpf : Disconnettiti dal web,abilita la visualizzazione di cartelle e file nascosti (apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica)

Vai in C:\Windows\Temp e cancella tutto quello che c'è all'interno (no la cartella)........vai in C:\Windows\Tasks e cancella tutto all'interno (no la cartella)ci dovrebbero essere 3 voci .
Poi vedi se riesci a cancellare il dialer.....fammi sapere.

tasks è vuota

lancetta · 24-10-2007, 16:12

Quote:

Originariamente inviato da albygpf

tasks è vuota

sicuro? hai cercato nel percorso giusto,visualizzando i file nascosti?
fai la ricerca di questi 3 file per favore

kmx
ldeyyy
ujfinrro
e vedi nelle proprietà se ti dice qualcosa............

albygpf · 24-10-2007, 16:24

Quote:

Originariamente inviato da lancetta

sicuro? hai cercato nel percorso giusto,visualizzando i file nascosti?
fai la ricerca di questi 3 file per favore

kmx
ldeyyy
ujfinrro
e vedi nelle proprietà se ti dice qualcosa............

si sicuro cmq non li trovo quei tre file con "CERCA"

xcdegasp · 24-10-2007, 17:38

Quote:

Originariamente inviato da lancetta

hem...degasp

quello è il log dello startup list è sempre di hijack ma la versione modulo è quella...tra l'altro l'avevo chiesto io per analizzarlo......

ok ...

lancetta · 25-10-2007, 00:36

scusami ma c'è qualcosa che non quadra........
)1il dialer è sempre lì?
)2non si fà cancellare?
3)fatta la pulizia dei temp?
4)mi rifai il log normale e poi dello start up list?Grazie.

lancetta · 25-10-2007, 00:39

Quote:

Originariamente inviato da xcdegasp

ok ...

Dai Mod

con tutti i post che guardi..ed a volte in modo veloce....

puo succedere

xcdegasp · 25-10-2007, 08:13

stare dietro a tutte le aree di questa sezione è dura...
cmq è effettivamente da molto che non uso quella funzione di HiJackThis, forza di guaradre i log standard...

albygpf · 25-10-2007, 15:07

Quote:

Originariamente inviato da lancetta

scusami ma c'è qualcosa che non quadra........
)1il dialer è sempre lì?
)2non si fà cancellare?
3)fatta la pulizia dei temp?
4)mi rifai il log normale e poi dello start up list?Grazie.

si esatto è sempre li

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 15.06.24, on 25/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\UPHClean\uphclean.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Live_TV toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Programmi\Live_TV\tbLive.dll
O3 - Toolbar: Live_TV toolbar - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - C:\Programmi\Live_TV\tbLive.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1192475595508
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8441EF31-67FD-4725-A872-9AA23716700C}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas   www.tgsoft.it - C:\VEXPLITE\viritsvc.exe







StartupList report, 25/10/2007, 15.07.16
StartupList version: 1.52.2
Started from : C:\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v7.00 (7.00.6000.16544)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\UPHClean\uphclean.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica]
BlueSoleil.lnk = ?

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

BluetoothAuthenticationAgent = "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent
SpeedTouch USB Diagnostics = "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
SunJavaUpdateSched = "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
avgnt = "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ccleaner = "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
SUPERAntiSpyware = C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = Notepad.exe "%1"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}
(no name) - C:\Programmi\Live_TV\tbLive.dll - {b69a9db4-d0a1-4722-b56b-f20757a29cdf}

--------------------------------------------------

Enumerating Task Scheduler jobs:

kmx.job
ldeyyy.job
ujfinrro.job

--------------------------------------------------

Enumerating Download Program Files:

[CKAVWebScan Object]
InProcServer32 = C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
CODEBASE = http://www.kaspersky.com/kos/eng/par...an_unicode.cab

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:\WINDOWS\system32\LegitCheckControl.DLL
CODEBASE = http://download.microsoft.com/downlo...eckControl.cab

[TotalScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ascstubie.dll
CODEBASE = http://www.nanoscan.com/as/v1/cabs/ascstubie.cab

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\system32\wuweb.dll
CODEBASE = http://www.update.microsoft.com/wind...?1192475595508

[{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]
CODEBASE = http://fpdownload.macromedia.com/get.../ultrashim.cab

[ActiveScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll
CODEBASE = http://acs.pandasoftware.com/actives...ree/asinst.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:\WINDOWS\system32\wshbth.dll

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOCUME~1\AMD\Cookies\index.dat|||C

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
End of report, 6.767 bytes
Report generated in 0,020 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only

Riverside · 25-10-2007, 21:04

Quote:

Originariamente inviato da lancetta

scusami ma c'è qualcosa che non quadra........ il dialer è sempre lì?
....... non si fà cancellare?

Socio ciao: eccerto che è ancora li ...... per forza.

Quote:

Originariamente inviato da albygpf

….. omissis ...…

Ho riletto l’intera discussione ed ho ricontrollato quasi tutti i log che hai pubblicato.
Premetto che è praticamente impossibile che, passata più di una settimana tu non sia ancora riuscito a determinare dove alloggerebbe questo presunto dialer di cui lamenti la presenza.
Ho, anche notato che, oltre a seguire solo parzialmente, i consigli che ti sono stati offerti nel corso della discussione, hai assunto diverse iniziative personali che non hanno fatto altro che complicare, ulteriormente la situazione.
Questo è un esempio:

Quote:

Originariamente inviato da albygpf

antivir mi segnala questo virus TR/Fake.GoogleB.A.1

Dal primo log di HThis che hai pubblicato si evidenzia chiaramente, che oltre a diversi altri programmi, sul tuo P.C. era installato Kaspersky Antivirus.
Non si capisce la ragione per la quale, tu lo abbia disinstallato per installare Avira Antivir (nessuno ti ha consigliato di sostituirlo).
Tra l'altro non ho capito se il virus che ora ti viene segnalato da Antivir, che è compreso tra quelli inseriti nell’aggiornamento del DBase rilasciato il 17/10/2007 vedi qui - sia stato, o meno, rimosso.
Tieni conto che Antivir è, certamente, un ottimo Antivirus ma spesso, per la versione Free, accade che passino diversi giorni prima di riuscire a scaricare gli aggiornamenti.

E’ anche inutile sottolineare come, fino a quando navighi in siti dove becchi roba come questa:

Quote:

Originariamente inviato da albygpf

antivir mi segnala questo virus TR/Fake.GoogleB.A.1 …….. C:\Documents and Settings\AMD\Cookies\amd@youporn[2].txt

sarai, sempre, esposto a rischi (ma è un tuo problema).

Insomma, direi che sia il caso di ripartire dall’inizio, seguendo una certa logica altrimenti, non se ne esce più.

Quindi ti suggerisco di procedere in questo modo (ovviamente sei libero di non seguire il mio suggerimento):

=======================

Disattiva il Ripristino configurazione di sistema
Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della intera procedura

=======================

Provvedi a svuotare del suo contenuto la cartella Prefetch:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila e cerca la cartella Prefetch: la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

=======================

per impedire l’autoinstallazione di Dialer
● Risorse del Computer
● Disco locale C:
● Documents and Settings
● All Users
vai in Strumenti \ Opzioni cartella \ Visualizzazione ed attiva Visualizza file e cartelle nascoste - Applica - e poi prosegui:
● Dati applicazioni
● Microsoft
● Network
● Connections
● Pbk
● tasto destro del mouse sul file rasphone.pbk - Proprietà e spunti la voce solo lettura
Se in futuro dovesse essere necessario attivare nuovi connessioni, rasphone.pbk deve essere riportato alla condizione originaria.

=======================

Cestina tutti i Tool che hai utilizzato fino ad ora, comprese le relative cartelle e file Log

=======================

Disinstalla, per ora, Avira Antivir e, definitivamente, VirIt

=======================

Cestina la versione di HiJackThis che stai utilizzando (cartella e log compresi) e scarica quella più recente (v.2.0.2): clicca qui per il download
● crea una nuova Cartella in C:/Programmi (chiamala HThis o come preferisci)
● scompatta, all'interno della cartella creata, il file Zip

=======================

Disinstalla la versione di CCLEANER che stai utilizzando ed installa quella più recente: clicca qui per il download
Una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci indicate nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia
● clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, spunta tutte le voci indicate nella sezione
● clicca sul tasto Trova problemi ed avvia una scansione
● al termine della scansione clicca sulla voce Ripara selezionati e prosegui

=======================

Installa PANDA ANTIROOTKIT: clicca qui per il download
● scompatta il file Zip, sul Desktop
● lancia il Tool (si aggiorna automaticamente) ed esegui una scansione per verificare la presenza, o meno, di Rootkit, sul P.C. (se rilevati, verranno rimossi)

=======================

Installa ASQUARED FREE: clicca qui per il download
Una volta installato, lancia il programma, e dalla finestra principale:
● scarica gli aggiornamenti (al termine dell’aggiornamento, potrebbe essere richiesto il riavvio)
● lancia una scansione del sistema in modalità Deep Scan e rimuovi (non mettere in quarantena) tutto ciò che viene rilevato.
Asquared, sporadicamente ed in casi limitati, indica come da rimuovere riferimenti a Software, Client di Chat come MIrc e/o Script realizzati su base MIrc, fotocamere digitali e/o scanner, eventualmente installati sul P.C.; riferimenti che non devono essere rimossi perché, la loro eliminazione potrebbe causare malfunzionamenti o, il non funzionamento, di quei programmi (che dovranno essere, prima, disinstallati e poi, reinstallati)

=======================

Installa ASQUARED ANTIDIALER FREE: clicca qui per il download
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema
Lascialo installato, perché oltre ad aggiornarsi in automatico, ha una funzione di protezione in tempo reale.

=======================

Installa NOD32 ANTIVIRUS (è in prova gratuita per 30 giorni): clicca qui per il download
● scarica gli aggiornamenti ma non eseguire, ancora nessuna scansione

=======================

Riscarica i seguenti Tool ma non li eseguire, ancora::

ELISTARTA TOOL: clicca qui per il download
per scaricare il tool scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA
● per comodità, posizionalo su Desktop
quando lo dovrai eseguire:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt (lo trovi in Risorse del Computer - Disco Locale C )
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

=======================

SYSCLEAN TRENDMICRO: clicca qui per il download
● devi creare, una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download
● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni

=======================

A questo punto, dopo aver eseguito la pulizia, in modalità normale, con
● CCLEANER
● PANDA ANTIROOTKIT
● ASQUARED
● ASQUARED ANTIDIALER FREE

ripulisci gli eventuali ADS ancora presenti:
● rilanci HTHIS
● clicca sulla voce Open the Misc Tool section
● clicca su Open ADS Spy
● clicca su Scan
● se venissero rilevati ADS spunta tutte le caselline e clicca su Remove Selected

=======================

Terminata questa fase, riavvia ed accedi al sistema, in modalità provvisoria, con l’account Administrator ed esegui:
● scansione completa del sistema con NOD32
● scansione con ELISTARTA
● scansione con SYSCLEAN TRENDMICRO
● ripeti sia la Pulizia che la scansione Problemi, con CCLEANER

=======================

Terminate la scansioni riavvia il sistema ed accedi al sistema in modalità normale:
● esegui uno controllo con HTHIS
● pubblichi i log di: ELISTARTA, SYSCLEAN e HTHIS.

=======================

Annota e facci sapere tutto ciò che viene rilevato e rimosso da ASQUARED e gli eventuali virus che verranno rilevati e rimossi da NOD32 in maniera che si possa, finalmente, capire, qualcosa.

24-10-2007, 01:08	#89
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	mi spieghi da dove hai preso questa versione straobsoleta di HiJackThis quando in un post precedente hai usato la 1.9 ? esattamente qui: http://www.hwupgrade.it/forum/showpo...0&postcount=58 inoltre abituati a usare il tag code. qua nessuno si diverte a darti una mano e non è nemmeno corretto scherzare con il tempo che dedicano le persone gratuitamente sul forum ad aiutare persone come te. detto questo spero seriamente di non vedere altre cose del genere __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

24-10-2007, 12:05	#91
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	allora albygpf : Disconnettiti dal web,abilita la visualizzazione di cartelle e file nascosti (apri una cartella qualsiasi vai su sulla barra :strumenti->opzioni cartella->visualizzazione->metti la spunta a "visualizza file e cartelle nascoste" e togli la spunta a "nascondi file protetti di sistema"--> applica) Vai in C:\Windows\Temp e cancella tutto quello che c'è all'interno (no la cartella)........vai in C:\Windows\Tasks e cancella tutto all'interno (no la cartella)ci dovrebbero essere 3 voci . Poi vedi se riesci a cancellare il dialer.....fammi sapere. __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta... Ultima modifica di lancetta : 24-10-2007 alle 12:11.

25-10-2007, 00:36	#96
lancetta Senior Member Iscritto dal: Feb 2007 Città: Salerno...... Messaggi: 3259	scusami ma c'è qualcosa che non quadra........ )1il dialer è sempre lì? )2non si fà cancellare? 3)fatta la pulizia dei temp? 4)mi rifai il log normale e poi dello start up list?Grazie. __________________ Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA \| GUIDA:ShutdownTimer (Spegnimento auto pc) \| Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta...

25-10-2007, 08:13	#98
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	stare dietro a tutte le aree di questa sezione è dura... cmq è effettivamente da molto che non uso quella funzione di HiJackThis, forza di guaradre i log standard... __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

21-10-2007, 12:20	#83
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28983	lo scan di gmer l'hai già fatto?

Strumenti
Mostra una versione stampabile Invia questa pagina per email