[risolto][win XP] problemi vari a causa warez?

[deneb87]

Sintomi
L'icona di connessione alla rete indica sempre scambi di dati con il web.
Occasionalmente l'antivirus inizia a bloccare attacchi Trojan proveniente da siti sconosciuti.

E' facilmente riconoscibile dall'Event log del Web-Antivirus di Kaspersky:
Clicca su Web-Antivirus, quindi su Statistiche, e controllare se vengono continuamente raggiunti siti sconosciuti.
Pericolo!! Se firewall e antivirus non sono aggiornati si corre il rischio di venire infettati da Trojan di tutti i tipi.

Soluzione

Il problema pare legato alla voce

Codice:

O20 - Winlogon Notify: iaspolcy32 - C:\WINDOWS\SYSTEM32\iaspolcy32.dll

rilevata da HiJackthis

Tutta via è buona regola prima di Fixarla fare un po di pulizia:

~ Disattivare Ripristino di sistema
~ Scaricare e installare CCleaner (Attivare dalle opzioni Cancellazione sicura, e togliere la spunta da Cancella i file in Windows Temp solo se piu vecchi di 48 ore
~ Scaricare e installare A-Squared Free v3.x, eseguire scansione DEEP, gli oggetti individuati devono essere messi in quarantena, non c'è nessuna fretta di eliminarli!! Salvare il log
~ Eseguire PrevX CSI e Salvare il Log
~ Eseguire almeno una scansione online tra queste, io ho utilizzato BitDefender
~ Salvare i log di HiJackThis

Se il problema non si risolve postare i log delle scansioni.

[murack83pa]

ciao
gentilmente, x il momento modifica il tuo post: il log lo devi assolutamente cancellare,finchè nn lo fai a noi viene difficile,come puoi ben vedere, aiutarti: posta il log secondo quanto dicono le regole di sezione, in particolare,visto che è particolarmente lungo, lo carichi sul sito www.zshare.net e poi copi qui il link x il download
grazie
ciao ciao

[deneb87]

fatto

[xcdegasp]

e dici bene:

Codice:

30/12/2007 11.28.56	URL: http://c.msn.com/c.gif?did=1&t=9MACEqmAqBNT1p1SnqvpVRFlwVBJ7WkpfXypVl*VAZ4*NAGDwb4N0xfJU6gemkzB3JiZNWlwHyZeV86ejV1l7GxRNbW2DfrPoTrGAjJvTGDeX3QI2JK6pN9TUOf9tKU5ij&p=9gcSbMxsNCelpUBVIng0!VfpQsm7sLI3mikle0MgQAAppnKin3H8XDeyiZRaejYmHsttgSPuS9AMx8wRgZrHq5DLpfnAjlP1BEExUOwiJFZMfPJxUw04*81w37Tl2FwKQZh7SbHk5zi!34iYB0zdNpfv0fazvnzpPMhrDoP73wAohQQM8gKd5FohLZ4AJmBPknSAgp4mxej9o$

è un oggetto che nella scansione ha ignorato anzicchè rilevare come infetto ed è probabile che sia per l'estensione del oggetto ossia senza estensione perchè dice proprio "ignorato per tipo"

[wizard1993]

Quote:

Originariamente inviato da xcdegasp

e dici bene:

Codice:

30/12/2007 11.28.56	URL: http://c.msn.com/c.gif?did=1&t=9MACEqmAqBNT1p1SnqvpVRFlwVBJ7WkpfXypVl*VAZ4*NAGDwb4N0xfJU6gemkzB3JiZNWlwHyZeV86ejV1l7GxRNbW2DfrPoTrGAjJvTGDeX3QI2JK6pN9TUOf9tKU5ij&p=9gcSbMxsNCelpUBVIng0!VfpQsm7sLI3mikle0MgQAAppnKin3H8XDeyiZRaejYmHsttgSPuS9AMx8wRgZrHq5DLpfnAjlP1BEExUOwiJFZMfPJxUw04*81w37Tl2FwKQZh7SbHk5zi!34iYB0zdNpfv0fazvnzpPMhrDoP73wAohQQM8gKd5FohLZ4AJmBPknSAgp4mxej9o$

è un oggetto che nella scansione ha ignorato anzicchè rilevare come infetto ed è probabile che sia per l'estensione del oggetto ossia senza estensione perchè dice proprio "ignorato per tipo"

direi; ma più che altro mi sembra uno script cgi;

[xcdegasp]

bisogna vedere cosa contenga

[deneb87]

cmq quella è solo una piccola parte del log (alcuni minuti di event) giusto per far capire quanta siti "naviga" senza permesso O_o ogni secondo

intanto ho fatto questi due: MSNFix e HiThis

MSN Fix l'ho fatto per scrupolo O.o dato che qualche giorno fa sn stato sommerso da contatti turchi che continuavano ad aggiungermi (ne ho accettato i primi 4-5 e poi sempre a fare impedisci . e ha rimosso qualcosa ma nn so cosa.

Ancora adesso:

30/12/2007 13.23.59 URL: http://alcentropaentro.mobile.spaces...6&fp=/pho.aspx ok scansionati
30/12/2007 13.24.00 URL: http://alcentropaentro.mobile.spaces...&fp=/albv.aspx ok scansionati
30/12/2007 13.24.00 URL: http://alcentropaentro.mobile.spaces...&fp=/albv.aspx ok scansionati
30/12/2007 13.24.01 URL: http://alcentropaentro.mobile.spaces...9&fp=/pho.aspx ok scansionati


Frugando tra i vari post ho trovato questo: http://www.hwupgrade.it/forum/showthread.php?t=1638980
dove parla di questo Bonjour che ho ritrovato anche io nel log O_o

bho..help

[xcdegasp]

puoi da subito impostare su quel pc l'uso dei DNS-server di www.opendns.com in questo modo navigherà in meno siti infetti...

e parti subito di "Guida alla disinfezione per infetti" che senza ombra di dubbio darà una base di partenza adeguata su cui poer agire

[francescosalvaggio]

è un VIRUS

[deneb87]

utilità del messaggio di francescosalvaggio?

stavo già provvedendo a fare tutto ^^

Ripristino di sistema: ce l'ho da sempre disattivato.

ADS Revelear: fatto, eliminato qualche ads in file ricevuti e scaricati
a-squared: http://www.zshare.net/download/603054345d7a56/
PrevX: http://www.zshare.net/download/603055895391f7/
scansione online: http://www.zshare.net/download/6030582776509f/
Hjackthis: nuovo: http://www.zshare.net/download/60306044cf6333/
gmer: ops me ne ero dimenticato: http://www.zshare.net/download/603222745a71c6/ ma è normale che sia così grosso? O.o

aggiungo che uso regolarmente Ccleaner, regcleaner e adware. Ho fatto anche una pulizia approfondita con ccleaner.

PS: nel mentre che scrivevo questo messaggio dopo aver appena riavviato il pc il webantivirus ha loggato 800 e passa eventi di siti -.- e un trojan bloccato.


Edit: cosa serve quel sito? io mi connettoa internet tramite router D-Link e come DNS utilizzo: 212.216.112.112, 212.216.172.62

[deneb87]

c'è tutto


credo che questo possa aiutare:

ho riavviato il pc e aspettato senza fare niente che qualcosa accadesse: ed ecco è uscito fuori

Codice:

30/12/2007 19.10.33	URL: http://lostco.hk/account/p.php	ok	scansionati
30/12/2007 19.10.42	URL: http://www.update.microsoft.com/v6/UpdateRegulationService/UpdateRegulation.asmx	ignorato	per tipo
30/12/2007 19.16.35	URL: http://lostco.hk/account/p.php	ok	scansionati
30/12/2007 19.19.37	URL: http://lostco.hk/account/p.php	ok	scansionati
30/12/2007 19.20.38	URL: http://lostco.hk/account/p.php	ok	scansionati
30/12/2007 19.21.40	URL: http://lostco.hk/account/p.php	ok	scansionati
30/12/2007 19.21.40	URL: http://suvnews.blogspot.com/	ignorato	per tipo
30/12/2007 19.21.41	URL: http://qbivewateci.blogspot.com/	ok	scansionati
30/12/2007 19.21.41	URL: http://ukgnaasmes.blogspot.com/	ok	scansionati
30/12/2007 19.21.41	URL: http://ostfogiysydti.blogspot.com/	ok	scansionati
30/12/2007 19.21.42	URL: http://ukgnaasmes.blogspot.com/privacy	ok	scansionati
30/12/2007 19.21.43	URL: http://suvnews.blogspot.com/2006_10_01_archive.html	ok	scansionati
30/12/2007 19.21.43	URL: http://ukgnaasmes.blogspot.com/about	ok	scansionati
30/12/2007 19.21.43	URL: http://suvnews.blogspot.com/2005_11_01_archive.html	ok	scansionati
30/12/2007 19.21.43	URL: http://ukgnaasmes.blogspot.com/content.g	ok	scansionati
30/12/2007 19.21.44	URL: http://suvnews.blogspot.com/2006_08_01_archive.html	ok	scansionati
30/12/2007 19.21.45	URL: http://suvnews.blogspot.com/2006_09_01_archive.html	ok	scansionati
30/12/2007 19.21.46	URL: http://ukgnaasmes.blogspot.com/terms.g	ok	scansionati
30/12/2007 19.21.46	URL: http://ukgnaasmes.blogspot.com/v-css/3241057453-blogger_lowend.css	ok	scansionati
30/12/2007 19.21.48	URL: http://suvnews.blogspot.com/2006_02_01_archive.html	ok	scansionati
30/12/2007 19.21.48	URL: http://suvnews.blogspot.com/2006_06_01_archive.html	ok	scansionati
30/12/2007 19.21.49	URL: http://suvnews.blogspot.com/2006_01_01_archive.html	ok	scansionati
30/12/2007 19.21.49	URL: http://suvnews.blogspot.com/www.4x4-suche.de/testberichte/profitestberichte/index.php	ok	scansionati
30/12/2007 19.21.49	URL: http://ukgnaasmes.blogspot.com/language.g	ok	scansionati
30/12/2007 19.21.50	URL: http://suvnews.blogspot.com/about	ok	scansionati
30/12/2007 19.21.50	URL: http://suvnews.blogspot.com/privacy	ok	scansionati
30/12/2007 19.21.51	URL: http://suvnews.blogspot.com/content.g	ok	scansionati
30/12/2007 19.21.51	URL: http://ukgnaasmes.blogspot.com/home	ok	scansionati
30/12/2007 19.21.52	URL: http://ostfogiysydti.blogspot.com/privacy	ok	scansionati
30/12/2007 19.21.52	URL: http://suvnews.blogspot.com/2006_07_01_archive.html	ok	scansionati
30/12/2007 19.21.52	URL: http://ostfogiysydti.blogspot.com/about	ok	scansionati

da qui in poi prosegue all'inifinito e oltre

[xcdegasp]

a-squared:
D:\Documents and Settings\Deneb\Documenti\Archivio\Programmi\pulizia\MSNFix.zip/Process.exe rilevati: Riskware.RiskTool.Win32.Processor.20
questo lo puoi ripristinare se lo hai messo in quarantena ma i due keygen sei pregato di metetrli in quarantena visto che è così che vi infettate!
tra l'altro che utilità c'è a scarica un keygen per VPNserver quando esiste il consolidato OpenVPN?

mi riferisco a questi:

Codice:

D:\Lineage II\system\la.exe 	rilevati: Backdoor.IRC.Zapchast

D:\Programmi\eMule\Incoming\MIRC.v6.21.Incl.KeyMaker-DVT.rar/dv450mi1.zip/d-000mi.rar/DVT.rar/mirc621.exe 	rilevati: Riskware.Client-IRC.Win32.mIRC.621

D:\Programmi\eMule\Incoming\MIRC.v6.21.Incl.KeyMaker-DVT.zip/mirc621.exe 	rilevati: Riskware.Client-IRC.Win32.mIRC.621

D:\Programmi\eMule\Incoming\Real.VNC.Enterprise.Edition.v4.2.9+Keygen.rar/Real.VNC.Enterprise.Edition.v4.2.9.exe 	rilevati: Riskware.RemoteAdmin.Win32.WinVNC.4

prevx:
log pulito


bit-defender online:
Identified Viruses6
Infected Files 12
Suspect Files 0
Warnings 0
Disinfected 0
Deleted Files 12

Quote:

D:\Programmi\eMule\Incoming\Cute Ftp 8.0 Pro Con Crack.zip
D:\Programmi\eMule\Incoming\Cute Ftp 8.0 Pro Con Crack.zip=>cuteftp.professional.v8.0.08.09.2006.1-patch.exe Infected with: Trojan.Patch.F -> deleted
D:\Programmi\eMule\Incoming\UltraISO_Premium_Edition_Retail_v8.6.2.2011_Incl_Keygen-DIGERATI.rar=> UltraISO_Premium_Edition_Retail_v8.6.2.2011_Incl_Keygen-DIGERATI\keygen.exe
Infected with: Packer.PESpin.A -> deleted
D:\Programmi\eMule\Incoming\Winrar v3.51 Crack.zip=>WinRAR.v3.51.WinALL.Cracked-CORE.zip=> crack.exe Infected with: Trojan.Small.APF -> deleted
D:\Programmi\eMule\Incoming\Winrar v3.51 Crack.zip=>crack.exe Infected with: Trojan.Small.APF -> deleted

HiJackThis:
fixare queste voci:

Quote:

O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com

O1 - Hosts: 85.18.73.4 L2authd.lineage2.com
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-19\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary...r.cab56986.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary...r.cab31267.cab

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/ca..._2.3.2.100.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1158390224593

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary...t.cab31267.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary...t.cab56907.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} - http://www.pixdiscount.fr/clients/up..._v2.1.0.53.cab

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} - http://www.gamenext.it/online/online...amesloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - http://messenger.zone.msn.com/binary...n.cab31267.cab
O20 - Winlogon Notify: iaspolcy32 - C:\WINDOWS\SYSTEM32\iaspolcy32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: USBDeviceService - Unknown owner - C:\Programmi\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

ecco quello che dice prevx:
http://www.prevx.com/filenames/99896...Y32%2EDLL.html



ad ogni modo se tu la smettessi di scaricare keygen/crack e warez in generale forse riusciresti a non avere un pc infetto e sopratutto avresti un Antivirus funzionate!!

[deneb87]

ah ecco perchè non trovavo il topic, era stato cambiato nome

e vabbhe noon siamo tutti perfetti

Quote:

O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com

O1 - Hosts: 85.18.73.4 L2authd.lineage2.com

questi sono i server di un gioco quindi dubito che dovrei toglierli

così come non capisco questo:

O4 - HKCU\..\Run: [RocketDock] "C:\Programmi\RocketDock\RocketDock.exe"

che è una barra di applicazioni che ho installato io, abbastanza comoda http://rocketdock.com/

[xcdegasp]

e perchè devono stare nel file "HOSTS" del sistema operativo?

la rocketdock te la concedo

[deneb87]

perchè il launcher del gioco è modificato di un server privato, e i server li va a leggere da la, e se li cancello, appena apro il gioco se li rimette ^^

non credo che diano fastidio, potrei anche toglierli dato che non ci stò giocando.

ho appena riavviato e fixato tutto e sembra sia tutto a posto, devo fare altro?

[xcdegasp]

rifai una scansione con a-squared e prevx

[deneb87]

prevx http://www.zshare.net/download/60519151b84168/

a-squared quick scan non ha trovato niente,

manca un oretta a finire la deep scan: finito, è ricomparso solo MSNfix
serve anche Hijakthis?

PS: appena posso posto i log di tutte le scansioni del pc di mio fratello preparati a metterti le mani nei capelli (poi magari non ha niente ma è solo una catepecchia )


Edit: D:\Lineage II\system\la.exe rilevati: Backdoor.IRC.Zapchast
questo l'ho dovuto ripristinare perchè non funziona piu il gioco

[deneb87]

buon anno a tutti XD


ecco tutte le scansioni sul pc di mio fratello, buon divertimento XD

a-squared: http://www.zshare.net/download/6063058696dde7/
prevx: http://www.zshare.net/download/6063070f15d75c/
bitdefender online: http://www.zshare.net/download/60630804b0dcc3/
gmer: http://www.zshare.net/download/6063095e4fb18d/

voci rosse su gmer:

Codice:

Library         C:\WINDOWS\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_cbb27474\ATL80.DLL (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1784]                                                                                                                                                                                                                                         0x7C630000                                                      
Library         C:\WINDOWS\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_cbb27474\ATL80.DLL (*** hidden *** ) @ C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe [2164]

HiJackthis:

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.22.26, on 31/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\arservice.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ARPWRMSG.EXE
C:\Programmi\HP DigitalMedia Archive\DMAScheduler.exe
C:\Programmi\HP\HP Software Update\HPwuSchd2.exe
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
c:\windows\system\hpsysdrv.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Windows Live\installer\WLSetupSvc.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Documents and Settings\HP_Administrator\Documenti\Downloads\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=64&bd=PAVILION&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=64&bd=PAVILION&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=64&bd=PAVILION&pf=desktop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 89.96.73.43 l2testauthd.lineage2.com # The source#
O1 - Hosts: 85.18.73.4 L2authd.lineage2.com
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE
O4 - HKLM\..\Run: [DMAScheduler] "c:\Programmi\HP DigitalMedia Archive\DMAScheduler.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Programmi\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [igndlm.exe] C:\Programmi\IGN\Download Manager\DLM.exe /windowsstart /startifwork
O4 - HKCU\..\Run: [Netlog 24] C:\Programmi\Netlog 24\Notifier\Netlog24Notifier.exe
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.75\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Guida alla connessione - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.2.100.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://liphardex88.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.coolstreaming.us/consolle/webplus/KooPlayer.ocx
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://liphardex88.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://194.244.16.123/g_bin/eng/words_2_0_0_51.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://194.244.16.123/g_bin/eng/wordssingle_2_0_0_48.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.fueps.com/gp/resources/games/puzzle/PopCapGames/popcaploader_v10.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} - http://by104fd.bay104.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://194.244.16.123/g_bin/eng/billard8_2_0_0_35.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5406B398-1D43-4F3A-88F9-DE46D71AECFC}: NameServer = 212.216.172.62,195.31.190.31
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe

--
End of file - 11772 bytes

[xcdegasp]

scarica Panda AntiRootKit:
http://research.pandasecurity.com/ar...sion-1.07.aspx

e fai la scansione completa o profonda

a-squared ha rilveato i seguenti oggetti:

Codice:

C:\WINDOWS\system32\drivers\Winfog\LSASS.exe	In quarantena Riskware.RiskTool.Win32.HideWindows

C:\WINDOWS\Downloaded Program Files\popcaploader.dll	In quarantena Riskware.Downloader.Win32.PopCap.b

C:\hp\bin\KillWind.exe	In quarantena Riskware.RiskTool.Win32.PsKill.p

per prevx e bit-defender tutto pulito, fai anche la scansione con Dr.Web CureIT

[deneb87]

Panda AntiRookKit: No rookit found

invece DrWeb Cureit (http://www.drweb-antivirus.it/index....&id=3&Itemid=0) non lo scarica