Blocco Note Impostazioni di configurazione

[Doreciakgulp]

Ormai è una telenovella
Accendo il PC stamattina e si apre 2 volte il blocco note con 2 files (impostazioni di configurazione) denominati Desktop, recanti scritto entrambi la stessa cosa :

---------------------------------------------------------------------------------
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
--------------------------------------------------------------------------------

Poi apro IE, e mi accorgo che nei preferiti c'è una nuova voce denominata Desktop recante scritto :

---------------------------------------------------------------------------------
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\shell32.dll
IconIndex=-173
[email protected],-12693
---------------------------------------------------------------------------------

Noto che la stessa cosa sta in start\tutti i programmi in diverse copie ed in particolare in esecuzione automatica è reca :

---------------------------------------------------------------------------------
[.ShellClassInfo]
[email protected],-21786
---------------------------------------------------------------------------------

oppure :

---------------------------------------------------------------------------------
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
---------------------------------------------------------------------------------

oppure :

-----------------------------------------------------------------------------------
[.ShellClassInfo]
[email protected],-21782
[LocalizedFileNames]
Windows Media Player.lnk=@C:\WINDOWS\inf\unregmp2.exe,-4
Assistenza remota.lnk=@%systemroot%\system32\rcbdyctl.dll,-152
Internet [email protected],-11001
Outlook [email protected],-11004
------------------------------------------------------------------------------------

oppure

--------------------------------------------------------------------------------------
[LocalizedFileNames]
Esplora risorse.lnk=@%SystemRoot%\system32\shell32.dll,-22067
Prompt dei comandi.lnk=@%SystemRoot%\system32\shell32.dll,-22022
Blocco note.lnk=@%SystemRoot%\system32\shell32.dll,-22051
Sincronizza.lnk=@%SystemRoot%\system32\shell32.dll,-22062
Presentazione di Windows XP.lnk=@%SystemRoot%\system32\tourstart.exe,-1
Verifica guidata compatibilità programmi.lnk=@%SystemRoot%\system32\compatUI.dll,-115
Rubrica.lnk=@%SystemRoot%\system32\shell32.dll,-22017
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21761
---------------------------------------------------------------------------------------

oppure :

---------------------------------------------------------------------------------------
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21760
[LocalizedFileNames]
Magnifier.lnk=@%SystemRoot%\system32\shell32.dll,-22041
Tastiera su schermo.lnk=@%SystemRoot%\system32\shell32.dll,-22052
Utility Manager.lnk=@%SystemRoot%\system32\shell32.dll,-22065
------------------------------------------------------------------------------------

oppure :

-----------------------------------------------------------------------------------
[LocalizedFileNames]
Connessioni di rete.lnk=@%systemroot%\system32\netshell.dll,-1200
Creazione guidata nuova connessione.lnk=@%systemroot%\system32\netshell.dll,-1010
Connessione desktop remoto.lnk=@C:\WINDOWS\System32\mstsc.exe,-4000
HyperTerminal.lnk=@%SystemRoot%\system32\shell32.dll,-22031
Installazione guidata rete.lnk=@%systemroot%\system32\hnetwiz.dll,-3085
Installazione guidata rete senza fili.lnk=@%SystemRoot%\system32\xpsp2res.dll,-16201
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21768
--------------------------------------------------------------------------------------

E altre sono troppe
Sono disperato

[Doreciakgulp]

Nessuna sa dirmi qualcosa in merito?

[halduemilauno]

Quote:

Originariamente inviato da Doreciakgulp
Nessuna sa dirmi qualcosa in merito?

hai preso uno spyware. a proposito di spywarte blaster c'è la nuova versione 3.3 e come antivirus ti consiglio avast 4.6 prof. fai un bel log di HijackThis 1.99.1
ciao.

[Doreciakgulp]

Quote:

Originariamente inviato da halduemilauno
hai preso uno spyware. a proposito di spywarte blaster c'è la nuova versione 3.3 e come antivirus ti consiglio avast 4.6 prof. fai un bel log di HijackThis 1.99.1
ciao.

1) Microsoft antispyware antecedentemente a quanto descritto in questo 3D mi ha trovato:

-----------------------------------------------------------------------------------------
XferPro Trojan Downloader more information...
Status: Quarantined
High threat - High-risk items have a large potential for harm, such as loss of computer control, and should be removed unless knowingly installed.

Infected registry keys/values detected
HKEY_LOCAL_MACHINE\software\classes\.xx
HKEY_LOCAL_MACHINE\software\classes\.xx Backup
HKEY_LOCAL_MACHINE\software\classes\.xx File.Xxe
HKEY_LOCAL_MACHINE\software\classes\.xx Content Type application/x-xxe-encoded
-----------------------------------------------------------------------------------------

2) Un'ulteriore scansione con microsoft antispyware fatta dopo che il problema ivi descritto si è palesato (insomma pochi minuti fa), non ha trovato nulla.

3) Ad-aware pochi minuti fa ha trovato :

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[41]=IECache Entry : Cookie:mio nome e cognome@www.addfreestats.com/cgi-bin
obj[42]=IECache Entry : Cookie:mio nome e [email protected]/

4) Spybot non ha trovato nulla.

5) eTrust EZAntivirus non ha trovato nulla.

6) Log di HijackThis 1.99.1:

-----------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17.48.00, on 25/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\eTrust EZ Antivirus\ISafe.exe
C:\Programmi\RivaTuner v2.0 RC 15.4\RivaTuner.exe
C:\Programmi\eTrust EZ Antivirus\CAVTray.exe
C:\Programmi\eTrust EZ Antivirus\CAVRID.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Microsoft Encarta\Encarta Enciclopedia Plus\EDICT.EXE
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\eTrust EZ Antivirus\VetMsg.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\HijackThis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTuner] "C:\Programmi\RivaTuner v2.0 RC 15.4\RivaTuner.exe" /T
O4 - HKLM\..\Run: [CaAvTray] "C:\Programmi\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programmi\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...48/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{671E2A1A-134E-4545-85AB-21F20DB4AF97}: NameServer = 80.17.210.204 151.99.125.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programmi\eTrust EZ Antivirus\ISafe.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programmi\eTrust EZ Antivirus\VetMsg.exe
-----------------------------------------------------------------------------------------

Grazie dell'interessamento

[fedved]

il tuo log mi sembra ok

controlla solo O17
e vedi se puoi fare a meno di qualcosa (tipo messenger e getright)

[halduemilauno]

difficile trovare un log migliore di quello.
l'unico sospetto è.
O17 - HKLM\System\CCS\Services\Tcpip\..\{671E2A1A-134E-4545-85AB-21F20DB4AF97}: NameServer = 80.17.210.204 151.99.125.1
ciao.

[fedved]

1) stavolta ti ho battuto ibm2001
2) ma è giusta la cartella di eTrust (c:\programmi\eTrust)? Di solito gli antivirus xxx non si installano in c:\xxx?

[halduemilauno]

Quote:

Originariamente inviato da fedved
1) stavolta ti ho battuto ibm2001
2) ma è giusta la cartella di eTrust (c:\programmi\eTrust)? Di solito gli antivirus xxx non si installano in c:\xxx?

giammai. gli AV sono programmi e come tali...
solo per pochi secondi. oh ecco sto ricevendo ora un segnale d'allarme inerente il tuo pc. il modulo al7f esploderà fra 57 minuti.
abbandonare la nav...hem il pc.

[fedved]

Quote:

Originariamente inviato da halduemilauno
giammai. gli AV sono programmi e come tali...
solo per pochi secondi. oh ecco sto ricevendo ora un segnale d'allarme inerente il tuo pc. il modulo al7f esploderà fra 57 minuti.
abbandonare la nav...hem il pc.

[Doreciakgulp]

Quote:

Originariamente inviato da fedved
il tuo log mi sembra ok

controlla solo O17
e vedi se puoi fare a meno di qualcosa (tipo messenger e getright)

Come faccio a controllare?

[Doreciakgulp]

Quote:

Originariamente inviato da fedved
1) stavolta ti ho battuto ibm2001
2) ma è giusta la cartella di eTrust (c:\programmi\eTrust)? Di solito gli antivirus xxx non si installano in c:\xxx?

Si l'ho istallato lì, ho fatto male?

[fedved]

no no, non hai fatto male ad installarlo li;
O17 lo controlli nel senso che se il dominio indicato è quello del tuo provider tutto ok, altrimenti va fixato

[skorpio85]

togli anche questi 2.

C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE

sono virus

[Doreciakgulp]

Quote:

Originariamente inviato da fedved
no no, non hai fatto male ad installarlo li;
O17 lo controlli nel senso che se il dominio indicato è quello del tuo provider tutto ok, altrimenti va fixato

Lo fixato diverse volte ma si riforma sempre

[halduemilauno]

Quote:

Originariamente inviato da Doreciakgulp
Lo fixato diverse volte ma si riforma sempre

allora significa che è il dominio giusto.

[Doreciakgulp]

Quote:

Originariamente inviato da skorpio85
togli anche questi 2.

C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE

sono virus

Da cosa lo deduci?
Mi è parso di capire che abbiano a che fare con la stampante Lexmark
Li ho comunque scanzionati individualmente su:





ma me li da come buoni
C'è comunque, una cosa strana che riguarda questi 2 files, quando attivo il pulitore di registro di jv16 PowerTools, nonostante li cancelli, mi segnala sempre :

jv16 PowerTools 1.4.1 - Pulitore di registro
[ Radice, Chiave, Voce, Valore, Ultima modifica, Motivo ]

HKEY_LOCAL_MACHINE, Software\Lexmark\MarkVision\LexBCE\Debug Options, Log File, C:\LEXBCE32.LOG, 26.03.2005, 07.53, Il file "C:\LEXBCE32.LOG" non esiste.
HKEY_LOCAL_MACHINE, Software\Lexmark\MarkVision\LexBCE\Debug Options, Print Log File, C:\LEXBCE32_PRINT.LOG, 26.03.2005, 07.53, Il file "C:\LEXBCE32_PRINT.LOG" non esiste.

[fedved]

Quote:

Originariamente inviato da skorpio85
togli anche questi 2.

C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE

sono virus

vero vero
bravo skorpio85
non avevo visto che erano in system32

[Doreciakgulp]

Quote:

Originariamente inviato da halduemilauno
allora significa che è il dominio giusto.

Come mi è stato detto, ho guardato in :
start--->connetti a --->mostra tutte le connessioni
seleziona alice
guarda in basso a sinistra nei dettagli...

ed il dominio non corrisponde

[Doreciakgulp]

Quote:

Originariamente inviato da fedved
vero vero
bravo skorpio85
non avevo visto che erano in system32

Li devo fixare?

[fedved]

fossi in te disinstallerei la stampante
fixerei i due fileS
reinstallerei la stampante (senza cambiare directory di installazione)
e poi farei un altro log