| Precedente :: Successivo |
| Autore |
Messaggio |
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
 Inviato: 17 Set 2006 12:44 Oggetto: Trojan Horse Cliker CVF |
 |
|
SALVE,QULCUNO MI PUO' AIUTARE??E' DA QUALCHE GIORNO CHE IL MIO AVG RILEVA UN TROJAN HORSE CLIKER CVF IN C/ SYST32,CERCO DI TOGLIERLO MA NON SE NE VUOLE PROPRIO ANDARE .HO PROVATO CON PREVXREMOVAL MA NON RISOLVO IL PROBLEMA,HO CERCATO DI RIPRISTINARE AD UNO STATO PRECEDENTE MA HO VISTO CHE ERA STATO DISATTIVATO(COLPA DEL VIRUS),QUINDI NON HO POTUTO RIPRISTINARE.VI MANDO IL LOG DI HJACKTHIS:
| Citazione: | Logfile of HijackThis v1.99.1
Scan saved at 12.46.53, on 17/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\service32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\SlipStream Web Accelerator\slipcore.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programmi\SlipStream Web Accelerator\slipgui.exe
C:\Programmi\Mentor Multimedia\TV88X Utilities\C8XRCtl.exe
C:\Programmi\SpywareGuard\sgmain.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\SpywareGuard\sgbhp.exe
C:\Programmi\mobile PhoneTools\mPhonetools.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5600
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\SlipStream Web Accelerator\PBHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Programmi\SlipStream Web Accelerator\Toolband.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\SlipStream Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cnv4_minid] C:\Program Files\cnv4_minid.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\Ereg.exe" -r "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\ereg.ini"
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [Eraser] C:\Programmi\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Controllo del Calendario di Ulead Photo Express.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\SlipStream Web Accelerator\slipgui.exe
O4 - Global Startup: TV Remote Control.lnk = C:\Programmi\Mentor Multimedia\TV88X Utilities\C8XRCtl.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Mostra immagine originale - res://C:\Programmi\SlipStream Web Accelerator\gui_resource.dll/328
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\Programmi\SlipStream Web Accelerator\gui_resource.dll/327
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F803BEA-CE35-474F-A3AF-32C7A8860655}: NameServer = 212.245.255.2 193.70.192.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe |
VI MANDO ANCHE IL LOG DI GROMOZONREMOVAL CHE MI VIENE RILASCIATO IN C QUNDO FINISCE LA SCANSIONE:
| Citazione: | Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Trojan.Gromozon does not exist - your system is clean. |
|
|
| Top |
|
 |
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 17 Set 2006 16:26 Oggetto: Re: TROJAN |
|
|
| STERNATIVOCOSIMO ha scritto: | | SALVE,QULCUNO MI PUO' AIUTARE??E' DA QUALCHE GIORNO CHE IL MIO AVG RILEVA UN TROJAN HORSE CLIKER CVF IN C/ SYST32 |
ma la cartella cui ti riferisci è proprio SYST32 scritta così e posizionata in C: ?
Mi pare strano...nonchè sospetta....qualcuno mi conferma che in XP esiste o meno siffatta cartella e non si tratta della più classica System32 ?
| STERNATIVOCOSIMO ha scritto: | | VI MANDO IL LOG DI HJACKTHIS: |
ho dato uno sguardo, ma non mi pare vi siano segni evidenti di qualcosa che non va....
aspettiamo domani l'esperta di sicurezza, miss holifay... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 17 Set 2006 19:37 Oggetto: Re: Trojan Horse Cliker CVF |
|
|
Benvenuto STERNATIVOCOSIMO!
| STERNATIVOCOSIMO ha scritto: | | IL MIO AVG RILEVA UN TROJAN HORSE CLIKER CVF IN C/ SYST32,CERCO DI TOGLIERLO MA NON SE NE VUOLE PROPRIO ANDARE |
Ma perché AVG non riesce a toglierlo? Che errore ti dà?
Oppure riesce a toglierlo ma poi il trojan horse si riforma?
Hai provato da modalità provvisoria?
p.s.: una piccola cosuccia.: non scrivere tutto in maiuscolo. Per convenzione significa urlare |
|
| Top |
|
|
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
| Inviato: 17 Set 2006 20:13 Oggetto: risposta |
|
|
salve per risposta a -chemicalbit- volevo dire che il trojan lo toglie ma si ripresenta sempre,
a -iosoloio- volevo dire che e' avg che rileva il trojan in c/ syst32.dll,ma di fatto questa cartella non esiste.
.A proposito fare la scansione in modalita provvisoria ,come si fa? ho xp professional,grazie della gentilissima collaborazione (siete fantastici)wwwwwzeus |
|
| Top |
|
|
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
| Inviato: 17 Set 2006 20:27 Oggetto: attenzione correzione sulla risposta precedente |
|
|
scusate , esattamente avg mi rileva il- trojan horse clicker cvf- in
c/ windows/ syst32.dll ma come dicevo prima questo file io non l'ho trovato. |
|
| Top |
|
|
ioSOLOio
Amministratore
Registrato: 12/09/03 19:01
Messaggi: 16342
Residenza: in un sacco di...acqua
|
| Inviato: 17 Set 2006 20:37 Oggetto: |
|
|
| STERNATIVOCOSIMO ha scritto: |
a -iosoloio- volevo dire che e' avg che rileva il trojan in c/ syst32.dll,ma di fatto questa cartella non esiste.
scusate , esattamente avg mi rileva il trojan horse clicker cvf in
c/ windows/ syst32.dll ma come dicevo prima questo file io non l'ho trovato |
ah, ok non si tratta di una cartella, ma di un file, una .dll per la precisione...indicata come presente in C:\WINDOWS
Mi era sorto il dubbio dal momento che nel primo messaggio non c'era l'estensione.
| STERNATIVOCOSIMO ha scritto: | | A proposito fare la scansione in modalita provvisoria ,come si fa? |
anche con XP é sufficiente all'avvio del pc, (tanto per capirci quando compaiono le prime due schermate nere con le scritte bianche) premere F8 e poi scegliere Avvia in modalità provvisoria. |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 17 Set 2006 22:06 Oggetto: |
|
|
Ciao e benvenuto 
Hai impostato tu un proxy locale? Se no, poi cancella la riga che ti dico, altrimenti lasciala.
Visualizza i file nascosti e di sistema:
| Citazione: | - aprire gestione risorse
- dal menu selezionare strumenti >> opzioni cartella
- selezionare il tab visualizzazione
- mettere la spunta alla casella visualizza file e cartelle nascoste
- togliere la spunta alla casella nascondi file di sistema (consigliato) (ozione più in basso)
- cliccare Si, poi Applica, poi OK. |
Cerca questi file e mettili in un file zip. Poi mandali a www.suspectfile.com indicando per holifay
C:/Program Files/cnv4_minid.exe
C:/INDOWS/service32.exe
c:/windows/syst32.dll
Apri hijackthis e poi chiudi tutte le applicazioni e le finestre. Premi do a system scan only, metti un segno di spunta nelle caselle accanto a queste voci poi premi fix checked
| Citazione: | R1 - HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings,ProxyServer = http=127.0.0.1:5600 (se non hai impostato tu il proxy locale)
O4 - HKLM/../Run: [cnv4_minid] C:/Program Files/cnv4_minid.exe |
Riavvia in modalità provvisoria premendo F8 al boot, poi cerca ed elimina questi file:
C:/Program Files/cnv4_minid.exe
C:/INDOWS/service32.exe
c:/windows/syst32.dll
Svuota il cestino, la cronologie e i file temporanei di internet e poi riavvia in modalità normale.
Dopo il riavvio, disattiva la scansione in real time del tuo antivirus, poi collegati al sito si Panda e fai una scansione. Al termine clicca see report e salva il rapporto.
Posta un log di Panda e un nuovo log di hijackThis |
|
| Top |
|
|
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
| Inviato: 18 Set 2006 20:01 Oggetto: RISPOSTA HOLID |
|
|
SALVE,VOLEVO DIRTI CHE SYST32.DLL L'HO TOLTO MA RIGUARDO GLI ALTRI 2 NON SONO SICURO PERCHE I FILE CHE TROVO NON SONO IDENTICI,TI DICO QUELLI CHE HO TROVATO: C:/PROGRAMFILES/CNV4_MINID
C:/WINDOWS/SERVICE32
PRATICAMENTE IL TERMINE -EXE- NON C'E L'HANNO.
HO GIA TOLTO COMUNQUE QUELL'ALTRO IN MODALITA PROVVISORIA,STO ASPETTANDO CHE MI DAI L'OK PER QUESTI ALTRI.
A PROPOSITO MA QUESTI FILE CHE STO TOGLIENDO VERRANNO RIPRISTINATI O DEVONO ESSERE TOLTI DEFINITIVAMENTE.GRAZIE |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 18 Set 2006 21:26 Oggetto: |
|
|
Per il fatto del non vedere l'exe probabilmente hai l'opzione attiva di Windows XP "Nascondi le estensioni per i tipi di file conosciuti".
Per vedere tutte le estensioni basta che apri una qualsiasi cartella, poi in alto nel menu vai su Strumenti->Opzioni Cartella e vai sulla scheda Visualizzazione, scorri un po' e trovi quella voce, se è spuntata togli la spunta e dai Ok.
Riguardo ai file che devi cancellare lo devi fare definitivamente (sono file del trojan). Se non ti fidi aspetta Holifay  (anche se sono sicuro al 100% dato che non sono file di Windows.. alcuni potrebbero assomigliare a quelli di Windows ma non devono stare dove stanno).
PS: tra l'altro rileggendo Holifay ti dice di svuotare il cestino.. quindi una volta buttati lì e svuotato il cestino non li puoi (e non li devi) ripristinare. |
|
| Top |
|
|
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
| Inviato: 19 Set 2006 18:05 Oggetto: per holifay |
|
|
Ciao ,ho fatto tutto quello che mi hai detto di fare,posto il logo della scansione di panda e quella di hjackthis:
Logfile of HijackThis v1.99.1
Scan saved at 18.03.04, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\SlipStream Web Accelerator\slipcore.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Eraser\eraser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programmi\SlipStream Web Accelerator\slipgui.exe
C:\Programmi\Mentor Multimedia\TV88X Utilities\C8XRCtl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\mobile PhoneTools\mPhonetools.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5600
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\SlipStream Web Accelerator\PBHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Programmi\SlipStream Web Accelerator\Toolband.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\SlipStream Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\Ereg.exe" -r "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\ereg.ini"
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\RunOnce: [ICDRegOCX0] rundll32.exe advpack.dll,RegisterOCX C:\WINDOWS\Downloaded Program Files\asinst.dll
O4 - HKLM\..\RunOnce: [ICDRegOCX1] rundll32.exe advpack.dll,RegisterOCX C:\WINDOWS\Downloaded Program Files\asinst.dll
O4 - HKLM\..\RunOnce: [ICDRegOCX2] rundll32.exe advpack.dll,RegisterOCX C:\WINDOWS\Downloaded Program Files\asinst.dll
O4 - HKLM\..\RunOnce: [ICDRegOCX3] rundll32.exe advpack.dll,RegisterOCX C:\WINDOWS\Downloaded Program Files\asinst.dll
O4 - HKCU\..\Run: [Eraser] C:\Programmi\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Controllo del Calendario di Ulead Photo Express.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: SlipStream Web Accelerator.lnk = C:\Programmi\SlipStream Web Accelerator\slipgui.exe
O4 - Global Startup: TV Remote Control.lnk = C:\Programmi\Mentor Multimedia\TV88X Utilities\C8XRCtl.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Mostra immagine originale - res://C:\Programmi\SlipStream Web Accelerator\gui_resource.dll/328
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\Programmi\SlipStream Web Accelerator\gui_resource.dll/327
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F803BEA-CE35-474F-A3AF-32C7A8860655}: NameServer = 212.245.255.2 193.70.192.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
scansione panda:
Incidente Stato Percorso
Dialer:dialer.akd Non Disinfettato C:\Documents and Settings\Administrator\Dati applicazioni\microsoft\internet explorer\quick launch\e1xplorer.lnk
Dialer:dialer.cos Non Disinfettato C:\Documents and Settings\Administrator\Dati applicazioni\microsoft\internet explorer\quick launch\exsplorer.lnk
Adware:adware/oemji Non Disinfettato Registro di sistema di Windows
Spyware:Cookie/2o7 Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@2o7[1].txt
Spyware:Cookie/YieldManager Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@ad.yieldmanager[1].txt
Spyware:Cookie/AdDynamix Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@ads.addynamix[2].txt
Spyware:Cookie/PointRoll Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@ads.pointroll[2].txt
Spyware:Cookie/Adtech Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@adtech[2].txt
Spyware:Cookie/adultfriendfinder Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@adultfriendfinder[1].txt
Spyware:Cookie/Advertising Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@advertising[2].txt
Spyware:Cookie/Apmebf Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@apmebf[2].txt
Spyware:Cookie/Falkag Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@atdmt[2].txt
Spyware:Cookie/Belnk Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@belnk[2].txt
Spyware:Cookie/Bfast Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@bfast[1].txt
Spyware:Cookie/Bluestreak Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@bluestreak[1].txt
Spyware:Cookie/bravenetA Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@bravenet[2].txt
Spyware:Cookie/Serving-sys Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@bs.serving-sys[2].txt
Spyware:Cookie/BurstNet Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@burstnet[2].txt
Spyware:Cookie/Casalemedia Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@casalemedia[1].txt
Spyware:Cookie/Cgi-bin Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[10].txt
Spyware:Cookie/Cgi-bin Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[12].txt
Spyware:Cookie/Cgi-bin Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[13].txt
Spyware:Cookie/Cgi-bin Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[18].txt
Spyware:Cookie/Cgi-bin Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[1].txt
Spyware:Cookie/Clickbank Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@clickbank[1].txt
Spyware:Cookie/Com.com Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@com[2].txt
Spyware:Cookie/Belnk Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@dist.belnk[2].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[2].txt
Spyware:Cookie/Hitbox Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@ehg.hitbox[2].txt
Spyware:Cookie/FastClick Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@fastclick[1].txt
Spyware:Cookie/Go Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@go[1].txt
Spyware:Cookie/Hitbox Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@hitbox[1].txt
Spyware:Cookie/Itrack Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@ilead.itrack[1].txt
Spyware:Cookie/FastClick Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@media.fastclick[1].txt
Spyware:Cookie/Mediaplex Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@mediaplex[2].txt
Spyware:Cookie/Overture Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@overture[2].txt
Spyware:Cookie/Overture Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@perf.overture[1].txt
Spyware:Cookie/Hitbox Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@phg.hitbox[2].txt
Spyware:Cookie/RealMedia Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@realmedia[2].txt
Spyware:Cookie/Research-int Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@research-int[1].txt
Spyware:Cookie/Server.iad.Liveperson Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@server.iad.liveperson[1].txt
Spyware:Cookie/Serving-sys Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@serving-sys[2].txt
Spyware:Cookie/onestat.com Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@stat.onestat[2].txt
Spyware:Cookie/Statcounter Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@statcounter[2].txt
Spyware:Cookie/WebtrendsLive Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@statse.webtrendslive[2].txt
Spyware:Cookie/Mammamediasolutions Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@targetnet[2].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@tradedoubler[1].txt
Spyware:Cookie/Tribalfusion Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@tribalfusion[2].txt
Spyware:Cookie/Valueclick Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@valueclick[1].txt
Spyware:Cookie/Xiti Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@xiti[1].txt
Spyware:Cookie/Xmts Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@xmts[1].txt
Spyware:Cookie/Yadro Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@yadro[1].txt
Spyware:Cookie/Zedo Non Disinfettato C:\Documents and Settings\Administrator\Cookies\administrator@zedo[2].txt
Dialer:Dialer.HPX Non Disinfettato C:\Documents and Settings\Administrator\Impostazioni locali\Temp\48.tmp
Dialer:Dialer.HPX Non Disinfettato C:\Documents and Settings\Administrator\Impostazioni locali\Temp\72.tmp
Dialer:Dialer.HPX Non Disinfettato C:\Documents and Settings\Administrator\Impostazioni locali\Temp\BB.tmp
Spyware:Cookie/Falkag Non Disinfettato C:\Documents and Settings\vincenzo\Cookies\vincenzo@as1.falkag[1].txt
Spyware:Cookie/Atlas DMT Non Disinfettato C:\Documents and Settings\vincenzo\Cookies\vincenzo@atdmt[1].txt
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\vincenzo\Cookies\vincenzo@doubleclick[2].txt
Adware:Adware/SystemDoctor Non Disinfettato C:\WINDOWS\1633810547.exe
Adware:Adware/SystemDoctor Non Disinfettato C:\WINDOWS\176228241166.exe
cosa faccio ???? |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 19 Set 2006 18:15 Oggetto: |
|
|
Niente di difficile
Elimina questi file:
C:/Documents and Settings/Administrator/Dati applicazioni/microsoft/internet explorer/quick launch/e1xplorer.lnk
C:/Documents and Settings/Administrator/Dati applicazioni/microsoft/internet explorer/quick launch/exsplorer.lnk
C:/WINDOWS/1633810547.exe
C:/WINDOWS/176228241166.exe
e poi svuota questa cartella.
C:/Documents and Settings/Administrator/Impostazioni locali/Temp/
Come va il PC adesso? |
|
| Top |
|
|
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
| Inviato: 19 Set 2006 18:57 Oggetto: per holifay |
|
|
ho eliminato i file ma ho problemi a svuotare
c/:document and setting/administrator/impostazioni locali/temp/ ,quando faccio seleziona tutto e cerco di eliminare mi esce un messaggio che e' impossibile eliminare df52b7,oppure df16ad.
ho sto sbagliando e devo svuotare quell'altro(temporary internet files)?grazie mille |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 19 Set 2006 19:12 Oggetto: Re: per holifay |
|
|
| STERNATIVOCOSIMO ha scritto: | ma ho problemi a svuotare
c/:document and setting/administrator/impostazioni locali/temp/ ,quando faccio seleziona tutto e cerco di eliminare mi esce un messaggio che e' impossibile eliminare df52b7,oppure df16ad. |
Anche da modalità provvisoria?
Hai dei processi "sospetti" in esecuzione (task manager -> scheda processi)? |
|
| Top |
|
|
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
| Inviato: 19 Set 2006 19:36 Oggetto: |
|
|
in modalita' provvisoria sono riuscito a svuotare tutto tranne pxr12.tm8(dice ompossibile eliminare il file ,controllare che il disco sia pieno o protetto, oppure file in uso.
dopo che ho riavviato in modalita normale ho trovato oltre a questo altri file che ho eliminato tranne df1adc.t ,dfccb5.tmc( file in uso da programma) |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 19 Set 2006 19:44 Oggetto: |
|
|
Per i file che non riesci a cancellare usa Unlocker (lo scarichi da qui )
Una volta installato se clicchi con il destro sul file che non si cancella vedrai che c'è la voce Unlocker, cliccala e si apre la finestra che ti mostra quali processi stanno utilizzando quel file (se ce n'è qualcuno sospetto segnatelo e magari postalo qua) per sbloccare il file clicca sblocca tutto e poi dovresti riuscire a cancellarlo. |
|
| Top |
|
|
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
| Inviato: 19 Set 2006 21:16 Oggetto: chemicald o holifay cosa dicono |
|
|
| chemicald o holifay cosa dicono?? |
|
| Top |
|
|
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
| Inviato: 19 Set 2006 21:41 Oggetto: |
|
|
| ho rifatto la scansione online con panda e risulta tutto come prima ,cosa vuol dire ???che devo fare ??grazie |
|
| Top |
|
|
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 19 Set 2006 22:42 Oggetto: |
|
|
| Se "risulta tutto come prima" intendi dire che ti trova di nuovo gli stessi file vuol dire che molto probabilmente sì è riscaricato da Internet.. forse conviene cancellare quei file (non solo quelli della cartella temp) da Modalità Provvisoria (sempre che tu nn l'abbia già fatto da lì). |
|
| Top |
|
|
holifay
Dio maturo
Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
|
| Inviato: 19 Set 2006 22:44 Oggetto: |
|
|
segui pure l´indicazione di Smjert di controllare cosa blocca quei file 
Non è detto che siano associati a malware: si trovano in una cartella temporanea e diversi programmi possono essere responsabili della loro creazione. Io ti ho detto di svuotarla per comodità, ma quelli da cancellare erano i file 48.tmp, 72.tmp e BB.tmp , cioè quelli trovati da Panda.
Il resto di quello che ti trova Panda sono tracking cookies, basta cancellarli da IE. Comunque niente di preoccupante |
|
| Top |
|
|
STERNATIVOCOSIMO
Mortale pio
Registrato: 17/09/06 12:25
Messaggi: 26
|
| Inviato: 20 Set 2006 10:49 Oggetto: |
 |
|
| ho rifatto la scansione con avg in modalita provvisoriaa e mi ha trovato 6 nuovi (trojan psw .agent .clk) in c/: recycler/s1-5-2-(ecc...). cosa vuol dire??? grazie,sei un genio |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
