Olimpo Informatico

[leia74]

Ciao a tutti,
sono approdata qui cercando un modo di eliminare Instant Access che mi sono beccata qualche giorno fa.
Premetto che non sono una grande esperta, e che ho ancora una "bellissima" connessione lumaca a 56Kb.

Quando ho preso Instant Access mi si e' scollegato il modem, per cui me ne sono accorta subito. Ho visto l'icona del collegamento a Instant Access sul desktop, ho visto che puntava a un file exe in C:\Document and settings\Sabry\non mi ricordo\Temp e ho gettato tutte 2 (collegamento e file) nel cestino. Poi ho fatto lo stesso con una connessione a internet indesiderata che si era creata nella cartella connessioni di rete. Vi racconto questo perche' non vorrei aver combinato qualche casino facendo cosi'.

Fatto cio' ho avuto dei problemi ulteriori, che ho risolto seguendo la vostra spiegazione con FindAWF e sovrascrivendo i file infetti con quelli sani delle cartelle bak. I problemi legati a quei file si sono risolti. (Grazieee!)

Ma ne e' rimasto uno. Dopo aver eliminato brutalmente (delete) il file exe di Instant Access e la connessione internet indesiderata, mi sono accorta che ogni volta che apro la cartella C:\Documents and Settings\Sabry che sarebbe il mio utente di WinXP, mi esce un messaggio di errore: "Errore di connessione a Internet. Impossibile completare la richiesta poiche' il server non viene rilevato o non risponde. Il problema potrebbe essere causato da difficolta' tecniche o da impostazioni di rete non corrette".

Non credo che aprendo la cartella del mio user si debba automaticamente innescare un collegamento a internet, no? Non funziona, per carita', pero' mi rompe. Puo' essere colpa di quei cancellamenti selvaggi che ho fatto all'inizio? C'e' un modo per levarlo di mezzo?

Sabrina

[Orange]

ciao leia74 benvenuta
se vuoi presentarti anche agli altri utenti del forum fai un salto al Caffe di Olimpo! Garantita un'accoglienza calorosa!

[leia74]

Ciao
Sono abbastanza sicura di aver eliminato i file infetti che erano solo 2, i 2 errori relativi non mi compaiono piu' quindi credo siano ok.
Cmq stasera a casa rifaccio un log con FindAWF
Ma io i file in bak non li ho eliminati quindi li trova per forza, no? Ho fatto copia incolla non taglia incolla.

[leia74]

Infatti come pensavo, FindAWF mi vede ancora i 2 file che ho gia' copincollato. Pero' i problemi relativi si sono risolti. Dite che devo rifare la procedura stavolta tagliando invece di copiando?
Questo e' il log di FindAWF:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 541C-2B23

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 45.686.677.504 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 541C-2B23

Directory di C:\WINDOWS\SYSTEM32\BAK

09/07/2001 11.50 155.648 NeroCheck.exe
1 File 155.648 byte
2 Directory 45.686.685.696 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 541C-2B23

Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK

04/03/2007 10.45 411.648 avgcc.exe
1 File 411.648 byte
2 Directory 45.686.673.408 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 541C-2B23

Directory di C:\PROGRA~1\SKYPE\PHONE\BAK

0 File 0 byte
2 Directory 45.686.673.408 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

155648 9 Jul 2001 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
411648 4 Mar 2007 "C:\Programmi\Grisoft\AVG Free\avgcc.exe"
411648 4 Mar 2007 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"


end of report

[Orange]

cerco di spiegare:
quando l'infezione è stata "curata" il tool visualizza comunque le cartelle bak, però c'è una differenza: se non ci sono più i doppioni il log si presenta in questo modo

[leia74]

Ecco il nuovo log:


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 541C-2B23

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 45.683.183.616 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 541C-2B23

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 45.683.183.616 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 541C-2B23

Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK

0 File 0 byte
2 Directory 45.683.179.520 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 541C-2B23

Directory di C:\PROGRA~1\SKYPE\PHONE\BAK

0 File 0 byte
2 Directory 45.683.179.520 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report


Come vedete, i files nelle cartelle bak non ci sono piu'.
Ma il problema iniziale c'e' ancora...

[Orange]

ciao!
infatti ora il log è pulito...
vediamo se è opera di qualche altro malware..
scarica l'ultima versione di HiJackThis fai il log e postalo qui

[leia74]

Hijackthis ce l'ho gia', avevo fatto uno scan prima di fare quell'operazione con i file nelle cartelle bak. Intanto lo posto qui, poi stasera lo rifaccio e lo riposto? Intanto vedete questo (tenendo conto del cambiamento fatto):

Logfile of HijackThis v1.99.1
Scan saved at 21.33.25, on 04/04/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\sabry\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {E9A7F56F-C40F-4928-8C6F-7A72F2A25222} (AxRUploadControl Object) - http://www.imagestation.com/common/classes/SonyISUpload.cab?v=1,0,0,37
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

[niklair]

... mmmh, il log sembra pulito

[rickyx]

Ciao a tutti...spero che possiate aiutarmi..

Allora...ho preso anche io Instant Access.... il report di Find è questo:

[Orange]

certo un bel pò di roba....
forse sarebbe stato meglio se postavi lo script che hai fatto tu per Avenger....
comunque, ecco lo script:

Citazione:

Files to delete: C:\WINDOWS\MXOALDR.EXE C:\WINDOWS\SiSUSBrg.exe C:\Programmi\ESET\nod32kui.exe C:\Programmi\iTunes\iTunesHelper.exe C:\Programmi\mobile PhoneTools\WatchDog.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\Windows Media Player\WMPNSCFG.exe C:\SCANJET\PrecisionScanLT\hppwrsav.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\HP\HP Software Update\HPWuSchd2.exe C:\Programmi\IGN\Download Manager\DLM.exe C:\Programmi\Logitech\ImageStudio\ISStart.exe C:\Programmi\Logitech\ImageStudio\LogiTray.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\Skype\Phone\Skype.exe C:\Programmi\VoiceAge\Common\VaCtrl.exe C:\WINDOWS\system32\NVRTClk.exe C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe C:\Programmi\File comuni\Logitech\QCDriver3\LVCOMS.EXE C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe C:\Programmi\Maxtor\OneTouch\Utils\Onetouch.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0T1.EXE D:\Programmi\Shareaza\Shareaza.exe Files to move: C:\WINDOWS\bak\MXOALDR.EXE | C:\WINDOWS\MXOALDR.EXE C:\WINDOWS\bak\SiSUSBrg.exe | C:\WINDOWS\SiSUSBrg.exe C:\Programmi\ESET\bak\nod32kui.exe | C:\Programmi\ESET\nod32kui.exe C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe C:\Programmi\mobile PhoneTools\bak\WatchDog.exe | C:\Programmi\mobile PhoneTools\WatchDog.exe C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe | C:\Programmi\Windows Media Player\WMPNSCFG.exe C:\SCANJET\PrecisionScanLT\bak\hppwrsav.exe | C:\SCANJET\PrecisionScanLT\hppwrsav.exe C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe | C:\Programmi\HP\HP Software Update\HPWuSchd2.exe C:\Programmi\IGN\Download Manager\bak\DLM.exe | C:\Programmi\IGN\Download Manager\DLM.exe C:\Programmi\Logitech\ImageStudio\bak\ISStart.exe | C:\Programmi\Logitech\ImageStudio\ISStart.exe C:\Programmi\Logitech\ImageStudio\bak\LogiTray.exe | C:\Programmi\Logitech\ImageStudio\LogiTray.exe C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe C:\Programmi\Skype\Phone\bak\Skype.exe | C:\Programmi\Skype\Phone\Skype.exe C:\Programmi\VoiceAge\Common\bak\VaCtrl.exe | C:\Programmi\VoiceAge\Common\VaCtrl.exe C:\WINDOWS\system32\NVRTClk\bak\NVRTClk.exe | C:\WINDOWS\system32\NVRTClk.exe C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe | C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe C:\Programmi\File comuni\Logitech\QCDriver3\bak\LVCOMS.EXE | C:\Programmi\File comuni\Logitech\QCDriver3\LVCOMS.EXE C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe C:\Programmi\Maxtor\OneTouch\Utils\bak\Onetouch.exe | C:\Programmi\Maxtor\OneTouch\Utils\Onetouch.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0T1.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0T1.EXE D:\Programmi\Shareaza\bak\Shareaza.exe | D:\Programmi\Shareaza\Shareaza.exe

se non sai come usare Avenger leggi qui
posta il log di Avenger e uno di FindAWF

[rickyx]

Ti ringrazio tantissimo ( soprattutto per il tempo che hai buttato via ), il tuo script è andato..

Al riavvio Avenger mi da' questo log:

[Orange]

ciao!

[gabriele82]

Scusate ragazzi ma nn capisco come fare e ho paura d fare dei danni... ho preso il DIALER INSTANT ACCESS... Ho scaricato l' avenger e ho creato il documento d testo awf... ho aperto l' avenger nella sezione imput script manually ma nn sò cosa metterci datemi una mano...
L' awf mi dà:

[size=12] Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 05.00 15.360 ctfmon.exe
01/11/2004 18.22 262.144 ElkCtrl.exe
28/11/2005 13.52 77.824 hkcmd.exe
28/11/2005 13.55 118.784 igfxpers.exe
28/11/2005 13.55 98.304 igfxtray.exe
30/12/2005 14.02 40.960 ImageItEncrypt.exe
06/04/2006 19.22 225.280 LVCOMSX.EXE
7 File 838.656 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\LAUNCH~1\BAK

30/03/2006 13.56 471.040 QtZgAcer.EXE
1 File 471.040 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\QUICKT~1\BAK

25/10/2006 18.58 282.624 qttask.exe
1 File 282.624 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\ITUNES\BAK

30/10/2006 09.36 256.576 iTunesHelper.exe
1 File 256.576 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\WINDOWS\IME\IMJP8_1\BAK

19/08/2004 05.00 208.952 IMJPMIG.EXE
1 File 208.952 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\REALTEK\INSTAL~1\BAK

25/08/2005 14.21 53.248 AzMixerSel.exe
1 File 53.248 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\SYNAPT~1\SYNTP\BAK

08/01/2005 07.16 692.315 SynTPEnh.exe
08/01/2005 07.17 102.491 SynTPLpr.exe
2 File 794.806 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\NEWTEC~1\NTICD&~1\BAK

11/05/2005 17.15 45.056 ntiMUI.exe
1 File 45.056 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\ATITEC~1\ATI.ACE\BAK

02/01/2006 17.41 45.056 cli.exe
1 File 45.056 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\ACER\ORBICAM\BAK

06/04/2006 19.00 331.776 CameraAssistant.exe
06/04/2006 19.06 73.728 InstallHelper.exe
2 File 405.504 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~2\ACER\ACERAR~1\BAK

23/03/2006 00.12 151.552 PCMService.exe
1 File 151.552 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\ACER\EMPOWE~1\EDATAS~1\BAK

17/03/2006 15.00 345.088 eDSloader.exe
1 File 345.088 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\ACER\EMPOWE~1\EPRESE~1\BAK

31/03/2006 16.39 204.800 ePresentation.exe
1 File 204.800 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\ACER\EMPOWE~1\EPOWER\BAK

15/03/2006 22.12 579.584 Boot.exe
04/04/2006 18.08 421.888 ePower_DMC.exe
2 File 1.001.472 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\ACER\EMPOWE~1\ENET\BAK

21/03/2006 11.06 225.280 eNMTray.exe
1 File 225.280 byte
2 Directory 16.771.252.224 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\ACER\EMPOWE~1\ERECOV~1\BAK

28/04/2006 16.43 401.408 eRAgent.exe
1 File 401.408 byte
2 Directory 16.771.186.688 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\WINDOWS\SYSTEM32\IME\PINTLGNT\BAK

19/08/2004 05.00 59.392 ImScInst.exe
1 File 59.392 byte
2 Directory 16.771.186.688 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\WINDOWS\SYSTEM32\IME\TINTLGNT\BAK

19/08/2004 05.00 455.168 TINTSETP.EXE
1 File 455.168 byte
2 Directory 16.771.186.688 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\BAK

11/08/2005 15.30 81.920 issch.exe
11/08/2005 15.30 249.856 isuspm.exe
2 File 331.776 byte
2 Directory 16.771.186.688 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

03/11/2006 18.10 185.896 realsched.exe
1 File 185.896 byte
2 Directory 16.771.186.688 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\BAK

15/02/2007 19.26 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 16.771.186.688 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\JAVA\JRE15~1.0_1\BIN\BAK

15/12/2006 03.23 75.520 jusched.exe
1 File 75.520 byte
2 Directory 16.771.186.688 byte disponibili
Il volume nell'unit? C ? ACER
Numero di serie del volume: 3FDB-C522

Directory di C:\PROGRA~1\ADOBE\PHOTOS~1\3.0\APPS\BAK

07/07/2005 18.41 57.344 apdproxy.exe
1 File 57.344 byte
2 Directory 16.771.186.688 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\igfxtray.exe"
98304 28 Nov 2005 "C:\WINDOWS\VGA\igfxtray.exe"
98304 28 Nov 2005 "C:\WINDOWS\system32\bak\igfxtray.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\hkcmd.exe"
77824 28 Nov 2005 "C:\WINDOWS\VGA\hkcmd.exe"
77824 28 Nov 2005 "C:\WINDOWS\system32\bak\hkcmd.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\igfxpers.exe"
118784 28 Nov 2005 "C:\WINDOWS\VGA\igfxpers.exe"
118784 28 Nov 2005 "C:\WINDOWS\system32\bak\igfxpers.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\LVCOMSX.EXE"
225280 6 Apr 2006 "C:\WINDOWS\system32\bak\LVCOMSX.EXE"
24076 5 Apr 2007 "C:\WINDOWS\system32\ElkCtrl.exe"
262144 1 Nov 2004 "C:\WINDOWS\system32\bak\ElkCtrl.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\ImageItEncrypt.exe"
40960 30 Dec 2005 "C:\WINDOWS\system32\bak\ImageItEncrypt.exe"
40960 30 Dec 2005 "C:\Acer\Empowering Technology\eRecovery\ImageItEncrypt.exe"
24076 5 Apr 2007 "C:\Programmi\Launch Manager\QtZgAcer.EXE"
471040 30 Mar 2006 "C:\Programmi\Launch Manager\bak\QtZgAcer.EXE"
24076 5 Apr 2007 "C:\Programmi\QuickTime\qttask.exe"
282624 25 Oct 2006 "C:\Programmi\QuickTime\bak\qttask.exe"
24076 5 Apr 2007 "C:\Programmi\iTunes\iTunesHelper.exe"
102400 17 Dec 2006 "C:\WINDOWS\Installer\{446DBFFA-4088-48E3-8932-74316BA4CAE4}\iTunesIco.exe"
256576 30 Oct 2006 "C:\Programmi\iTunes\bak\iTunesHelper.exe"
108096 30 Oct 2006 "C:\Documents and Settings\All Users\Dati applicazioni\Apple Computer\Installer Cache\iTunes 7.0.2.16\iTunesSetupAdmin.exe"
208952 19 Aug 2004 "C:\WINDOWS\ime\imjp8_1\imjpmig.exe"
208952 19 Aug 2004 "C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE"
24076 5 Apr 2007 "C:\Programmi\Realtek\InstallShield\AzMixerSel.exe"
53248 25 Aug 2005 "C:\Programmi\Realtek\InstallShield\bak\AzMixerSel.exe"
24076 5 Apr 2007 "C:\Programmi\Synaptics\SynTP\SynTPLpr.exe"
102491 8 Jan 2005 "C:\Programmi\Synaptics\SynTP\Media\SynTPLpr.exe"
102491 8 Jan 2005 "C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe"
24076 5 Apr 2007 "C:\Programmi\Synaptics\SynTP\SynTPEnh.exe"
692315 8 Jan 2005 "C:\Programmi\Synaptics\SynTP\Media\SynTPEnh.exe"
692315 8 Jan 2005 "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe"
24076 5 Apr 2007 "C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe"
45056 11 May 2005 "C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\bak\ntiMUI.exe"
24076 5 Apr 2007 "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe"
45056 2 Jan 2006 "C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe"
24076 5 Apr 2007 "C:\Programmi\Acer\OrbiCam\CameraAssistant.exe"
331776 6 Apr 2006 "C:\Programmi\Acer\OrbiCam\bak\CameraAssistant.exe"
24076 5 Apr 2007 "C:\Programmi\Acer\OrbiCam\InstallHelper.exe"
15872 21 Feb 2003 "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\InstallUtil.exe"
28672 23 Sep 2005 "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe"
16294696 15 Dec 2006 "C:\Documents and Settings\windows\Desktop\Programs\Install_Messenger.exe"
73728 6 Apr 2006 "C:\Programmi\Acer\OrbiCam\bak\InstallHelper.exe"
24076 5 Apr 2007 "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
151552 23 Mar 2006 "C:\Program Files\Acer\Acer Arcade\bak\PCMService.exe"
24076 5 Apr 2007 "C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe"
345088 17 Mar 2006 "C:\Acer\Empowering Technology\eDataSecurity\bak\eDSloader.exe"
81920 26 Jan 2006 "C:\Acer\Empowering Technology\ePresentation\ePresentationLauncher.exe"
204800 31 Mar 2006 "C:\Acer\Empowering Technology\ePresentation\bak\ePresentation.exe"
24076 5 Apr 2007 "C:\Acer\Empowering Technology\ePower\ePower_DMC.exe"
421888 4 Apr 2006 "C:\Acer\Empowering Technology\ePower\bak\ePower_DMC.exe"
24076 5 Apr 2007 "C:\Acer\Empowering Technology\ePower\Boot.exe"
579584 15 Mar 2006 "C:\Acer\Empowering Technology\ePower\bak\Boot.exe"
24076 5 Apr 2007 "C:\Acer\Empowering Technology\eNet\eNMTray.exe"
225280 21 Mar 2006 "C:\Acer\Empowering Technology\eNet\bak\eNMTray.exe"
24076 5 Apr 2007 "C:\Acer\Empowering Technology\eRecovery\eRAgent.exe"
401408 28 Apr 2006 "C:\Acer\Empowering Technology\eRecovery\bak\eRAgent.exe"
59392 19 Aug 2004 "C:\WINDOWS\system32\IME\PINTLGNT\imscinst.exe"
59392 19 Aug 2004 "C:\WINDOWS\system32\IME\PINTLGNT\bak\ImScInst.exe"
455168 19 Aug 2004 "C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe"
455168 19 Aug 2004 "C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE"
24076 5 Apr 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe"
249856 11 Aug 2005 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\isuspm.exe"
24076 5 Apr 2007 "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe"
81920 11 Aug 2005 "C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe"
24076 5 Apr 2007 "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"
185896 3 Nov 2006 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"
619536 3 Nov 2006 "C:\Programmi\File comuni\Real\GToolbar\GoogleToolbarInstaller.exe"
24076 5 Apr 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe"
171448 15 Feb 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
24076 5 Apr 2007 "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
75520 15 Dec 2006 "C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe"
24076 5 Apr 2007 "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
57344 7 Jul 2005 "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe"


end of report[size=9][/size][/size]

[giaelisou]

Ciao,
Ho preso anch'io questo virus.
Ho letto e fatto tutto quello che avete consigliato, ma mi sono sbagliata!!!....
Allora, File to delete: tutto ok.
Per i file to move, ho sbagliato a scrivere. Nel senso che invece di scrivere per esempio:
"C:\Programmi\Apoint2K\bak\Apoint.exe | C:\Programmi\Apoint2K\Apoint.exe"
...... ho solo scritto "C:\Programmi\Apoint2K\bak\Apoint.exe"
Adessso Avenger mi mette questo messaggio:
Error - selected file does not appear to be a valid script
Error code 0
...quando clicco sul semaforo.

Grazie per l'aiuto che mi potrebbe dare... penso di aver così cancellati un bel po' di cose!

[Orange]

ciao gabriele82 e giaelisou. Benvenuti!

allora, gabriele82 direi "stadio avanzato"
ti preparo lo script

Citazione:

files to delete: C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\ElkCtrl.exe C:\WINDOWS\system32\ImageItEncrypt.exe C:\Programmi\Launch Manager\QtZgAcer.EXE C:\Programmi\QuickTime\qttask.exe C:\Programmi\iTunes\iTunesHelper.exe C:\Programmi\Realtek\InstallShield\AzMixerSel.exe C:\Programmi\Synaptics\SynTP\Media\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\Acer\OrbiCam\CameraAssistant.exe C:\Programmi\Acer\OrbiCam\InstallHelper.exe C:\Program Files\Acer\Acer Arcade\PCMService.exe C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Acer\Empowering Technology\ePower\Boot.exe C:\Acer\Empowering Technology\eNet\eNMTray.exe C:\Acer\Empowering Technology\eRecovery\eRAgent.exe C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe files to move: C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\bak\igfxtray.exe | C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\bak\hkcmd.exe | C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\bak\igfxpers.exe | C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\bak\LVCOMSX.EXE | C:\WINDOWS\system32\LVCOMSX.EXE C:\WINDOWS\system32\bak\ElkCtrl.exe | C:\WINDOWS\system32\ElkCtrl.exe C:\WINDOWS\system32\bak\ImageItEncrypt.exe | C:\WINDOWS\system32\ImageItEncrypt.exe C:\Programmi\Launch Manager\bak\QtZgAcer.EXE | C:\Programmi\Launch Manager\QtZgAcer.EXE C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe C:\Programmi\Realtek\InstallShield\bak\AzMixerSel.exe | C:\Programmi\Realtek\InstallShield\AzMixerSel.exe C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe | C:\Programmi\Synaptics\SynTP\Media\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\bak\ntiMUI.exe | C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe | C:\Programmi\ATI Technologies\ATI.ACE\cli.exe C:\Programmi\Acer\OrbiCam\bak\CameraAssistant.exe | C:\Programmi\Acer\OrbiCam\CameraAssistant.exe C:\Programmi\Acer\OrbiCam\bak\InstallHelper.exe | C:\Programmi\Acer\OrbiCam\InstallHelper.exe C:\Program Files\Acer\Acer Arcade\bak\PCMService.exe | C:\Program Files\Acer\Acer Arcade\PCMService.exe C:\Acer\Empowering Technology\eDataSecurity\bak\eDSloader.exe | C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe C:\Acer\Empowering Technology\ePower\bak\ePower_DMC.exe | C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Acer\Empowering Technology\ePower\bak\Boot.exe | C:\Acer\Empowering Technology\ePower\Boot.exe C:\Acer\Empowering Technology\eNet\bak\eNMTray.exe | C:\Acer\Empowering Technology\eNet\eNMTray.exe C:\Acer\Empowering Technology\eRecovery\bak\eRAgent.exe | C:\Acer\Empowering Technology\eRecovery\eRAgent.exe C:\Programmi\File comuni\InstallShield\UpdateService\bak\isuspm.exe | C:\Programmi\File comuni\InstallShield\UpdateService\isuspm.exe C:\Programmi\File comuni\InstallShield\UpdateService\bak\issch.exe | C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe | C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe | C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

giaelisou
fai il log di FindAWF e mettilo qui

[giaelisou]

Ciao orange!
Ecco qui il log di FindAWF


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\APOINT2K\BAK

0 File 0 byte
2 Directory 90.047.172.608 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 90.047.172.608 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 90.047.168.512 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 90.047.168.512 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\MICROS~3\SYSTEM\BAK

0 File 0 byte
2 Directory 90.047.168.512 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\TOSHIBA\E-KEY\BAK

0 File 0 byte
2 Directory 90.047.168.512 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\TOSHIBA\TOF266~1\BAK

0 File 0 byte
2 Directory 90.047.168.512 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\TOSHIBA\TOSCDSPD\BAK

0 File 0 byte
2 Directory 90.047.168.512 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\TOSHIBA\TOSHIB~2\BAK

0 File 0 byte
2 Directory 90.047.156.224 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\TOSHIBA\TOSHIB~3\BAK

0 File 0 byte
2 Directory 90.047.156.224 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\TOSHIBA\TOUCHA~1\BAK

0 File 0 byte
2 Directory 90.047.156.224 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\TOSHIBA\TOUCHPAD\BAK

0 File 0 byte
2 Directory 90.047.156.224 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\TOSHIBA\TVS\BAK

0 File 0 byte
2 Directory 90.047.156.224 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\TOSHIBA\WINDOW~1\BAK

0 File 0 byte
2 Directory 90.047.152.128 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\BAK

0 File 0 byte
2 Directory 90.047.152.128 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 34BE-6684

Directory di C:\PROGRA~1\INTEL\WIRELESS\BIN\BAK

0 File 0 byte
2 Directory 90.047.152.128 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report


Sono un po' ignorante in informatica. Ma sembra che con quello che ho fatto ieri, io non abbia più questi file...e quindi i programmi non funzionano più.
Grazie del tuo aiuto :lol:

[giaelisou]

Ups!
Adesso quando clicco sul semaforo verde di Avenger, il codice errore non è più lo 0, ma 1813
Ciao :?

[Orange]

in pratica (se ho capito bene) hai cancellato i programmi e ora non và più nulla, giusto?
Avenger di norma crea una cartella di backup. la trovi in C:\avenger\backup.zip
prova a fare il ripristino...
se non funziona il backup di Avenger fai il ripristino di configurazione del sistema ad una data anticedente al "disastro"..
dopo rifai lo scan con FindAWF e posta qui il risultato.

[giaelisou]

In pratica, hai capito bene!
ok, ho trovato la cartella di backup e l'ho "unzippata", ma adesso cosa faccio?! Come ripristino i file?! Sono proprio ignorante !