Olimpo Informatico

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

salve, mi sono beccato un bel dialer ma per il momento sono riuscito ad inibirlo.
Nei processi avevo notato che sm56hlpr mi assorbiva spesso anche il 50% delle risorse. Sono andato in msconfig e lo ho disattivato dalle applicazioni in AVVIO.
Il file eseguibile credo sia del modem (o no?), si trova nella cartella Programmi /motorola/SMserial.
Adesso posso connettermi tranquillamente ma volevo sapere se mi conviene cancellare il file o addirittura la cartella (anche nel registro ovviamente c'è una chiave con lo stesso nome sm56hlpr)
Grazie

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Ciao Brumil Very Happy

Scarica Hijackthis da quì:
http://www.merijn.org/files/HiJackThis_v2.exe
Mettilo in una cartella non temporanea e non sul desktop.
Avvialo;
clicca su Main Menu e poi su Do a sustem scan and save log file;
Si aprirà il blocco note con il log;
seleziona e copia tutte le righe e incollale quì nella tua prossima risposta, che gli si da un'occhiata. Wink

bdoriano

Ciao brumil, Ciao

Segui le istruzioni di questo topic per postare il log di hijackthis.

PS: se vuoi, puoi presentarti qui

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

farò come dite, ma per il momento parto una settimana per la sicilia. Ci penserò al ritorno.

Grazie a presto

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

Ecco il log file di Logfile di hijackthis

PS ribadisco quanto sopra. Allo stato non ho problemi perchè ho disattivato il file dall'avvio in msconfig.

PS ieri il mio NOD 32 (modulo AMON) ha individuato win32/bagle.jm worm. Lo ha messo in quarantena, pare tutto tranquillo

of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.58.32, on 07/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Portrait Displays\Shared\DTSRVC.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Eset\nod32kui.exe
C:\windows\hffext\hffsrv.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\File comuni\Portrait Displays\Shared\HookManager.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Documenti\Download\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programmi\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [hffsrv] c:\windows\hffext\hffsrv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DT LGE] C:\Programmi\Portrait Displays\forteManager\DTHtml.exe -startup_folder
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programmi\File comuni\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5686 bytes

PS ieri il mio NOD 32 (modulo AMON) ha individuato win32/bagle.jm worm. Lo ha messo in quarantena, pare tutto tranquillo

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Ciao brumil Very Happy

Scarica Virit da quì: http://www.tgsoft.it/italy/download.htm

Aggiornalo e fagli fare la scansione completa del PC.
Fai in modo che rimuova automaticamente i file infetti trovati.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato.

Se continui ad avere problemi fai anche questi passaggi:

http://forum.zeusnews.com/viewtopic.php?p=194965#194965 passaggio 1 -

http://forum.zeusnews.com/viewtopic.php?p=194966#194966 passaggio 2 -

Inoltre sei sprovvisto di firewall. Installane uno.
Sul primo link della pagina principale del forum trovi la discussione al riguardo.

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

Dunque, intanto grazie.
Ho effettuato una prima scnasione parziale e ha individuato un dialer.
Ad una seconda completa non ha trovato nulla.
A questo punto ho ristabilito in "msconfig" il file smhelper e al riavvio, credo dopo che è partita la connessione internet, stranamente Virit lo ha subito segnalato come file sospetto.
Ad ogni modo al momento non ho problemi. Ti allego i Log delle scansioni con VirIt

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
08/09/2007 - 10:52:25

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\Bruno Milano\Impostazioni locali\Temporary Internet Files\Content.IE5\2ZOZBO50\counter[1].php Infetto da Trojan.Win32.Dialer.JO
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 10599.
Files Totali: 10599.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
08/09/2007 - 16:06:17

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 76838.
Files Totali: 76838.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

[SCANSIONE DELLA MEMORIA]

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Io ti direi di proseguire con i controlli e fare gli altri passaggi indicati.

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

ecco i link dei due passaggi effettuati con gmer

http://www.freefilehosting.net/download/MTk4NzA=

http://www.freefilehosting.net/download/MTk4NzQ=

PS non ho trovato le indicazioni circa il firewall

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Allora, i log di GMER non presentano nulla di strano, tranne questo file:
C:\WINDOWS\SISTEM32\FDCENT.SYS che mi sembra sospetto. Eventualmente fallo analizzare su www.virustotal.com.
Il file a cui ti riferisci, sm56helper dovrebbe essere legittimo.
Possiedi Motorola 56K o conexant?.

Fai comunque una scansione online con Kaspersky:
http://forum.zeusnews.com/viewtopic.php?t=21705
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus ed eventualmente anche il firewall. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato.

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Ah, per il firewall guarda qui:
http://forum.zeusnews.com/viewtopic.php?p=117598#117598

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

Il FDCENT si trova in Windows/sistem32/drivers.
ho provato a farlo analizzare su virustotal ma dopo l'upload esce questo: "0 bytes size received / Se ha recibido un archivo vacio"

SI possiedo un modem motorola 56 k

Faccio la scansione on line e ti faccio sapere.
Grazie

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

ecco illink della scansione con Kasparesky

http://www.freefilehosting.net/download/MjAzMDY=

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Scarica Avenger e mettilo in una sua cartella in C:\
http://swandog46.geekstogo.com/avenger.zip
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

Files to delete:
D:\Documenti\Download\Audio\Direct MIDI to MP3 Converter v.1.2 incl serial.zip
D:\Documenti\Download\Crack\Quark_Xpress_7_Keygen.rar
D\Documenti\Download\Registry.Mechanic.v5.0.0.144-Regged+crack+serial good works.rar
D:\Documenti\Download\Video\Crack\REDGIANT MAGIC BULLET SUITE V2.1 FOR AE crack updated-fixed 11-2006.rar
D:\Documenti\Download\Video\plugin, patch, utility\INTERPOSER_PRO_V1.2.2_FOR_C4D_PROPER_AND_KEYGEN-XFORCE.zip
D:\Documenti\Download\Video\software\importante\DAZStudio-bryce-Poser\INTERPOSER_PRO_V1.2.2_FOR_C4D_PROPER_AND_KEYGEN-XFORCE.zip

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.

Infine dai una ripulita alla cache di internet con l'opzione pulitura disco oppure utilizza CCleaner e ATF Cleaner.
Hai ancora problemi con il PC?

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

ti allego i log da te richiesti.
Il Pc in questo momento funziona perfettamente, e te ne ringrazio. Devo solo impostare meglio il firewall (PC Plus, al momento trial) perchè mi blocca applicazioni come outlook ed altro.
Domanda: avenger cancella anche tutte le chiavi del registro legate a quei file infetti?

http://www.freefilehosting.net/download/MjA2Mjg=

http://www.freefilehosting.net/download/MjA2Mjk=

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

Ho l'impressione che non sono ancora del tutto pulito.
Ho rifatto la scansione con Kaspersky ed oltre ai file di backup di avenger mi sa che in D ci sia ancora qualcosa che non va

brumil · Semidio Registrato: 15/08/07 11:32 Messaggi: 238

Ho l'impressione che non sono ancora del tutto pulito.
Ho rifatto la scansione con Kaspersky ed oltre ai file di backup di avenger mi sa che in D ci sia ancora qualcosa che non va

http://www.freefilehosting.net/download/MjA2NTU=