Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* RasApi32.dll (Trojan.Win32.Agent.amf)
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 21 Set 2007 16:06    Oggetto: * RasApi32.dll (Trojan.Win32.Agent.amf) Rispondi citando
Salve a tutti. Mi sono anche io imbattuto in questo forum digitando la famigerata parola rasapi. Ora vorre ichiedervi un aiuto se vi è possibile. Avevo già avuto l'idea di copiare da un altro pc il file ed incollarlo. Bene, appena l'ho fatto ho parzialemnte risolto il problema nel senso ke mi riconosce di nuovo le connessioni ed il modem. tuttavia non ho risolto il rpblema in quanto appena lancio explorere mi dice " impossibile avviare la pagina in modalità non in linea...connetti....riptova ( o non in linea, non ricordo bene) ma questa finestra nn m idapossibilità di interagire perchè si blocca. Ricordo, ancora, che mi segnalava la mancanza di un altro file "rtl 100 bpl" c'entra qualcosa con il mio problema?. Grazie per le dritte
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 21 Set 2007 18:05    Oggetto: Rispondi citando
Ciao sutor, Ciao

Segui le istruzioni di questo topic per postare il log di hijackthis.

PS: se vuoi, puoi presentarti qui
Top
Profilo Invia messaggio privato
ab12c3
Mortale devoto
Mortale devoto


Registrato: 21/09/07 11:15
Messaggi: 9
MessaggioInviato: 21 Set 2007 18:11    Oggetto: Re: rasapi Rispondi citando
sutor ha scritto:
Salve a tutti. Mi sono anche io imbattuto in questo forum digitando la famigerata parola rasapi. Ora vorre ichiedervi un aiuto se vi è possibile. Avevo già avuto l'idea di copiare da un altro pc il file ed incollarlo. Bene, appena l'ho fatto ho parzialemnte risolto il problema nel senso ke mi riconosce di nuovo le connessioni ed il modem. tuttavia non ho risolto il rpblema in quanto appena lancio explorere mi dice " impossibile avviare la pagina in modalità non in linea...connetti....riptova ( o non in linea, non ricordo bene) ma questa finestra nn m idapossibilità di interagire perchè si blocca. Ricordo, ancora, che mi segnalava la mancanza di un altro file "rtl 100 bpl" c'entra qualcosa con il mio problema?. Grazie per le dritte


Sutor, in relazione all'esperienza che ho riportato oggi, dunque "per quei sintomi specifici che ho rilevato nel mio caso" (su Windows XP Home Edition), tra i problemi che tu citi ho avuto solo quello delle connessioni; tuttavia, se hai determinato che "rasapi32" ha a che fare coi tuoi problemi (tant'è che sostituendolo hai ripristinato le connessioni), ti consiglio di fare comunque una ricerca sul disco C e tutte le sue sottocartelle per "rasapi*.*": se trovi degli ulteriori "rasapi32" sparsi in altre directory questi a mio avviso sono da eliminare, perché in un Windows "pulito" esiste solo - che mi risulti - "rasapi32.dl_" in C:\I386 e "rasapi32.dll" in C:\WINDOWS\system32.

Nel mio caso, come puoi leggere dalla mio primo messaggio, c'erano ulteriori copie dei rasapi "falsi" in altre directory. Ogni presenza estranea può essere dannosa (essendo stata causata dal virus!), quindi meglio "eliminare le eccedenze". A me la presenza dei falsi file dava problemi non solo con le connessioni; una volta elimninati i file di troppo queste hanno ripreso a funzionare e sono spariti anche gli altri disguidi.

Hope this helps --- ab12c3
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 21 Set 2007 20:42    Oggetto: Rispondi citando
ho trovato un rasapi 86 nella stessa cartella, devo eliminarlo?

PS che significa il log di hijackthis. ? Embarassed

PPS perdonate la mia somma ignoranza
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 21 Set 2007 21:34    Oggetto: Rispondi citando
sutor ha scritto:

PS che significa il log di hijackthis. ? Embarassed


Hai seguito le istruzioni del link indicato da bdoriano?.
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 21 Set 2007 21:49    Oggetto: Rispondi citando
ehm no. ora provo prima con il programmino findawf. Grazie per la pazienza e scustemi per aver vioalto la netiquette
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 21 Set 2007 22:04    Oggetto: Rispondi citando
muble muble...ecco quello che è uscito

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\BAK

0 File 0 byte
2 Directory 76.828.368.896 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\WINDOWS\BAK

09/06/2004 16.37 40.960 VM_STI.EXE
1 File 40.960 byte
2 Directory 76.828.368.896 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\DAEMON~1\BAK

04/04/2007 00.29 165.784 daemon.exe
1 File 165.784 byte
2 Directory 76.828.364.800 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\ITUNES\BAK

18/10/2005 11.58 278.528 iTunesHelper.exe
1 File 278.528 byte
2 Directory 76.828.364.800 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 76.828.364.800 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 76.828.377.088 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\QUICKT~1\BAK

27/04/2007 09.41 282.624 qttask.exe
1 File 282.624 byte
2 Directory 76.828.364.800 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\SPYWAR~1\BAK

19/03/2007 01.11 651.784 SDTrayApp.exe
1 File 651.784 byte
2 Directory 76.828.364.800 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\WINDOWS\SYSTEM32\BAK

30/08/2004 22.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 76.828.364.800 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\WINDOWS\TEMP\BAK

0 File 0 byte
2 Directory 76.828.364.800 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\BROTHER\BRMFL05A\BAK

26/01/2005 18.02 49.152 BrStDvPt.exe
1 File 49.152 byte
2 Directory 76.828.364.800 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\BROTHER\CONTRO~1\BAK

17/05/2005 17.42 933.888 brctrcen.exe
1 File 933.888 byte
2 Directory 76.828.364.800 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

12/01/2005 04.01 32.768 PDVDServ.exe
1 File 32.768 byte
2 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~1\BAK

21/05/2007 12.28 68.856 GoogleToolbarNotifier.exe
1 File 68.856 byte
2 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\MICROS~2\MICROS~1\BAK

13/06/2006 03.01 351.000 EDICT.EXE
1 File 351.000 byte
2 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\MICROS~3\OFFICE12\BAK

27/10/2006 01.47 31.016 GrooveMonitor.exe
1 File 31.016 byte
2 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\SCANSOFT\PAPERP~1\BAK

11/03/2005 01.28 40.960 IndexSearch.exe
11/03/2005 01.01 57.393 pptd40nt.exe
2 File 98.353 byte
2 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\DOCUME~1\ADMIN\DATIAP~1\SHIMSL~1\BAK

0 File 0 byte
2 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\DOCUME~1\ADMIN\IMPOST~1\TEMP\BAK

20/09/2007 21.13 24.592 jgzbwa.exe
1 File 24.592 byte
3 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\DOCUME~1\ALLUSE~1\DATIAP~1\TOOLNA~1\BAK

0 File 0 byte
2 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\ADOBE\ADOBEA~1.0\DISTILLR\BAK

14/12/2004 02.12 483.328 Acrotray.exe
1 File 483.328 byte
2 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

12/01/2006 17.40 155.648 NeroCheck.exe
31/07/2006 12.45 139.264 NMBgMonitor.exe
2 File 294.912 byte
2 Directory 76.828.360.704 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

25/02/2007 00.08 185.896 realsched.exe
1 File 185.896 byte
2 Directory 76.828.356.608 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\FILECO~1\SCANSO~1\SSBKGD~1\BAK

14/10/2003 10.22 155.648 SSBkgdupdate.exe
1 File 155.648 byte
2 Directory 76.828.356.608 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~1\121128~1.546\BAK

14/02/2007 14.46 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 76.828.356.608 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~1\12908~1.500\BAK

27/01/2007 20.47 163.576 GoogleToolbarNotifier.exe
1 File 163.576 byte
2 Directory 76.828.356.608 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\PROGRA~1\JAVA\JRE15~1.0_1\BIN\BAK

09/11/2006 16.07 49.263 jusched.exe
1 File 49.263 byte
2 Directory 76.828.356.608 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: 74C5-F7D2

Directory di C:\DOCUME~1\ADMIN\IMPOST~1\TEMP\BAK\BAK

0 File 0 byte
2 Directory 76.828.356.608 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

24592 20 Sep 2007 "C:\WINDOWS\VM_STI.EXE"
40960 9 Jun 2004 "C:\WINDOWS\bak\VM_STI.EXE"
40960 9 Jun 2004 "C:\WINDOWS\Options\Install\VM_STI.EXE"
24592 20 Sep 2007 "C:\Programmi\DAEMON Tools\daemon.exe"
165784 4 Apr 2007 "C:\Programmi\DAEMON Tools\bak\daemon.exe"
24592 20 Sep 2007 "C:\Programmi\iTunes\iTunesHelper.exe"
278528 18 Oct 2005 "C:\Programmi\iTunes\bak\iTunesHelper.exe"
24592 20 Sep 2007 "C:\Programmi\QuickTime\qttask.exe"
282624 27 Apr 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
1063752 14 Aug 2007 "C:\Programmi\Spyware Doctor\SDTrayApp.exe1190315328"
651784 19 Mar 2007 "C:\Programmi\Spyware Doctor\bak\SDTrayApp.exe"
15360 30 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 30 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
24592 20 Sep 2007 "C:\Programmi\Brother\Brmfl05a\BrStDvPt.exe"
49152 26 Jan 2005 "C:\Programmi\Brother\Brmfl05a\bak\BrStDvPt.exe"
24592 20 Sep 2007 "C:\Programmi\Brother\ControlCenter2\brctrcen.exe"
933888 17 May 2005 "C:\Programmi\Brother\ControlCenter2\bak\brctrcen.exe"
933888 17 May 2005 "C:\Documents and Settings\Admin\Impostazioni locali\Temp\{B65C2C84-66B3-4658-AA3C-503E3B78618B}\{BB9AC6BF-71B6-42A4-9689-C17D9F44E79A}\ControlCenter\brctrcen.exe"
32768 12 Jan 2005 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
52272 14 Feb 2007 "C:\Programmi\Google\googletoolbar2user.exe"
24592 20 Sep 2007 "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
124912 13 Aug 2007 "C:\WINDOWS\Temp\gis1cd9bef\GoogleUpdater.exe"
125176 6 Jun 2007 "C:\WINDOWS\Temp\gisaa065\GoogleUpdater.exe"
125176 21 May 2007 "C:\WINDOWS\Temp\gisde455e\GoogleUpdater.exe"
1195088 25 Feb 2007 "C:\Programmi\File comuni\Real\GToolbar\GoogleToolbarInstaller.exe"
138680 21 May 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
68856 21 May 2007 "C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe"
171448 14 Feb 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
163576 27 Jan 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\bak\GoogleToolbarNotifier.exe"
351000 13 Jun 2006 "C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\bak\EDICT.EXE"
65824 27 Oct 2006 "C:\Programmi\Microsoft Office\Office12\GrooveAuditService.exe"
31016 27 Oct 2006 "C:\Programmi\Microsoft Office\Office12\bak\GrooveMonitor.exe"
24592 20 Sep 2007 "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"
40960 11 Mar 2005 "C:\Programmi\ScanSoft\PaperPort\bak\IndexSearch.exe"
24592 20 Sep 2007 "C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe"
57393 11 Mar 2005 "C:\Programmi\ScanSoft\PaperPort\bak\pptd40nt.exe"
24592 20 Sep 2007 "C:\Documents and Settings\Admin\Impostazioni locali\Temp\bak\jgzbwa.exe"
24592 20 Sep 2007 "C:\Programmi\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
483328 14 Dec 2004 "C:\Programmi\Adobe\Adobe Acrobat 7.0\Distillr\bak\Acrotray.exe"
155648 12 Jan 2006 "C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe"
139264 31 Jul 2006 "C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe"
185896 25 Feb 2007 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"
24592 20 Sep 2007 "C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe"
155648 14 Oct 2003 "C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe"
52272 14 Feb 2007 "C:\Programmi\Google\googletoolbar2user.exe"
24592 20 Sep 2007 "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
124912 13 Aug 2007 "C:\WINDOWS\Temp\gis1cd9bef\GoogleUpdater.exe"
125176 6 Jun 2007 "C:\WINDOWS\Temp\gisaa065\GoogleUpdater.exe"
125176 21 May 2007 "C:\WINDOWS\Temp\gisde455e\GoogleUpdater.exe"
1195088 25 Feb 2007 "C:\Programmi\File comuni\Real\GToolbar\GoogleToolbarInstaller.exe"
138680 21 May 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
68856 21 May 2007 "C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe"
171448 14 Feb 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
163576 27 Jan 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\bak\GoogleToolbarNotifier.exe"
52272 14 Feb 2007 "C:\Programmi\Google\googletoolbar2user.exe"
24592 20 Sep 2007 "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
124912 13 Aug 2007 "C:\WINDOWS\Temp\gis1cd9bef\GoogleUpdater.exe"
125176 6 Jun 2007 "C:\WINDOWS\Temp\gisaa065\GoogleUpdater.exe"
125176 21 May 2007 "C:\WINDOWS\Temp\gisde455e\GoogleUpdater.exe"
1195088 25 Feb 2007 "C:\Programmi\File comuni\Real\GToolbar\GoogleToolbarInstaller.exe"
138680 21 May 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
68856 21 May 2007 "C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe"
171448 14 Feb 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
163576 27 Jan 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\bak\GoogleToolbarNotifier.exe"
49263 9 Nov 2006 "C:\Programmi\Java\jre1.5.0_10\bin\bak\jusched.exe"


end of report
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 21 Set 2007 23:03    Oggetto: Rispondi citando
Ciao sutor.. Very Happy
Scarica avenger e mettilo in una sua cartella in C:\
http://swandog46.geekstogo.com/avenger.zip
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
files to delete:
C:\WINDOWS\VM_STI.EXE
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Brother\Brmfl05a\BrStDvPt.exe
C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Documents and Settings\Admin\Impostazioni locali\Temp\bak\jgzbwa.exe
C:\Programmi\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe

files to move:
C:\WINDOWS\bak\VM_STI.EXE | C:\WINDOWS\VM_STI.EXE
C:\Programmi\DAEMON Tools\bak\daemon.exe | C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Brother\Brmfl05a\bak\BrStDvPt.exe |C:\Programmi\Brother\Brmfl05a\BrStDvPt.exe
C:\Programmi\Brother\ControlCenter2\bak\brctrcen.exe | C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\Programmi\ScanSoft\PaperPort\bak\IndexSearch.exe | C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
C:\Programmi\ScanSoft\PaperPort\bak\pptd40nt.exe | C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Adobe\Adobe Acrobat 7.0\Distillr\bak\Acrotray.exe | C:\Programmi\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\bak\SSBkgdupdate.exe | C:\Programmi\File comuni\ScanSoft Shared\SSBkgdUpdate\SSBkgdupdate.exe

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di avenger con un log aggiornato di hijackthis.
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 21 Set 2007 23:06    Oggetto: Rispondi citando
ok ora provo
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 21 Set 2007 23:16    Oggetto: Rispondi citando
ÿþL o g f i l e o f T h e A v e n g e r v e r s i o n 1 , b y S w a n d o g 4 6

R u n n i n g f r o m r e g i s t r y k e y :

\ R e g i s t r y \ M a c h i n e \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ f s a g t k k g



* * * * * * * * * * * * * * * * * * *



S c r i p t f i l e l o c a t e d a t : \ ? ? \ C : \ W I N D O W S \ s d u f l u v c . t x t

S c r i p t f i l e o p e n e d s u c c e s s f u l l y .



S c r i p t f i l e r e a d s u c c e s s f u l l y



B a c k u p s d i r e c t o r y o p e n e d s u c c e s s f u l l y a t C : \ A v e n g e r



* * * * * * * * * * * * * * * * * * *



B e g i n n i n g t o p r o c e s s s c r i p t f i l e :



F i l e C : \ W I N D O W S \ V M _ S T I . E X E d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ D A E M O N T o o l s \ d a e m o n . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ i T u n e s \ i T u n e s H e l p e r . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ Q u i c k T i m e \ q t t a s k . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ B r o t h e r \ B r m f l 0 5 a \ B r S t D v P t . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ B r o t h e r \ C o n t r o l C e n t e r 2 \ b r c t r c e n . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ G o o g l e \ G o o g l e T o o l b a r N o t i f i e r \ G o o g l e T o o l b a r N o t i f i e r . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ S c a n S o f t \ P a p e r P o r t \ I n d e x S e a r c h . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ S c a n S o f t \ P a p e r P o r t \ p p t d 4 0 n t . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ D o c u m e n t s a n d S e t t i n g s \ A d m i n \ I m p o s t a z i o n i l o c a l i \ T e m p \ b a k \ j g z b w a . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ A d o b e \ A d o b e A c r o b a t 7 . 0 \ D i s t i l l r \ A c r o t r a y . e x e d e l e t e d s u c c e s s f u l l y .

F i l e C : \ P r o g r a m m i \ F i l e c o m u n i \ S c a n S o f t S h a r e d \ S S B k g d U p d a t e \ S S B k g d u p d a t e . e x e d e l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ W I N D O W S \ b a k \ V M _ S T I . E X E | C : \ W I N D O W S \ V M _ S T I . E X E c o m p l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ P r o g r a m m i \ D A E M O N T o o l s \ b a k \ d a e m o n . e x e | C : \ P r o g r a m m i \ D A E M O N T o o l s \ d a e m o n . e x e c o m p l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ P r o g r a m m i \ i T u n e s \ b a k \ i T u n e s H e l p e r . e x e | C : \ P r o g r a m m i \ i T u n e s \ i T u n e s H e l p e r . e x e c o m p l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ P r o g r a m m i \ Q u i c k T i m e \ b a k \ q t t a s k . e x e | C : \ P r o g r a m m i \ Q u i c k T i m e \ q t t a s k . e x e c o m p l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ P r o g r a m m i \ B r o t h e r \ B r m f l 0 5 a \ b a k \ B r S t D v P t . e x e | C : \ P r o g r a m m i \ B r o t h e r \ B r m f l 0 5 a \ B r S t D v P t . e x e c o m p l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ P r o g r a m m i \ B r o t h e r \ C o n t r o l C e n t e r 2 \ b a k \ b r c t r c e n . e x e | C : \ P r o g r a m m i \ B r o t h e r \ C o n t r o l C e n t e r 2 \ b r c t r c e n . e x e c o m p l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ P r o g r a m m i \ S c a n S o f t \ P a p e r P o r t \ b a k \ I n d e x S e a r c h . e x e | C : \ P r o g r a m m i \ S c a n S o f t \ P a p e r P o r t \ I n d e x S e a r c h . e x e c o m p l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ P r o g r a m m i \ S c a n S o f t \ P a p e r P o r t \ b a k \ p p t d 4 0 n t . e x e | C : \ P r o g r a m m i \ S c a n S o f t \ P a p e r P o r t \ p p t d 4 0 n t . e x e c o m p l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ P r o g r a m m i \ A d o b e \ A d o b e A c r o b a t 7 . 0 \ D i s t i l l r \ b a k \ A c r o t r a y . e x e | C : \ P r o g r a m m i \ A d o b e \ A d o b e A c r o b a t 7 . 0 \ D i s t i l l r \ A c r o t r a y . e x e c o m p l e t e d s u c c e s s f u l l y .

F i l e m o v e o p e r a t i o n C : \ P r o g r a m m i \ F i l e c o m u n i \ S c a n S o f t S h a r e d \ S S B k g d U p d a t e \ b a k \ S S B k g d u p d a t e . e x e | C : \ P r o g r a m m i \ F i l e c o m u n i \ S c a n S o f t S h a r e d \ S S B k g d U p d a t e \ S S B k g d u p d a t e . e x e c o m p l e t e d s u c c e s s f u l l y .



C o m p l e t e d s c r i p t p r o c e s s i n g .



* * * * * * * * * * * * * * * * * * *



F i n i s h e d ! T e r m i n a t e .

Allora il pc si è riaviato ma è uscita una scritta strana : windows disco non presente
exception processing message c 0000013 paraqmeters 75b1bf9c 475b f9c Crying or Very sad
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 21 Set 2007 23:56    Oggetto: Rispondi citando
Il log di avenger è andato a buon fine, anche se non è molto leggibile.
sutor ha scritto:

Allora il pc si è riaviato ma è uscita una scritta strana : windows disco non presente
exception processing message c 0000013 paraqmeters 75b1bf9c 475b f9c Crying or Very sad


E' la prima volta che ti da questo messaggio?
Ho visto che utilizzi Daemon tools.
Si tratta di un programma di emulazione e se non ricordo male crea periferiche virtuali per la manipolazione di immagini e l'errore potrebbe dipendere da questo che oltretutto era infetto e l'abbiamo cancellato e poi ripristinato.
Prova a disinstallarlo e vedi se ti da ancora l'errore.
Adesso proseguiamo con i controlli e posta un log di HJT.
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 22 Set 2007 00:03    Oggetto: Rispondi citando
ho elimanto demoon tool, ho rivviato il pc e la scritta nn è uscita. ora però non so come fare per pstare il log di htj. Non ho capito qual è la proceura da seguire Embarassed
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 22 Set 2007 00:11    Oggetto: Rispondi citando
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 0.08.09, on 22/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programmi\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbShar.dll
O1 - Hosts: 212.150.54.250 dv-networks.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbShar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programmi\SYSTRAN\5.0\Personal\IEPlugIn.dll
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbShar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [jgzbwa.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\bak\bak\jgzbwa.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Pro Evolution Soccer 6
O4 - HKLM\..\Run: [Windows Services] "C:\Programmi\svchosts.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programmi\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programmi\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Winlogin] C:\WINDOWS\system32\winlogin.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Controllo dello stato.lnk = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: TrayMin300.exe.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FE62608-84BD-413E-94E1-33D122CDC0A5}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{2BBD7C66-20FC-4008-B5F2-CF591CF44885}: NameServer = 85.37.17.11 85.38.28.69
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: ?U ??U?C
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 10695 bytes
questo?
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 22 Set 2007 00:35    Oggetto: Rispondi citando
Visto che è facile?

Avvia Hijackthis e metti la spunta a sinistra di queste righe:
Citazione:
O1 - Hosts: 212.150.54.250 dv-networks.com
O4 - HKLM\..\Run: [jgzbwa.exe] C:\DOCUME~1\Admin\IMPOST~1\Temp\bak\bak\jgzbwa.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Pro Evolution Soccer 6
O4 - HKLM\..\Run: [Windows Services] "C:\Programmi\svchosts.exe"
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com

Clicca fix checked
NON RIAVVIARE IL PC!

Utilizza Avenger con queste scritte:
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | jgzbwa.exe

files to delete:
C:\DOCUME~1\Admin\IMPOST~1\Temp\bak\bak\jgzbwa.exe

folders to delete:
C:\DOCUME~1\Admin\IMPOST~1\Temp\bak\bak
C:\DOCUME~1\Admin\IMPOST~1\Temp\bak


Dopo lo script di avenger il PC si riavvia.
Scarica Agobot: http://www.f-secure.com/tools/f-agobot.exe
Avvialo e fai fare la scansione del PC.
Alla fine, posta il risultato di Agobot con un log di HJT aggiornato.
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 22 Set 2007 00:41    Oggetto: Rispondi citando
ok, a tra poco Very Happy
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 22 Set 2007 01:02    Oggetto: Rispondi citando
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 1.00.35, on 22/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programmi\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Philips\SPC 200NC PC Camera\TrayMin200.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\KONAMI\Winning Eleven 9\we9.exe
J:\HiJackThis_v2.exe
C:\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbShar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbShar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0 - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programmi\SYSTRAN\5.0\Personal\IEPlugIn.dll
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbShar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programmi\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programmi\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [pbrbqrwa] C:\idqersqa.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Winlogin] C:\WINDOWS\system32\winlogin.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Controllo dello stato.lnk = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: TrayMin300.exe.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FE62608-84BD-413E-94E1-33D122CDC0A5}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{2BBD7C66-20FC-4008-B5F2-CF591CF44885}: NameServer = 85.37.17.11 85.38.28.69
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: ?U ??U?C
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 10449 bytes
eccolo
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 22 Set 2007 01:11    Oggetto: Rispondi citando
OK, per favore mandami il log di avenger più quello di agobot.
Avvia HJT e fixa queste righe:

Citazione:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [Winlogin] C:\WINDOWS\system32\winlogin.exe
O20 - AppInit_DLLs: ?U ??U?C
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2 questa se la conosci non eliminarla


dopo fai le scansioni con GMER: http://forum.zeusnews.com/viewtopic.php?p=194966#194966
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 22 Set 2007 08:54    Oggetto: Rispondi citando
Innanzitutto Buongiorno e grazie per la pazienza Smile. Ieri sera non avendo visto più il tuo nick tra i collegamentei ho dedotto che foss iandato a dormire. Quindi scusami se nn ti ho salutato ma, ripeto, pensavo foss iandato via.

Ho esegutio le nuove istruzioni tranne agobot perchè nn ho capito come fare.
Il risultato è questo:

edit by bdoriano:
log eliminato perché incompleto.
Posta i logs su http://www.freefilehosting.net come indicato qui.
E ricordati che i logs di gmer sono 2 (Rootkit e Autostart).
Grazie per la collaborazione.
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 22 Set 2007 16:27    Oggetto: Rispondi citando
sutor ha scritto:
Quindi scusami se nn ti ho salutato ma, ripeto, pensavo foss iandato via.


Non preoccuparti.. Wink
Per quanto riguarda Agobot basta che clicchi sull'eseguibile e lo avvii, e attenti la fine della scansione. Non ti preoccupare se vedi il cursore fermo, perchè ci vuole qualche minuto.
Alla fine se non si apre automaticamente il blocco note, il risultato lo trovi su C:\WINDOWS in formato testo. Cliccaci sopra per aprirlo copia tutte le righe e incollale quì.
Non dimenticare il log di avenger (l'ultimo)e quelli di GMER.
Top
Profilo Invia messaggio privato
sutor
Eroe
Eroe


Registrato: 21/09/07 15:59
Messaggi: 56
MessaggioInviato: 22 Set 2007 20:32    Oggetto: Rispondi
ma dove lo prendo agobot? Confused
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2, 3, 4  Successivo
Pagina 1 di 4

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi