Olimpo Informatico

[Venere80]

La situazione è peggiorata. Mentre sono stata collegata 2 ore con Panda antivirus, (inutilmente perchè dopo aver scaricato gli active x non mi ha dato i risultati della scansione ) un numero a 10 cifre che cambia spesso si era installato in C:\Documents and settings\Mionome\Impostazioni locali\Temp e sono risucita ad eliminarlo solo andando in modalità provvisoria. In quel percorso si ricrea anche abc123.pid
Questo malefico IEXPLORE.EXE sparisce poco dopo che ho aperto il task manager, quasi si volesse nascondere. Durante la connessione ad internet ne appaiono due.
Ora riprovo con Panda

[Venere80]

Questo è il report di Panda antivirus Online
Sono andata nel registro seguendo il percorso ed è una voce di Internet Explorer. Gli altri mi pare siano falsi allarmi.
Mi spiegate a cosa serve Delldomains. Una volta scaricato chiede di essere installato, l' ho fatto, ma non ho capito l' utilità.
Grazie e buonanotte e buongiorno a chi mi legge di mattina



Incidente Stato Percorso

Dialer:dialer.min Non Disinfettato HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB893839-10F0-4AF9-92FA-B23528F530AF}
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/ACTray.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/ACWLIcon.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/AdobeUpdateManager.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/amsg.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/AwaySch.EXE]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/cssauth.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/DkIcon.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/DLACTRLW.EXE]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/EzEjMnAp.Exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/hkcmd.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/igfxpers.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/igfxtray.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/issch.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/ISUSPM.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/jusched.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/LPMGR.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/scheduler_proxy.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/Smax4.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/smax4pnp.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/TPHKMGR.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/TpKmapAp.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/vptray.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup-12.01.2008-20.41.49,57.zip[avenger/WMPNSCFG.exe]
Possibile Virus. Non Disinfettato C:\avenger\backup.zip[avenger/pdservice.exe]
Strumenti indesiderati:Application/NirCmd.A Non Disinfettato C:\Documents and Settings\Mionome\Desktop\ComboFix.exe[nircmd.com]
Strumenti indesiderati:Application/NirCmd.A Non Disinfettato C:\Documents and Settings\Mionome\Desktop\ComboFix.exe[nircmd.cfexe]
Strumenti indesiderati:Application/NirCmd.A Non Disinfettato C:\WINDOWS\NirCmd.exe

[Sante62]

[quote="Venere80"]
Sono andata nel registro seguendo il percorso ed è una voce di Internet Explorer.
Ti riferisci a questa?

[Venere80]

Ciao Sante, qui ci vuole un maestro di Tao per il mio e per l' autocontrollo del pc.
Ti faccio un riassunto della situazione.
Ho eliminato la voce del file di registro e i back ups di avenger e il file combo, ma inutilmente.
Mentre mi connettevo per scriverti, addirittura due applicazioni con 10 cifre ciascuna si
sono create in C:\Documents and settings\Mionome\Impostazioni locali\Temp, e che al solito
ho dovuto eliminare andando in modalità provvisoria.
Nello stesso percorso si ricrea il file abc123.pid, che ho constatato formarsi non appena accendo il pc.
Questo file però posso eliminarlo senza problemi.
Inoltre ho notato la presenza di un file bak di Picasa Media Detector che è presente anche nel log
di Hijackthis qui di seguito. Mi sembra di aver capito che i file bak di quelli originari sono dannosi,
infatti li abbiamo eliminati in precedenza. La cosa strana è che nel task manager PicasaMediaDetector
è presente con due file, mentre io non li ho mai avuti.
Ti ringrazio a duemila ancora.






Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.21.28, on 14/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
c:\programmi\lenovo\system update\suservice.exe
C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programmi\File comuni\Lenovo\Logger\logmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Lenovo\Client Security Solution\cssauth.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Programmi\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Picasa2\bak\PicasaMediaDetector.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\Hijack\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lenovo.com/welcome/thinkpad
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programmi\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PDService.exe] "C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [cssauth] "C:\Programmi\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [AwaySch] C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [ACTray] C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/thinkpad
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167387531215
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D35CAF2C-A1A6-472A-99A0-2EFDD7E55C40}: NameServer = 131.xxx.xx.xx,131.xxx.xx.xx
O20 - Winlogon Notify: AwayNotify - C:\Programmi\Lenovo\AwayTask\AwayNotify.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPS Core Service (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programmi\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 11791 bytes

[Sante62]

Il log di HJT a parte quel file mi sembra pulito...
Posta per favore un altro log di FindAWF..

[Venere80]

Buongiorno a tutti, ecco il log di Find AWF
Se può esservi di aiuto, all' accensione, nel task un processo Svchost.exe era a 48.000 Kb circa, adesso mentre sono connessa è sceso a 29.000.
Grazie ancora.


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 39.783.370.752 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\PICASA2\BAK

16/03/2006 00.07 421.888 PicasaMediaDetector.exe
1 File 421.888 byte
3 Directory 39.783.370.752 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\SPYWAR~1\BAK

21/09/2007 20.29 2.778.112 SpywareTerminatorShield.exe
1 File 2.778.112 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\WINDOW~1\BAK

0 File 0 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 22.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\ANALOG~1\CORE\BAK

0 File 0 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK

0 File 0 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\DISKEE~1\DISKEE~1\BAK

18/05/2006 16.24 196.696 DkIcon.exe
1 File 196.696 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\LENOVO\AWAYTASK\BAK

0 File 0 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\LENOVO\CLIENT~1\BAK

0 File 0 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\LENOVO\SAFEGU~1\BAK

0 File 0 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\SYMANT~2\SYMANT~1\BAK

0 File 0 byte
2 Directory 39.783.366.656 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\THINKPAD\CONNEC~1\BAK

0 File 0 byte
2 Directory 39.783.362.560 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\THINKPAD\UTILIT~1\BAK

0 File 0 byte
2 Directory 39.783.362.560 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\THINKV~1\AMSG\BAK

0 File 0 byte
2 Directory 39.783.362.560 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\THINKV~1\PRDCTR\BAK

04/07/2006 17.11 110.592 LPMGR.exe
1 File 110.592 byte
2 Directory 39.783.362.560 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\WINDOWS\SYSTEM32\DLA\BAK

02/02/2006 05.20 122.940 DLACTRLW.EXE
1 File 122.940 byte
2 Directory 39.783.362.560 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\ADOBE\ACROBA~1.0\READER\BAK

0 File 0 byte
2 Directory 39.783.362.560 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\BAK

0 File 0 byte
2 Directory 39.783.362.560 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\FILECO~1\LENOVO\SCHEDU~1\BAK

0 File 0 byte
2 Directory 39.783.362.560 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\JAVA\JRE15~1.0_1\BIN\BAK

0 File 0 byte
2 Directory 39.783.362.560 byte disponibili
Il volume nell'unit? C ? Preload
Numero di serie del volume: CC24-E19B

Directory di C:\PROGRA~1\LENOVO\PKGMGR\HOTKEY\BAK

0 File 0 byte
2 Directory 39.783.362.560 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

516096 16 Mar 2006 "C:\Programmi\Picasa2\PicasaUpdate.exe"
421888 16 Mar 2006 "C:\Programmi\Picasa2\bak\PicasaMediaDetector.exe"
655360 16 Mar 2006 "C:\Programmi\Picasa2\cdautorun\PicasaRestore.exe"
4900600 15 Aug 2006 "C:\SWTOOLS\Apps\GOOGLE\PICASA\picasa2-oem-lenovo.exe"
10691432 22 Aug 2007 "C:\Programmi\Spyware Terminator\SpywareTerminator.exe"
3464312 3 Jul 2007 "C:\Documents and Settings\Mionome\Desktop\SpywareTerminator.exe"
2778112 21 Sep 2007 "C:\Programmi\Spyware Terminator\bak\SpywareTerminatorShield.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
196696 18 May 2006 "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
73728 13 Jan 2008 "C:\WINDOWS\Installer\{796E076A-82F7-4D49-98C8-DEC0C3BC733A}\DkIcon.exe"
196696 18 May 2006 "C:\Programmi\Diskeeper Corporation\Diskeeper\bak\DkIcon.exe"
110592 4 Jul 2006 "C:\SWTOOLS\Apps\PRDCTR\LPMGR.EXE"
110592 4 Jul 2006 "C:\Programmi\ThinkVantage\PrdCtr\bak\LPMGR.exe"
122940 2 Feb 2006 "C:\Programmi\Multimedia Center for Think Offerings\DLA\install\dlactrlw.exe"
122940 2 Feb 2006 "C:\WINDOWS\system32\DLA\bak\DLACTRLW.EXE"


end of report

[Sante62]

Ho il dubbio su questo file:

[Venere80]

Gentilissimo Sante, sicuramente hai ragione su quel file in C:\Windows\Installer però preferisco che tu veda tutto il report di SystemScan, non
vorrei aver letto male il file e sbagliarmi.
Nella cartella C:\Windows\Installer ci sono tante patch di Microsoft e di altri programmi anche se di un anno fa, e non so se eliminarla del tutto.
L' ultimo file che ho scaricato è stato l' aggiornamento di Adobe venerdì scorso ed in effetti da quel momento sembrano essere iniziati i problemi.
Sono andata in C:\programmi\adobe e c'è una cartella di venerdì 13 gennaio 2008 col nome bak, però vuota.
Aspetto comunque tuoi consigli più dettagliati. Grazie infinite.

Questa è l' URL con il report di System Scan

http://www.freefilehosting.net/download/3adk5

[Sante62]

Bene, mi sembra che siamo ad una svolta..
Utilizza nuovamente Avenger con questo script:

[Venere80]

Se qualcuno ce la fa a rispondermi in questi minuti mi fa una grande cortesia.
Mentre eseguo avenger, prima di fare la scansione con Kaspersky, è meglio che io scarichi subito la nuova versione di java e il firewall Zone Alarm o posso farlo dopo?
Grazie mille per ora.

[Sante62]

Puoi scaricare il firewall subito. Java lo puoi scaricare dopo.
Mi raccomando però, configura correttamente il firewall.

[Venere80]

Caro Sante qualcosa con Avenger non è andata bene. Non mi ha cancellato i file Temp . PicasaMediaDetector sì ed anche il BHO.
Buonanotte se ci sei, sennò buongiorno e grazie.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tedrnbal

*******************

Script file located at: \??\C:\Documents and Settings\isrckdry.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\DOCUME~1\Mionome~1\IMPOST~1\Temp\3615375160.exe not found!
Deletion of file C:\DOCUME~1\Mionome~1\IMPOST~1\Temp\3615375160.exe failed!

Could not process line:
C:\DOCUME~1\Mionome~1\IMPOST~1\Temp\3615375160.exe
Status: 0xc0000034



File C:\Programmi\Picasa2\PicasaMediaDetector.exe deleted successfully.


File move operation C:\Programmi\Picasa2\bak\PicasaMediaDetector.exe|C:\Programmi\Picasa2\PicasaMediaDetector.exe completed successfully.
Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} deleted successfully.

[Sante62]

[Venere80]

Ciao Sante, dovremmo avercela quasi fatta, infatti il file temp e il file abc123.pid li ho cercati nel pc e non li ho più trovati e da ieri sera non si ripresentano più .
Anche il processo IEXPLORE.EXE nel tak almeno per ora non si apre senza connessione.
Unica stranezza che il pc non mi aveva mai fatta, è al momento dello spengimento del personal, quando si apre una finestra CFTMON.EXE che rimane per 3 o 4 secondi
Un altra domanda; in C , è rimasta la cartella di Qoobox di Combofix, posso eliminarla?

Ecco il riferimento per Kaspersky su freefilehosting.net
Ciao mitico e grazie.


http://www.freefilehosting.net/download/3af8e

[Sante62]

[Venere80]

Caro Sante ci risiamo, dopo dieci minuti circa che navigavo ho notato che si stavano inserendo dei file, il pc emetteva dei rumorini inequivocabili e si è ripresentato
il file abc123.pid, più il file Acr4AA6.tmp di ben 2000Kb in C:\Documents and settings\Mionome\impostazioni locali\temp. Nel task si è inserito questo file a[1].php
(questo file è anche in C:\windows\prefetch con estensione.pf), e poi è ritornato anche un altro file a 9 cifre con estensione.exe, questo invece presente nello stesso percorso e in C:\windows\prefetch.
Purtroppo stavolta non sono riuscita a trovare questo file nemmeno visualizzando i file nascosti e di sistema. Solo Hijack lo ha trovato ma come lo elimino con Avenger?
E per non farsi mancare niente, riecco due IEXPLORE.EXE insieme.
Di positivo forse, c' è che non si ricreano connessioni in Proprietà di Internet Explorer e la linea non cade almeno per ora.
Ho rifatto una scansione con Kaspersky ed ha trovato il trojan Win32.Agent.dxh, però tutte le applicazioni che secondo Kaspersky sono infette, sono programmi
regolari del mio pc. Se può esserti di aiuto, mentre faceva la scansione Kaspersky, per 2 volte Norton si è riattivato da solo e ho faticato non poco per ridisattivarlo.
Altra cosa, ho notato nel log di Suspect file, un url "skitodayplease" che ho visto anche da elisafa.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20.12.28, on 17/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
c:\programmi\lenovo\system update\suservice.exe
C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programmi\File comuni\Lenovo\Logger\logmon.exe
C:\Programmi\Lenovo\Client Security Solution\cssauth.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programmi\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Picasa2\PicasaMediaDetector.exe
C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe
C:\Programmi\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\DOCUME~1\Mionome~1\IMPOST~1\Temp\540858582.exe
C:\Hijack\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lenovo.com/welcome/thinkpad
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programmi\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmi\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PDService.exe] "C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [cssauth] "C:\Programmi\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [AwaySch] C:\Programmi\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~1\AMSG\amsg.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [ACTray] C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programmi\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/thinkpad
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1167387531215
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D35CAF2C-A1A6-472A-99A0-2EFDD7E55C40}: NameServer = 131.xxx.xx.xx,131.xxx.xx.xx
O20 - Winlogon Notify: AwayNotify - C:\Programmi\Lenovo\AwayTask\AwayNotify.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programmi\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programmi\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPS Core Service (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programmi\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programmi\File comuni\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programmi\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programmi\File comuni\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programmi\Lenovo\Rescue and Recovery\ADM\IUService.exe

--
End of file - 11521 bytes

Ecco la scansione di Kaspersky

http://www.freefilehosting.net/download/3afg8

Ciao e speriamo in bene

[Sante62]

E' proprio ostinato questo..ce ne è voluto per uscire allo scoperto. Prima di utilizzare Avenger però, fai un altro log con Systemscan, così vediamo se ci sono ancora tracce di Istant Access.

[Venere80]

Ciao Sante, ho eliminato il file a nove cifre con estensione.exe con termina processo dal task.
Aiuto il trojan si propaga.
Sono due volte che mi collego per vedere i msg e il file.exe mi fa cadere la connessione e dopo il modem si blocca e devo riavviare.
Poi ho fatto una scansione con ComboFix e sono rispariti alcuni processi dal task (da 70 a 50) e dalla barra delle applicazioni. Ritornati i due cssauth.exe e ricomparso Internet Connection in Proprietà-Connessioni di Internet Explorer. Ho rifatto una scansione con Suspect file però ho visto che ha esaminato 10000 file circa anzichè 11000 di quella precedente.
Forse dovrei rifarla con Combofix per ripristinare i vecchi valori?
Help me
Intanto ti allego la scansione con Suspectfile.

http://www.freefilehosting.net/download/3agab

[Sante62]

Non fare nessun altra scansione per ora che non serve a niente.
Non mi vorrei sbagliare, ma ti sei reinfettata dello stesso malware due volte di seguito. Se non hai ancora installato il firewall fallo subito, altrimenti risciamo di non finire più. Adesso utilizza nuovamente avenger con questo script:

[Venere80]

Ciao Sante sto quasi impazzendo. Ieri ero nel dramma, perchè dopo pochi minuti di connessione cadeva la linea e dovevo riavviare per eliminare il malware.
Adesso ho dovuto reinserire il firewall di Windows perchè con Zone Alarm è un casino, mi blocca tutti gli indirizzi e nonostante abbia letto la guida è un...
Esiste una guida in semplice?
Ti scrivo solo ora perchè l' altra sera sono stata 2 ore a scaricare Zone Alarm, fino alle 2 del mattino. I byte in uscita erano poche centinaia di migliaia,
mentre quelli ricevuti una trentina di milioni. Strano o regolare? E poi ZoneAlarm mi ha creato qualche problema con molti DNS.
Con Avenger ho eliminato la "spazzatura" e il pc ha riacquistato i suoi processi. Dopo il download di Zone Alarm ho lanciato
la configurazione automatica.

Due domande 1) durante la connessione con il mio provider, nella casella Stato-Dettagli, l' indirizzo Ip Client a volte è 131.120.14.16. altre volte è 131.120.14.10, oppure 131.120.21.15. Li ho sempre avuti, ma con Zone era impossibile anche autorizzarli.
I due indirizzi che mostra Hijackthis a cosa si riferiscono?

2) Nella cartella impostazioni locali\temp che apro da start-esegui, si creano da ieri, da quando ho installato Zone, almeno 80 documenti XML col nome IMT4C e simili. E' normale?

Grazie ancora


Più tardi ti invio la scansione di Suspectfile.






Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\eaxcyquj

*******************

Script file located at: \??\C:\Program Files\bamqvaca.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe deleted successfully.
File C:\Programmi\Analog Devices\Core\smax4pnp.exe deleted successfully.
File C:\Programmi\Analog Devices\SoundMAX\Smax4.exe deleted successfully.
File C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe deleted successfully.
File C:\Programmi\File comuni\Installshield\UpdateService\issch.exe deleted successfully.
File C:\Programmi\File comuni\Installshield\UpdateService\ISUSPM.exe deleted successfully.
File C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe deleted successfully.
File C:\Programmi\Lenovo\AwayTask\AwaySch.EXE deleted successfully.
File C:\Programmi\Lenovo\Client Security Solution\cssauth.exe deleted successfully.
File C:\Programmi\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe deleted successfully.
File C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe deleted successfully.
File C:\Programmi\Picasa2\PicasaMediaDetector.exe deleted successfully.
File C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\vptray.exe deleted successfully.
File C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe deleted successfully.
File C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe deleted successfully.
File C:\Programmi\ThinkPad\Utilities\EzEjMnAp.Exe deleted successfully.
File C:\Programmi\ThinkPad\Utilities\TpKmapAp.exe deleted successfully.
File C:\Programmi\ThinkVantage\AMSG\amsg.exe deleted successfully.
File C:\Programmi\ThinkVantage\PrdCtr\LPMGR.exe deleted successfully.
File C:\Programmi\Windows Media Player\WMPNSCFG.exe deleted successfully.
File C:\WINDOWS\system32\hkcmd.exe deleted successfully.
File C:\WINDOWS\system32\igfxpers.exe deleted successfully.
File C:\WINDOWS\system32\igfxtray.exe deleted successfully.
File C:\WINDOWS\system32\DLA\DLACTRLW.EXE deleted successfully.
File move operation C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe|C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe completed successfully.
File move operation C:\Programmi\Analog Devices\Core\bak\smax4pnp.exe|C:\Programmi\Analog Devices\Core\smax4pnp.exe completed successfully.
File move operation C:\Programmi\Analog Devices\SoundMAX\bak\Smax4.exe|C:\Programmi\Analog Devices\SoundMAX\Smax4.exe completed successfully.
File move operation C:\Programmi\Diskeeper Corporation\Diskeeper\bak\DkIcon.exe|C:\Programmi\Diskeeper Corporation\Diskeeper\DkIcon.exe completed successfully.
File move operation C:\Programmi\File comuni\Installshield\UpdateService\bak\issch.exe|C:\Programmi\File comuni\Installshield\UpdateService\issch.exe completed successfully.
File move operation C:\Programmi\File comuni\Installshield\UpdateService\bak\ISUSPM.exe|C:\Programmi\File comuni\Installshield\UpdateService\ISUSPM.exe completed successfully.
File move operation C:\Programmi\File comuni\Lenovo\Scheduler\bak\scheduler_proxy.exe|C:\Programmi\File comuni\Lenovo\Scheduler\scheduler_proxy.exe completed successfully.
File move operation C:\Programmi\Lenovo\AwayTask\bak\AwaySch.EXE|C:\Programmi\Lenovo\AwayTask\AwaySch.EXE completed successfully.
File move operation C:\Programmi\Lenovo\Client Security Solution\bak\cssauth.exe|C:\Programmi\Lenovo\Client Security Solution\cssauth.exe completed successfully.
File move operation C:\Programmi\Lenovo\PkgMgr\HOTKEY\bak\TPHKMGR.exe|C:\Programmi\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe completed successfully.
File move operation C:\Programmi\Lenovo\SafeGuard PrivateDisk\bak\pdservice.exe|C:\Programmi\Lenovo\SafeGuard PrivateDisk\pdservice.exe completed successfully.
File move operation C:\Programmi\Picasa2\bak\PicasaMediaDetector.exe|C:\Programmi\Picasa2\PicasaMediaDetector.exe completed successfully.
File move operation C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\bak\vptray.exe|C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\vptray.exe completed successfully.
File move operation C:\Programmi\ThinkPad\ConnectUtilities\bak\ACTray.exe|C:\Programmi\ThinkPad\ConnectUtilities\ACTray.exe completed successfully.
File move operation C:\Programmi\ThinkPad\ConnectUtilities\bak\ACWLIcon.exe|C:\Programmi\ThinkPad\ConnectUtilities\ACWLIcon.exe completed successfully.
File move operation C:\Programmi\ThinkPad\Utilities\bak\EzEjMnAp.Exe|C:\Programmi\ThinkPad\Utilities\EzEjMnAp.Exe completed successfully.
File move operation C:\Programmi\ThinkPad\Utilities\bak\TpKmapAp.exe|C:\Programmi\ThinkPad\Utilities\TpKmapAp.exe completed successfully.
File move operation C:\Programmi\ThinkVantage\AMSG\bak\amsg.exe|C:\Programmi\ThinkVantage\AMSG\amsg.exe completed successfully.
File move operation C:\Programmi\ThinkVantage\PrdCtr\bak\LPMGR.exe|C:\Programmi\ThinkVantage\PrdCtr\LPMGR.exe completed successfully.
File move operation C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe|C:\Programmi\Windows Media Player\WMPNSCFG.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\hkcmd.exe|C:\WINDOWS\system32\hkcmd.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\igfxpers.exe|C:\WINDOWS\system32\igfxpers.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\igfxtray.exe|C:\WINDOWS\system32\igfxtray.exe completed successfully.
File move operation C:\WINDOWS\system32\DLA\bak\DLACTRLW.EXE|C:\WINDOWS\system32\DLA\DLACTRLW.EXE completed successfully.

Completed script processing.

*******************

Finished! Terminate.