| Precedente :: Successivo |
| Autore |
Messaggio |
Zeruel
Mortale pio
Registrato: 20/02/08 14:33
Messaggi: 18
|
 Inviato: 20 Feb 2008 14:52 Oggetto: Possibile Instant Access |
 |
|
Salve a tutti, questo è il mio primo post, davvero un bel forum!!
Ma passiamo subito alla questione...Ieri sera casualmente sono andato a sfogliarmi il file "hosts.sam" e l'ho trovato pieno di associazioni IP/hostname che non avevo mai visto il cui commento era "##Added by CiD". a questo punto mi sono più che insospettito ho aperto HJT e fatto la scansione.
Mi sono ritrovato tra le altre le voci
| Citazione: | O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com |
che so per certo essere legate a dialer, in particolare mi avevano parlato di Istant Access.
A questo punto ho scaricato FindAWF che mi ha generato il seguente report
| Citazione: | Find AWF report by noahdfear ©2006
Version 1.40
bak folders found
~~~~~~~~~~~
Il volume nell'unit? D ? DATI
Numero di serie del volume: 947E-1882
Directory di D:\PROGRA~1\MSNMES~1\BAK
0 File 0 byte
2 Directory 5.870.694.400 byte disponibili
Il volume nell'unit? D ? DATI
Numero di serie del volume: 947E-1882
Directory di D:\PROGRA~1\ALWILS~1\AVAST4\BAK
30/04/2007 16.42 75.392 ashDisp.exe
1 File 75.392 byte
2 Directory 5.870.694.400 byte disponibili
Il volume nell'unit? D ? DATI
Numero di serie del volume: 947E-1882
Directory di D:\PROGRA~1\GOOGLE\GOOGLE~1\121128~1.546\BAK
13/06/2007 17.13 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 5.870.690.304 byte disponibili
Il volume nell'unit? D ? DATI
Numero di serie del volume: 947E-1882
Directory di D:\PROGRA~1\ADOBE\PHOTOS~1\3.2\APPS\BAK
09/03/2007 11.09 63.712 apdproxy.exe
1 File 63.712 byte
2 Directory 5.870.690.304 byte disponibili
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
79224 4 Dec 2007 "D:\Programmi\Alwil Software\Avast4\ashDisp.exe"
75392 30 Apr 2007 "D:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
52272 9 Jun 2007 "C:\Programmi\Google\googletoolbar1user.exe"
68856 28 Jul 2007 "C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
125624 9 Feb 2008 "C:\Programmi\Google\Google Updater\GoogleUpdater.exe"
1836080 9 Feb 2008 "C:\Programmi\Google\Google Desktop Search\GoogleDesktopSetup.exe"
138680 9 Feb 2008 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
125624 9 Feb 2008 "C:\Programmi\Google\Google Updater\2.2.1111.1511\GoogleUpdaterRestartManager.exe"
1836544 9 Feb 2008 "C:\Programmi\Google\Google Desktop Search\gcdtmp1\GoogleDesktopSetupHelper.exe"
869560 9 Feb 2008 "C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\ODQRKTIR\Google Updater[1].exe"
52272 13 Jun 2007 "D:\Programmi\Google\googletoolbar1user.exe"
69632 24 May 2007 "D:\Programmi\Google\Google Earth\googleearth.exe"
138168 13 Jun 2007 "D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
171448 13 Jun 2007 "D:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
26694 15 Jun 2007 "D:\Documents and Settings\BENI\Dati applicazioni\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe_407B9B5CDAC54F44A756B57CAB4E6A8B.exe"
63712 9 Mar 2007 "D:\Programmi\Adobe\Photoshop Album Starter Edition\3.2\Apps\bak\apdproxy.exe"
end of report |
io purtroppo questo report non so interpretarlo e chiedo aiuto a voi...
tra l'altro se sapeste dirmi qualcosa riguardo a questa voce generata da HJT che non sono sicuro siano malevole vi sarei grato
| Citazione: | | O4 - HKCU\..\Run: [LessEach] D:\DOCUME~1\BENI\DATIAP~1\ExitDefy\math meow.exe |
Grazie in anticipo.
Un saluto |
|
| Top |
|
 |
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 20 Feb 2008 18:17 Oggetto: |
|
|
Ciao Zeruel  e benvenuto...
Per cortesia posta il log tutto intero di Hijackthis;
Nel log di FindAwF non vedo tracce di Istant Access;
o si tratta di una nuova variante oppure non è riuscito a insediarsi per bene nel tuo PC; ma tu hai visto strani comportamenti del sistema? |
|
| Top |
|
|
Zeruel
Mortale pio
Registrato: 20/02/08 14:33
Messaggi: 18
|
| Inviato: 20 Feb 2008 18:25 Oggetto: |
|
|
Ciao Sante e grazie del benvenuto e dell'aiuto!
Ogni tanto (e solo da un sito di tablature per chitarra) si apre qualche popup, gli altri li blocca la google toolbar. Apparte quelle associazioni nel file hosts (che tra l'altro associavano l'IP de loopback, cosa che mi perplime...) niente.
Ecco il log
| Citazione: | Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.35.24, on 20/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
D:\Programmi\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\iPod\bin\iPodService.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Programmi\QuickTime\qttask.exe
D:\Programmi\iTunes\iTunesHelper.exe
D:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\wscntfy.exe
D:\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LessEach] D:\DOCUME~1\BENI\DATIAP~1\ExitDefy\math meow.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182888025375
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1182888011421
O23 - Service: Adobe LM Service - Unknown owner - D:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - D:\Programmi\iPod\bin\iPodService.exe
--
End of file - 5769 bytes |
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 20 Feb 2008 18:37 Oggetto: |
|
|
OK, intanto fixa con HJT le righe che hai già indicato tu più una che ho aggiunto io:
| Citazione: | O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [LessEach] D:\DOCUME~1\BENI\DATIAP~1\ExitDefy\math meow.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com |
Riavvia il PC e posta nuovamente il log di HJT;
Dai una passata con Combofix seguendo le istruzioni di questa discussione;
fai anche la scansione con Systemscan e posta il log generato come
indicato quì |
|
| Top |
|
|
Zeruel
Mortale pio
Registrato: 20/02/08 14:33
Messaggi: 18
|
| Inviato: 20 Feb 2008 19:39 Oggetto: |
|
|
Fixato con HJT.
Ecco il report HJT
| Citazione: | Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.01.33, on 20/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182888025375
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1182888011421
O23 - Service: Adobe LM Service - Unknown owner - D:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - D:\Programmi\iPod\bin\iPodService.exe
--
End of file - 4659 bytes |
Sembrano effettivamente state eliminate..
Ecco i link per i report di combofix: http://www.freefilehosting.net/download/3cae2
e di Systemscan: http://www.freefilehosting.net/download/3cae4
in coda al report di Systemscan c'è anche un ulteriore report di HJT |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 20 Feb 2008 20:40 Oggetto: |
|
|
I log sembrano puliti....
Per il file host si deve tentare di ripristinarlo; assicurati che non sia messo in sola lettura prima di fare questo passaggio;
quindi scarica Hoster
Avvialo, clicca su "Restore Microsoft's Original Hosts File"
clicca su "Make Host Read Only"
e chiudilo.
Metti un firewall per una maggiore protezione scegliendone uno tramite questa discussione;
collegati a Kaspersky online scanner
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato come indicato quì |
|
| Top |
|
|
Zeruel
Mortale pio
Registrato: 20/02/08 14:33
Messaggi: 18
|
| Inviato: 21 Feb 2008 17:35 Oggetto: |
|
|
Ecco il link del report di Kaspersky :S
http://www.freefilehosting.net/download/3cbb2 |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 21 Feb 2008 19:02 Oggetto: |
|
|
C'è un infezione da Bagle; e probabilmente da photoalbum.zip
Scarica e fai la scansione con Elibagla seguendo questa discussione;
ovviamente posta il risultato;
Scarica questo file sul desktop
decomprimi l'archivio, avvia il file MSNFix.bat.
Ti si apre una finestra dos, digita i dove lampeggia il cursore e dai l'invio.
Dopo un pò se l'infezione è presente, vedrai la scritta
" /!\ Infezione Presente /!\"
Premi un tasto qualsiasi per avviare la rimozione
Ti chiederà il riavvio.
Riavvia il pc.
Al riavvio, vedrai la finestra dos ridigita i e dai l'invio, finito tutto, riapparirà il desktop e si aprirà il block notes, gentilmente allega il contenuto del block notes nella tua risposta.
Alla fine allega un log di HJT.
Dopo rifai la scansione con Kaspersky... |
|
| Top |
|
|
Zeruel
Mortale pio
Registrato: 20/02/08 14:33
Messaggi: 18
|
| Inviato: 21 Feb 2008 19:40 Oggetto: |
|
|
| Il virus è, per la maggior parte, presente nel disco C in cui ho un account diverso da quello che uso attualmente (D) e in cui probabilmente avrò difficoltà ad accedere. posso far partire MSNFix anche da questo account? |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 22 Feb 2008 00:48 Oggetto: |
|
|
Penso di no, dovresti farlo partire dall'account dove pensi risiedano i virus....
direi comunque di farlo partire da tutti e due gli account così come Elibagla... |
|
| Top |
|
|
Zeruel
Mortale pio
Registrato: 20/02/08 14:33
Messaggi: 18
|
| Inviato: 22 Feb 2008 13:04 Oggetto: |
|
|
Elibagla consentiva di scegliere il disco da scandire e l'ho fatto partire solo da un account.. Ecco i report.
Relativamente al disco C:
MSNFix
HJT
Relativamente al disco D:
MSNFix //non mi ha trovato niente su questo disco ma l'ho messo lo stesso
HJT
Questi valgono per entrambi i dischi:
Elibagla
Kaspersky |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 22 Feb 2008 13:53 Oggetto: |
|
|
Allora, Elibagla non è riuscito ad eliminare tutto...ma provvederemo.
Avvia HJT al disco C e fixa queste righe:
| Citazione: | O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\Documents and Settings\Administrator\918162919.dll
O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe |
Il log di HJT del disco D è pulito però non è protetto da antivirus e firewall, quindi regolati di conseguenza...
Scarica The Avenger
Scompattalo in una sua cartella in c:\
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
| Citazione: | files to delete:
C:\Programmi\File comuni\System\Mapi\1040\tabkho.exe
C:\WINDOWS\exefnd\120328.exe
C:\WINDOWS\exefnd\120687.exe
C:\WINDOWS\exefnd\14672046.exe
C:\WINDOWS\exefnd\20742218.exe
C:\WINDOWS\exefnd\29088625.exe
C:\WINDOWS\exefnd\29692984.exe
C:\WINDOWS\exefnd\6307703.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\xpdx.sys
D:\Programmi\Adverts\uninst.exe
C:\WINDOWS\svchost.exe |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, si aprirà il blocco note con il risultato di avenger che incollerai quì, con un log aggiornato di hijackthis del disco C....
|
|
| Top |
|
|
Zeruel
Mortale pio
Registrato: 20/02/08 14:33
Messaggi: 18
|
| Inviato: 22 Feb 2008 14:11 Oggetto: |
|
|
Antivirus e firewall li avevo lasciati disattivati perchè avevo appena finito la scansione, però li uso ^^
Faccio tutto e ti faccio sapere 
Edit:
La prima volta che ho utilizzato Avenger non mi ha creato il log, l'ho usato una seconda volta e sembra che abbia effettivamente eliminato i files (non li trovava più)
Ecco il report di HJT:
| Citazione: | Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.29.47, on 22/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programmi\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hidr.exe
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
--
End of file - 5587 bytes |
|
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 22 Feb 2008 19:34 Oggetto: |
|
|
Il log di Avenger lo trovi su C:\Avenger.txt, vedi cosa contiene; se è vuoto non lo postare.
Adesso avvia Hijackthis e fixa queste altre righe se presenti:
| Citazione: | O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hidr.exe
O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe |
Riavvia il Pc e posta un altro log di HJT;
con Avenger elimina questa riga:
| Citazione: | files to delete:
C:\WINDOWS\system32\wintems.exe |
Come sempre posta il risultato. |
|
| Top |
|
|
Zeruel
Mortale pio
Registrato: 20/02/08 14:33
Messaggi: 18
|
| Inviato: 23 Feb 2008 12:20 Oggetto: |
|
|
Le voce non erano più presenti in HJT, ed il file era già stato eliminato.
In questi ultimi giorni mi è spuntato un problema (non so se c'era gia o se è nuovo). Al primo avvio della giornata il pc si avvia normalmente. Successivamente se riavvio, oppure spengo e riaccendo, anzichè farmi entrare nella schermata di selezione dell'account la salta e cerca direttamente di caricare windows e si blocca nella schermata "Accesso a Windows in corso..." |
|
| Top |
|
|
Sante62
Dio maturo
Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
|
| Inviato: 23 Feb 2008 14:10 Oggetto: |
 |
|
E' probabile che il virus ti abbia danneggiato l'account che usi...
Prova a vedere su Pannello di controllo->Account Utente, e controlla quali account ti risultano; puoi cancellarlo e ricrearlo oppure modificarlo.... |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
