Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
* Win32 Agent-RHF, QOV, MEB, NJB e VBSMalware-gen
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 20 Feb 2008 12:08    Oggetto: Rispondi citando

Non so bene a cosa si riferisca la cassettina di Avast, credo comunque che sia l'opzione di scansione delle e-mail...a parte questo, riscontri altri problemi?
Ah, devi metterti un firewall scegliendone uno tramite questa discussione; così non appena sarà in funzione controllerai se segnala qualcosa di strano;
avvia nuovamente Hijackhis e fixa queste altre righe:
Citazione:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Riavvia il PC e rifai il log di HJT...

Ciao
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 21 Feb 2008 03:12    Oggetto: Rispondi citando

stasera ho rischiato l'infarto..
allora, innanzitutto dico che il problema principale (prima di stasera) è che quando sono connessa, all'inizio la velocità del pc (sia di connessione, ossia ad esempio nell'aprire le pagine, sia di lavoro, se ad esempio sto usando word) è normale, poi, poco per volta,diventa molto più lento, ed a momenti s'imballa, si blocca proprio, e mentre lo fa, sotto l'icona cui ho già accennato diventa fissa.

stasera..
ho scaricato ed installato il firewall Jetico, e quando l'ho avviato mi ha posto questa domanda che faceva su per giù così: system drivers configuration was changed, Jetico has adjusted its driver setting. reebot is required to take an effect. press OK to reboot now or CANCEL to skip the reboot. ho risposto OK. poi è partito questa specie di esame che mi apriva una finestra dopo l'altra, ma tantisssssime! nelle quali mi presentava un dato file e mi chiedeva cosa farne, ed io a tutti (o quasi) ho dato l'OK perché era spuntata l'opzione 'allow this activity'.

dopodiché il macello: se aprivo la connessione, non mi connetteva a google, e dopo qualche minuto windows ha smesso di rispondermi. ho dovuto spegnerlo col pulsante sulla tastiera. ho riacceso e per 2 volte tutto si è ripetuto.. alla terza sono riuscita a disinstallare Jetico prima che windows andasse fuori uso, non so ancora come ho fatto, mi stavo già disperando.. ora pare tutto tornato alla pseudo-normalità..

mi sa che è colpa mia, vero? vabbè, è sicuro, ho fatto sicuramente qualche mossa sbagliata.. Confused


posto il file di HJT


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.48.59, on 21/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Standard\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 5020 bytes
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 21 Feb 2008 09:53    Oggetto: Rispondi citando

Questa riga non è andata via:
Citazione:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Quindi avvia Hijackthis e fixala nuovamente;
prova col PC alla modalità provvisoria;
il firewall va configurato correttamente, altrimenti risulta impossibile la navigazione e/o l'uso dei programmi;
puoi provare Zone Alarm che è il più semplice da configurare ed è in italiano....




Ciao
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 21 Feb 2008 18:09    Oggetto: Rispondi citando

Ho avviato Hijackthis ed ho fatto come hai detto tu, in modalità provvisoria, poi ho riavviato, ma la riga non è andata via comunque..

Stamattina poi, appena connessa, m'è arrivato un altro virus..
Ho scansionato di nuovo con Virit e mi ha trovato 2 file infetti: uno lo ha rimosso, per l'altro mi dice che non può aprire il file WLCtrl32.dll infetto da I-WORM.Agent.Q e lo ha messo in quarantena.

Per ciò che riguarda il firewall, temo che non sia una questione di lingua (tra l'altro Zone Alarm non me lo fa scaricare da quella pagina, proverò a farlo attraverso altre vie), perché capisco ciò che mi chiede di volta in volta, ma no so se le mie risposte siano quelle giuste..

Che faccio ora? Confused
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 22 Feb 2008 00:14    Oggetto: Rispondi citando

OK, Virit ha messo in quarantena il file, quindi non ci dovrebbero essere problemi...dovresti poterlo cancellare dalla quarantena, oppure disinstallando Virit se non ti serve...
posta un altro log di HJT così gli diamo un altra occhiata...
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 22 Feb 2008 13:31    Oggetto: Rispondi citando

Il problema fondamentale per me è che se sto molto tempo connessa, ad un certo punto diventa quasi impossibile navigare: apre le pagine in modo tremendamente lento e, come già detto, si blocca per minuti.. allorché mi tocca disconnettermi e riconnettermi..
Quanto all'icona di Avast nella barra delle applicazioni, sembrerebbe che stia in effetti scansionando mail-SPAM in arrivo, e che proprio per via di questo lavoro il pc prenda a rallentare (cosa, ribadisco, mai accaduta..), ma il punto è che io non uso progranmi per la posta: io la posta la leggo direttamente sul server, e quando la apro non ci trovo nulla di sospetto.


Posto il log di HJT, la riga O20 è sempre lì.. Rolling Eyes
Grazie sempre grazie! Very Happy


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.48.30, on 22/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Standard\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 5021 bytes
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 22 Feb 2008 17:05    Oggetto: Rispondi citando

Fai la scansione con Systemscan e posta il log generato come
indicato quì
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 22 Feb 2008 18:41    Oggetto: Rispondi citando

Ecco il link della cartella zippata col log di SystemScan.. Ciao

[URL="http://www.freefilehosting.net/files/3cckb"]22_02_2008_17_19_report.zip[/URL]
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 22 Feb 2008 20:25    Oggetto: Rispondi citando

Vai su start->esegui e digita regedit;
si aprirà il registro di sistema;
Naviga attraverso questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
Clicca col destro su quella in grassetto->elimina.
Fai sapere e posta un altro log di HJT...
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 22 Feb 2008 23:01    Oggetto: Rispondi citando

La prima volta non ce l'ho fatta a cancellare la chiave di registro: sembrava avermelo fatto fare, invece la chiave era ancora lì..
Ci ho riprovato successivamente e.. Evvai
Nel log di HJT, come puoi notare, la riga O20 non c'è più!!!!
Inoltre sino a questo momento la consueta icona di mail scanner di avast non è ancora comparsa! incredibboli!!! (ho paura persino a dirlo..)
Sante, ti amo!!!! Very Happy
Sto pensando di proporre una mozione per erigere una statua a tua immagine e somiglianza nella mia via, sì sì.. Laughing

Senti ma.. ora che ci faccio coi millemila programmi che ho scaricato? Quali mi conviene tenere? Grazie



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.48.49, on 22/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\internet explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Standard\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 4998 bytes
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 22 Feb 2008 23:03    Oggetto: Rispondi citando

falso allarme, l'icona è ricomparsa.. ma vabbè, magari non vuol dire nulla, vero?.. vero?! Rolling Eyes
Ciao
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 23 Feb 2008 01:13    Oggetto: Rispondi citando

ventosa ha scritto:

Senti ma.. ora che ci faccio coi millemila programmi che ho scaricato? Quali mi conviene tenere? Grazie


Devi tenere solo il tuo antivirus abituale, il firewall e eventuali programmi antispyware che utilizzi tutto il resto toglilo;
Per l'icona di Avast penso sia normale, comunque tieni il sistema in osservazione per qualche giorno e se ci sono problemi fai un fischio...

ventosa ha scritto:

Sto pensando di proporre una mozione per erigere una statua a tua immagine e somiglianza nella mia via, sì sì.. Laughing


Bhe, non esageriamo....Wink



Ciao
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 09 Mar 2008 02:47    Oggetto: Rispondi citando

Sante62 ha scritto:
..se ci sono problemi fai un fischio...

Whistle si capisce, sì, che sto fischiando? mmm..
mi spiace esser di nuovo qui a romper le scatole. ho temporeggiato sperando di uscirne da sola, ma va sempre peggio..

inizialmente, dopo la 'guarigione', il computer era solo più lento quando mi connettevo. col tempo la navigazione è diventata sempre più difficile, tanto che, trascorso un quarto d'ora circa nel web, diventava impossibile aprire le pagine, era come se il pc stesse lavorando troppo, e non ce la facesse più, per cui mi vedevo costretta non solo a disconnettermi, ma a riavviare proprio, e a riprendere da zero la connessione che andava più veloce, ma sempre e solo per il primo quarto d'ora.
ora accade ancora la medesima cosa, con l'aggiunta di una finestra che, dopo poco essermi connessa, compare. il messaggio nella finestra è il seguente:
svchost.exe-errore di applicazione. l'istruzione a "0x00000000" ha fatto riferimento alla memoria a "0x00000000". la memoria non poteva essere "read". fare clic su OK per terminare l'applicazione. fare clic su Annulla per eseguire il debug dell'applicazione.
dopodiché compare la segnalazione d'errore da inviare a microsoft: si è verificato un errore in Generic Host Process for Win32 Services. l'applicazione verrà chiusa.
e questo è quanto. ho scritto tutto perché non si sa mai..

dopo questa segnalazione, provo ad aprire le pagine e quasi sempre mi dice che non è possibile visualizzare la pagina in questione, e lo fa indiscriminatamente con ogni pagina che cerco di aprire.. msn, inoltre, prende a disconnettersi più e più volte nel giro di pochissimo, e non sempre riesco a riavviarlo.

ho l'impressione che vada sempre peggio e che tra un po' non riuscirò proprio più a connettermi.. Glub
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 09 Mar 2008 12:27    Oggetto: Rispondi citando

Ri-Ciao ventosa Ciao
Probabilmente il PC si è reinfettato nuovamente;

Rifai la scansione con Combofix scaricandolo tramite questa discussione;

Mettiti anche un firewall scegliendolo da quì;

Alla fine posta un log di Hijackthis e di Systemscan e carica il log generato come
indicato quì
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 09 Mar 2008 20:22    Oggetto: Rispondi citando

dunque..
il firewall non sono riuscita a metterlo (sottolineo che ho disinstallato Avast al momento del download): Zone Alarm non me lo fa scaricare, o meglio, comincia a farlo e dopo un po' si blocca definitivamente. ho provato con Pc Tools Firewall Plus, son riuscita a scaricarlo, ho preso ad installarlo (sempre con Avast disattivato), e quasi alla fine mi si è aperta una finestra nella quale vi era scritto che non aveva superato il testing di compatibilità con Windows e quindi non poteva essere installato (ma io ho Windows XP! mah..)

ecco il log di Combofix:

ComboFix 08-03-08.2 - Standard 2008-03-09 14.45.28.3 - NTFSx86
Eseguito da: C:\Documents and Settings\Standard\Impostazioni locali\Temporary Internet Files\Content.IE5\BKX9DBMQ\ComboFix[1].exe
* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\symavc32.sys

.
((((((((((((((((((((((((( Files Creati Da 2008-02-09 al 2008-03-09 )))))))))))))))))))))))))))))))))))
.

2008-02-26 19:26 . 2008-02-26 19:26 <DIR> d-------- C:\Programmi\Microsoft Encarta
2008-02-21 00:13 . 2008-02-21 00:13 <DIR> d-------- C:\Documents and Settings\Standard\Dati applicazioni\Jetico Personal Firewall
2008-02-20 09:39 . 2008-02-20 09:39 <DIR> d-------- C:\Programmi\CCleaner
2008-02-19 13:01 . 2008-02-19 13:01 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-02-19 13:01 . 2008-02-19 13:01 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Kaspersky Lab
2008-02-18 18:57 . 2008-02-19 22:24 39,808 --a------ C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-02-18 18:56 . 2008-03-02 15:59 <DIR> d-------- C:\VEXPLITE
2008-02-18 15:10 . 2008-02-18 20:29 250 --a------ C:\WINDOWS\gmer.ini
2008-02-15 20:27 . 2008-03-09 14:52 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-02-15 15:15 . 2008-03-09 14:13 26,496 --a------ C:\WINDOWS\system32\drivers\Ekp16.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-26 15:09 --------- d-----w C:\Programmi\File comuni\InstallShield
2008-02-26 15:08 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-02-19 10:44 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-02-19 10:41 --------- d-----w C:\Programmi\File comuni\Click2learn
2005-12-06 12:43 51,344 -c--a-w C:\Documents and Settings\Standard\Dati applicazioni\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2002-06-12 00:56 286720 C:\WINDOWS\system32\atiptaxx.exe]
"CARPService"="carpserv.exe" [2003-05-21 15:35 4608 C:\WINDOWS\system32\carpserv.exe]
"PreloadApp"="c:\hp\drivers\printers\photosmart\hphprld.exe" [2001-12-12 07:05 36864]
"Cpqset"="C:\Programmi\HPQ\Default Settings\cpqset.exe" [ ]
"QuickTime Task"="C:\Programmi\QuickTime\bak\qttask.exe" [2006-09-20 11:07 155648]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"combofix"="C:\WINDOWS\system32\CF11904.exe" [2004-08-19 15:39 397824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:39 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-03-09 14:52 11776 C:\WINDOWS\system32\WLCtrl32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"=

R0 Ekp16;Ekp16;C:\WINDOWS\system32\Drivers\Ekp16.sys [2008-03-09 14:13]
R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\system32\drivers\VIRAGTLT.SYS [2008-02-19 22:24]
R0 W9967CAM;%W9967CAM.Dev%;C:\WINDOWS\system32\DRIVERS\W9967STI.SYS [2002-12-18 03:48]
R3 CALIAUD;Conexant AMC 3D ENVIRONMENTAL AUDIO;C:\WINDOWS\system32\drivers\caliaud.sys [2002-11-05 16:04]
R3 CALIHALA;CALIHALA;C:\WINDOWS\system32\drivers\calihal.sys [2002-11-05 16:04]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;C:\WINDOWS\system32\DRIVERS\DP83815.SYS [2002-08-29 01:00]
S3 mbr;mbr;C:\DOCUME~1\Standard\IMPOST~1\Temp\mbr.sys []
S3 Msx38;Msx38;C:\WINDOWS\System32\drivers\Msx38.sys []
S3 USB2_04;USB2_04 driver;C:\WINDOWS\system32\drivers\nkv2.sys []
S3 USBW9967;SAMSUNG DIGITAL CAMCORDER D5 II;C:\WINDOWS\system32\DRIVERS\2kw9967.sys [2002-12-18 03:48]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f9e6953-db81-11db-86e5-000d9d5b956a}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-09 14:56:20
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Ora fine scansione: 2008-03-09 15:02:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-09 14:02:09
ComboFix2.txt 2008-02-16 17:47:26
.
2008-02-14 00:52:42 --- E O F ---



ecco quello di Hijackthis che però ho dovuto rifare adesso, dopo ogni altra operazione, perché mi è sparito dal desktop il log che aveva fatto prima..:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.14.51, on 09/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\internet explorer\iexplore.exe
C:\Programmi\internet explorer\iexplore.exe
C:\Documents and Settings\Standard\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=0410&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [00PCTFW] "C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D0FBD6A-D9F9-486E-A041-88292757E7E0}: NameServer = 62.211.69.150 212.48.4.15
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 5782 bytes


et voilà il link del log di Systemscan [URL="http://www.freefilehosting.net/files/3da38"]09_03_2008_18_52_report.zip[/URL]
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 10 Mar 2008 01:07    Oggetto: Rispondi citando

Ho visto che hai più di un antivirus installato;

Disinstalla Virit e i residui di Kaspersky;

poi c'è ancora questa famosa riga:
Citazione:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll


fixala con Hijackthis;

poi senza riavviare il PC scarica The Avenger (Nuova versione)
Scompattalo in una sua cartella in c:\
Avvialo e clicca su OK
all'interno del box bianco
Inserisci queste righe:
Citazione:
registry keys to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32.dll

files to delete:
C:\WINDOWS\SYSTEM32\WLCtrl32.dll

Clicca su Execute
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger;

Dai una passata con Norman Malware Cleaner
disattiva il ripristino di sistema e avvia il PC in modalità provvisoria
Avvia Norman Malware Cleaner.
Viene generato un log sul desktop chiamandolo NFix_2008-01-gg_hh-mm-ss.log, alla fine della scansione postalo qui, insieme ad un log aggiornato di Hijackthis...
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 10 Mar 2008 14:05    Oggetto: Rispondi citando

avviato Avenger, inserite le righe nel box bianco (esattamente come tu le hai scritte), e cliccato su execute, mi si apre una finestra in cui c'è scritto che lo script non è valido, e che per essere tale deve cominciare con un 'command directive'.. che cambio o tolgo? non mi va di provare, farei sicuramente sfracelli..
attendo immobile e fiduciosa.. Smile
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 10 Mar 2008 18:23    Oggetto: Rispondi citando

Hai inserito solo le scritte in rosso vero?

a prescindere, rifai l'operazione con Avenger e metti la spunta alla casella Scan for Rootkit e Automatically disable any rootkits found;
clicca poi su execute
Top
Profilo Invia messaggio privato
ventosa
Eroe
Eroe


Registrato: 16/02/08 15:42
Messaggi: 52

MessaggioInviato: 10 Mar 2008 23:21    Oggetto: Rispondi citando

ho inserito solo le scritte in rosso, certo..
ho messo la spunta dove hai detto tu, ma ancora niente: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
.. Sad
intanto windows si comporta stranamente e connettersi diventa impresa sempre più ardua..
aiuto. mi sto seriamente preoccupando.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 11 Mar 2008 01:24    Oggetto: Rispondi

Ciao ventosa, Ciao

solo per curiosità, ti ritrovi con la situazione seguente:


giusto? Think
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a Precedente  1, 2, 3, 4  Successivo
Pagina 2 di 4

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi