Olimpo Informatico

danielito · Eroe in grazia degli dei Registrato: 01/06/08 11:33 Messaggi: 162

ciao a tutti...fino a ieri utilizzavo come antivirus avg 7.5 e mi segnalava sempre come change i seguenti files kernel32.dll, user32.dll ,shell32.dll...ma nessun file infetto
ieri ho cambiato antivirus e ho installato avira-antivir(mi segnala 4 warnings)...ad un certo punto mi è scomparsa la barra start e le icone del desktop...dopo un pò di tentativi sono riuscito dal task manager a riprendere, grazie anche ai vs consigli la situazione iniziale...
fino ad oggi non riuscivo ad installare programmi come haijackthis e cc cleaner...ogni volta che li digitavo mi scompariva la pagina improvvisamente, era impossibile fare pulizia e scansione, oggi sn riuscito ad installarli finalmente.
dimenticavo che ero stato infettato da linkoptimizer, che spero di essere riuscito a togliere definitivamente, chiedo a voi se posso stare certo che il pc è definitivamente pulito oppurec'è ancora qualcosa che non va...grazie x la disponibilità, vi allego il log di antivir e hijackthis

ANTIVIR

C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Programmi\File comuni\Services\LGMR.exe
[WARNING] The file could not be opened!
C:\Programmi\File comuni\System\OYdzG.exe
[WARNING] The file could not be opened!
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\Quarantine\filCC8B4311.dat
[0] Archive type: GZ
--> filCC8B4311
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Delf.BF Backdoor server programs
[NOTE] The file was moved to '48ae71c4.qua'!

Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.03.59, on 01/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\SpywareGuard\sgmain.exe
C:\Programmi\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Documents and Settings\utente\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tin.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/adsl/01.homepage
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll (file missing)
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NoteBurner] C:\Programmi\NoteBurner\VTBurnerGUI.exe /silence
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Comm - {29CA715F-C40B-4795-95BD-C64EF7BFBA37} - http://communicator.virgilio.it (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/adsl/01.homepage
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/it/4,0,0,90/mcinsctl.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/it/1,0,0,23/mcgdmgr.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5019/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7E3F0A0-7D7A-4130-9728-FF58C139C9D1}: NameServer = 85.37.17.7 85.38.28.95
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Unknown owner - C:\Programmi\a-squared Anti-Malware\a2service.exe (file missing)
O23 - Service: Avira AntiVir Personal ? Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal ? Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitDefender Scan Server1 (bdss) - Unknown owner - c:\programmi\file comuni\softwin\bitdefender scan server\bdss.exe (file missing)
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Programmi\ProcessGuard\dcsuserprot.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: NetHxj - Unknown owner - C:\Programmi\File comuni\System\GaV.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O23 - Service: TKIYJ - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\TKIYJ.exe (file missing)

--
End of file - 8244 bytes

bdoriano

Ciao danielito, Ciao

nel log si vedono parecchie schifezze e sembra anche che tu abbia attivi sia AVG che AntiVir.

Fai queste pulizie generiche:

Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
Fai una scansione con Norman Malware Cleaner.
Riavvia il computer in modalità normale
Segui le istruzioni di questo topic per eseguire combofix.
Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di Norman Malware Cleaner su WikiSend e posta il Forum Link che ti viene assegnato
- Il log di Combofix generalmente non è molto lungo, quindi postalo direttamente nel messaggio

danielito · Eroe in grazia degli dei Registrato: 01/06/08 11:33 Messaggi: 162

grazie 1000 x i consigli che mi hai dato, ho eseguito ciò che mi hai detto,ora posto i log...tutto bene o devo fare qualche altra operazione...grazie anticipatamente.
ps:non si riusciva ad uppare il file su wikisend e allora l'ho riportato sotto

combofix

ComboFix 08-05-29.1 - utente 2008-06-01 16:46:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.221 [GMT 2:00]
Eseguito da: C:\Documents and Settings\utente\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Creati Da 2008-05-01 al 2008-06-01 )))))))))))))))))))))))))))))))))))
.

2008-06-01 11:15 . 2008-06-01 11:15 <DIR> d-------- C:\Programmi\CCleaner
2008-06-01 10:32 . 2008-06-01 10:32 <DIR> d-------- C:\Programmi\Panda Security
2008-06-01 10:23 . 2008-06-01 10:23 <DIR> d----c--- C:\Documents and Settings\LocalService\Dati applicazioni\MEGAUPLOADTOOLBAR
2008-05-31 17:32 . 2008-05-31 17:32 <DIR> d-------- C:\Programmi\PrevxCSI
2008-05-31 17:32 . 2008-05-31 18:34 <DIR> d----c--- C:\Documents and Settings\All Users\Dati applicazioni\PrevxCSI
2008-05-31 17:32 . 2008-05-31 17:32 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-05-31 14:07 . 2008-05-31 14:07 <DIR> d-------- C:\Programmi\7-Zip
2008-05-31 14:06 . 2008-05-31 14:06 <DIR> d-------- C:\Programmi\Tci5
2008-05-31 14:06 . 2008-05-31 14:06 <DIR> d-------- C:\Programmi\Sezioni
2008-05-31 14:06 . 2008-05-31 14:06 <DIR> d----c--- C:\Documents and Settings\LocalService\Dati applicazioni\AVG7
2008-05-31 14:06 . 2008-05-31 14:06 <DIR> d----c--- C:\Documents and Settings\All Users\Dati applicazioni\avg7
2008-05-31 13:46 . 2008-05-31 14:05 <DIR> d----c--- C:\Documents and Settings\All Users\Dati applicazioni\avg7(2)
2008-05-31 09:09 . 2008-05-31 09:09 262,144 --a------ C:\Documents and Settings\OPVYPT~2
2008-05-31 09:09 . 2008-05-31 09:09 262,144 --a------ C:\Documents and Settings\IPBDTM~2
2008-05-31 09:09 . 2008-05-31 09:09 262,144 --a------ C:\Documents and Settings\EHWBBS~2
2008-05-31 09:06 . 2008-05-31 09:06 262,144 --a------ C:\Documents and Settings\OPVYPT~1
2008-05-31 09:06 . 2008-05-31 09:06 262,144 --a------ C:\Documents and Settings\IPBDTM~1
2008-05-31 09:06 . 2008-05-31 09:06 262,144 --a------ C:\Documents and Settings\EHWBBS~1
2008-05-31 09:04 . 2008-05-31 09:04 <DIR> d-------- C:\Programmi\Avira
2008-05-31 09:04 . 2008-05-31 09:04 <DIR> d----c--- C:\Documents and Settings\All Users\Dati applicazioni\Avira
2008-05-31 09:00 . 2008-05-31 14:06 <DIR> d--h-c--- C:\Documents and Settings\Administrator\Modelli
2008-05-31 09:00 . 2008-06-01 15:43 <DIR> d--h-c--- C:\Documents and Settings\Administrator\Impostazioni locali
2008-05-31 09:00 . 2008-05-31 14:06 <DIR> d--h-c--- C:\Documents and Settings\Administrator\Dati applicazioni
2008-05-31 09:00 . 2008-06-01 15:43 <DIR> d---sc--- C:\Documents and Settings\Administrator
2008-05-15 22:39 . 2008-05-31 14:07 <DIR> d----c--- C:\Documents and Settings\utente\Dati applicazioni\IDMComp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-01 09:18 --------- dc----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-05-31 12:05 --------- dc----w C:\Documents and Settings\All Users\Dati applicazioni\Grisoft
2008-05-31 06:56 --------- d-----w C:\Programmi\epson
2008-05-31 06:09 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-05-31 06:06 --------- d-----w C:\Programmi\T2D
2008-05-31 06:02 --------- dc----w C:\Documents and Settings\utente\Dati applicazioni\AVG7
2008-05-25 05:39 --------- d-----w C:\Programmi\SpywareGuard
2008-04-26 14:47 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-04-26 14:47 253,952 ------w C:\WINDOWS\Setup1.exe
2008-04-26 14:35 --------- d-----w C:\Programmi\VcaSlu
2008-04-26 14:35 --------- d-----w C:\Programmi\SIMQKE_GR
2008-04-26 14:35 --------- d-----w C:\Programmi\DvbTco
2008-04-26 14:35 --------- d-----w C:\Programmi\1CAMP
2008-04-26 11:25 --------- d-----w C:\Programmi\SpywareBlaster
2008-04-24 19:53 --------- d-----w C:\Programmi\Telaio2D
2008-04-24 19:51 --------- d-----w C:\Programmi\Muro
2008-04-24 19:51 --------- d-----w C:\Programmi\Arco
2008-04-24 19:50 --------- d-----w C:\Programmi\Profili_v6
2008-04-24 19:49 --------- d-----w C:\Programmi\TraveConDwg
2008-04-24 19:47 --------- d-----w C:\Programmi\PacchettoComune
2008-04-23 17:53 --------- d-----w C:\Programmi\Google
2008-04-23 17:51 --------- d-----w C:\Programmi\File comuni\Real
2008-03-20 06:08 691,545 ----a-w C:\WINDOWS\unins000.exe
2004-03-11 12:27 40,960 ----a-w C:\Programmi\Uninstall_CDS.exe
2007-05-27 08:01 2,467,616 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-05-27 08:01 34,336 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="C:\Programmi\Ahead\Nero BackItUp\NBJ.exe" [2004-09-22 17:10 1871872]
"SpybotSD TeaTimer"="C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"InCD"="C:\Programmi\Ahead\InCD\InCD.exe" [2004-09-07 15:25 1400944]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"!AVG Anti-Spyware"="C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-11-04 11:50 6731312]
"avgnt"="C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [ ]

C:\Documents and Settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
SpywareGuard.lnk - C:\Programmi\SpywareGuard\sgmain.exe [2003-08-29 20:05:35 360448]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:56 65588]
Tasto di scelta rapida per l'avvio di AutoCAD.lnk - C:\Programmi\File comuni\Autodesk Shared\acstart17.exe [2006-03-05 14:43:54 11000]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFavoritesMenu"= 0 (0x0)
"NoLogoff"= 0 (0x0)
"EnforceShellExtensionSecurity"= 0 (0x0)
"NoDeletePrinter"= 0 (0x0)
"NoAddPrinter"= 0 (0x0)
"NoPrinterTabs"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\utente\\Documenti\\eMule\\emule.exe"=

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-05-31 17:32]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-07-29 16:13]
R2 cpwnt;cpwnt;C:\WINDOWS\system32\drivers\cpwnt.sys [1997-05-30 01:00]
R2 CSIScanner;CSIScanner;"C:\Programmi\PrevxCSI\prevxcsi.exe" /service []
R2 procguard;procguard;C:\WINDOWS\system32\drivers\procguard.sys [2006-08-09 14:57]
S0 ntcdrdrv;ntcdrdrv;C:\WINDOWS\system32\DRIVERS\ntcdrdrv.sys []
S2 DCSPGSRV;DiamondCS ProcessGuard Service v3.410;"C:\Programmi\ProcessGuard\dcsuserprot.exe" []
S2 NetHxj;NetHxj;"C:\Programmi\File comuni\System\GaV.exe" []
S3 TKIYJ;TKIYJ;C:\DOCUME~1\utente\IMPOST~1\Temp\TKIYJ.exe []
S4 SrvEiv;SrvEiv;"C:\Programmi\File comuni\System\uuF.exe" []
S4 WebRsr;WebRsr;"C:\Programmi\File comuni\Services\dib.exe" []

*Newly Created Service* - CATCHME
.
Contenuto della cartella 'Scheduled Tasks'
"2008-05-31 06:09:52 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programmi\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-01 16:47:44
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-06-01 16:48:49
ComboFix-quarantined-files.txt 2008-06-01 14:48:45

7 Directory 30,490,783,744 byte disponibili
10 Directory 30,483,648,512 byte disponibili

130 --- E O F --- 2008-04-13 08:23:10

e norman

Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/12 19:08:33

edit by bdoriano: log eliminato perché incompleto. I logs vanno caricati su FreeFileHosting come indicato qui.

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Fai la scansione con Systemscan e posta il log generato come
indicato quì

danielito · Eroe in grazia degli dei Registrato: 01/06/08 11:33 Messaggi: 162

ho eseguito la scansione e posto qui il link

http://www.freefilehosting.net/download/3i20g

grazie x la disponibilità

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Apri il notepad e copia/incolla le scritte in rosso:

danielito · Eroe in grazia degli dei Registrato: 01/06/08 11:33 Messaggi: 162

queste operazioni sono riuscito a farle
Apri il notepad e copia/incolla le scritte in rosso:
Citazione:
Windows Registry Editor Version 5.00

[HKLM\system\currentcontrolset\services]
"NetHxj"=-
[HKLM\system\currentcontrolset\services]
"TKIYJ"=-

File>Salva con nome>
Nome file: fix.reg (mi raccomando l'estensione .reg non txt
Salva come: Tutti i file
salvalo in C:\

Vai su Start->esegui e digita:
control userpasswords2
Si aprirà la finestra Account Utente;
Guarda nell'elenco degli utenti se riscontri questo:
eHwbBsbTjYYCxh o altri simili con lettere casuali o che comunque tu non conosci;
in caso affermativo, selezionalo col mouse, clicca su rimuovi.

questa invece

"Proceed with removal" non riesco a farla, mi dice che devono essere files validi

allego il file di system scan e di avenger

http://www.freefilehosting.net/download/3i297

http://www.freefilehosting.net/download/3i298

grazie x la collaborazione

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Il nuovo log di Systemscan non serve se non porti a termine lo script indicato sopra;

bdoriano

Come ha già detto Sante, il problema non è lo script ma la nuova versione di Avenger che vede errori dove non ce ne sono. Razz

Procedi così:

Avvia nuovamente SystemScan
metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
clicca su Removal Script

Nel riquadro inserisci il seguente script:

Codice:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\Programmi\File comuni\System\OYdzG.exe
C:\Programmi\File comuni\System\GaV.exe
C:\DOCUME~1\utente\IMPOST~1\Temp\TKIYJ.exe

programs to launch on reboot:
c:\fix.reg

e clicca Proceed with removal

******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis.

danielito · Eroe in grazia degli dei Registrato: 01/06/08 11:33 Messaggi: 162

eseguito le operazioni dette, ma mi sa che qualcosa non sia andato x il verso giusto
allego i 2 log
hj
http://www.freefilehosting.net/download/3i2d6
av
http://www.freefilehosting.net/download/3i2d7

grazie x i consigli

bdoriano

Ok, SystemScan ha funzionato.
Non ha trovato 2 files da eliminare (perché non ci sono più) e non è riuscito a impostare la chiave AppInit_DLLs. Think

Fai una scansione con Norman Malware Cleaner.
Segui le istruzioni di questo topic per usare MBAM.
Posta i logs come indicato qui.

danielito · Eroe in grazia degli dei Registrato: 01/06/08 11:33 Messaggi: 162

grazie x le istruzioni dettatemi, ora posto i 2 log richiesti

[URL="http://www.freefilehosting.net/download/3i317"]mbam-log-6-3-2008 (20-03-14)_1212518902126.txt[/URL]

URL="http://www.freefilehosting.net/download/3i319"]NFix_2008-06-03_19-04-34_1212518990568.log[/URL]

posso essere sicuro di avere tutto a posto o devo eseguire qualche altra operazione?ciao, grazie ancora

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Qualche altra schifezza è stata eliminata da norman;

Adesso collegati a Kaspersky online scanner e procedi con la scansione estesa del PC...

danielito · Eroe in grazia degli dei Registrato: 01/06/08 11:33 Messaggi: 162

grazie x le istruzioni, ho fatto la scansione co k. allego il log.tutto bene? perchè quando attacco la stampante mi va in tilt il pc? grazie

[URL="http://www.freefilehosting.net/download/3i6if"]log_1212926441006.txt[/URL]

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

OK, il log di Kasper è pulito....

Per la stampante prova a disinstallare e a reinstallare i relativi driver...