Precedente :: Successivo |
Autore |
Messaggio |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 01 Giu 2008 12:01 Oggetto: pc infetto |
|
|
ciao a tutti...fino a ieri utilizzavo come antivirus avg 7.5 e mi segnalava sempre come change i seguenti files kernel32.dll, user32.dll ,shell32.dll...ma nessun file infetto
ieri ho cambiato antivirus e ho installato avira-antivir(mi segnala 4 warnings)...ad un certo punto mi è scomparsa la barra start e le icone del desktop...dopo un pò di tentativi sono riuscito dal task manager a riprendere, grazie anche ai vs consigli la situazione iniziale...
fino ad oggi non riuscivo ad installare programmi come haijackthis e cc cleaner...ogni volta che li digitavo mi scompariva la pagina improvvisamente, era impossibile fare pulizia e scansione, oggi sn riuscito ad installarli finalmente.
dimenticavo che ero stato infettato da linkoptimizer, che spero di essere riuscito a togliere definitivamente, chiedo a voi se posso stare certo che il pc è definitivamente pulito oppurec'è ancora qualcosa che non va...grazie x la disponibilità, vi allego il log di antivir e hijackthis
ANTIVIR
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Programmi\File comuni\Services\LGMR.exe
[WARNING] The file could not be opened!
C:\Programmi\File comuni\System\OYdzG.exe
[WARNING] The file could not be opened!
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\Quarantine\filCC8B4311.dat
[0] Archive type: GZ
--> filCC8B4311
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Delf.BF Backdoor server programs
[NOTE] The file was moved to '48ae71c4.qua'!
Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12.03.59, on 01/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\SpywareGuard\sgmain.exe
C:\Programmi\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Documents and Settings\utente\Desktop\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tin.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/adsl/01.homepage
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmi\SpywareGuard\dlprotect.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll (file missing)
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NoteBurner] C:\Programmi\NoteBurner\VTBurnerGUI.exe /silence
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SpywareGuard.lnk = C:\Programmi\SpywareGuard\sgmain.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Comm - {29CA715F-C40B-4795-95BD-C64EF7BFBA37} - http://communicator.virgilio.it (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/adsl/01.homepage
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/it/4,0,0,90/mcinsctl.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/it/1,0,0,23/mcgdmgr.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5019/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7E3F0A0-7D7A-4130-9728-FF58C139C9D1}: NameServer = 85.37.17.7 85.38.28.95
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Unknown owner - C:\Programmi\a-squared Anti-Malware\a2service.exe (file missing)
O23 - Service: Avira AntiVir Personal ? Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal ? Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: BitDefender Scan Server1 (bdss) - Unknown owner - c:\programmi\file comuni\softwin\bitdefender scan server\bdss.exe (file missing)
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - C:\Programmi\ProcessGuard\dcsuserprot.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: NetHxj - Unknown owner - C:\Programmi\File comuni\System\GaV.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O23 - Service: TKIYJ - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\TKIYJ.exe (file missing)
--
End of file - 8244 bytes |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 01 Giu 2008 14:19 Oggetto: |
|
|
Ciao danielito,
nel log si vedono parecchie schifezze e sembra anche che tu abbia attivi sia AVG che AntiVir.
Fai queste pulizie generiche:
- Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
- Fai una scansione con Norman Malware Cleaner.
- Riavvia il computer in modalità normale
- Segui le istruzioni di questo topic per eseguire combofix.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di Norman Malware Cleaner su WikiSend e posta il Forum Link che ti viene assegnato
- Il log di Combofix generalmente non è molto lungo, quindi postalo direttamente nel messaggio
|
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 01 Giu 2008 17:02 Oggetto: |
|
|
grazie 1000 x i consigli che mi hai dato, ho eseguito ciò che mi hai detto,ora posto i log...tutto bene o devo fare qualche altra operazione...grazie anticipatamente.
ps:non si riusciva ad uppare il file su wikisend e allora l'ho riportato sotto
combofix
ComboFix 08-05-29.1 - utente 2008-06-01 16:46:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.221 [GMT 2:00]
Eseguito da: C:\Documents and Settings\utente\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Creati Da 2008-05-01 al 2008-06-01 )))))))))))))))))))))))))))))))))))
.
2008-06-01 11:15 . 2008-06-01 11:15 <DIR> d-------- C:\Programmi\CCleaner
2008-06-01 10:32 . 2008-06-01 10:32 <DIR> d-------- C:\Programmi\Panda Security
2008-06-01 10:23 . 2008-06-01 10:23 <DIR> d----c--- C:\Documents and Settings\LocalService\Dati applicazioni\MEGAUPLOADTOOLBAR
2008-05-31 17:32 . 2008-05-31 17:32 <DIR> d-------- C:\Programmi\PrevxCSI
2008-05-31 17:32 . 2008-05-31 18:34 <DIR> d----c--- C:\Documents and Settings\All Users\Dati applicazioni\PrevxCSI
2008-05-31 17:32 . 2008-05-31 17:32 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-05-31 14:07 . 2008-05-31 14:07 <DIR> d-------- C:\Programmi\7-Zip
2008-05-31 14:06 . 2008-05-31 14:06 <DIR> d-------- C:\Programmi\Tci5
2008-05-31 14:06 . 2008-05-31 14:06 <DIR> d-------- C:\Programmi\Sezioni
2008-05-31 14:06 . 2008-05-31 14:06 <DIR> d----c--- C:\Documents and Settings\LocalService\Dati applicazioni\AVG7
2008-05-31 14:06 . 2008-05-31 14:06 <DIR> d----c--- C:\Documents and Settings\All Users\Dati applicazioni\avg7
2008-05-31 13:46 . 2008-05-31 14:05 <DIR> d----c--- C:\Documents and Settings\All Users\Dati applicazioni\avg7(2)
2008-05-31 09:09 . 2008-05-31 09:09 262,144 --a------ C:\Documents and Settings\OPVYPT~2
2008-05-31 09:09 . 2008-05-31 09:09 262,144 --a------ C:\Documents and Settings\IPBDTM~2
2008-05-31 09:09 . 2008-05-31 09:09 262,144 --a------ C:\Documents and Settings\EHWBBS~2
2008-05-31 09:06 . 2008-05-31 09:06 262,144 --a------ C:\Documents and Settings\OPVYPT~1
2008-05-31 09:06 . 2008-05-31 09:06 262,144 --a------ C:\Documents and Settings\IPBDTM~1
2008-05-31 09:06 . 2008-05-31 09:06 262,144 --a------ C:\Documents and Settings\EHWBBS~1
2008-05-31 09:04 . 2008-05-31 09:04 <DIR> d-------- C:\Programmi\Avira
2008-05-31 09:04 . 2008-05-31 09:04 <DIR> d----c--- C:\Documents and Settings\All Users\Dati applicazioni\Avira
2008-05-31 09:00 . 2008-05-31 14:06 <DIR> d--h-c--- C:\Documents and Settings\Administrator\Modelli
2008-05-31 09:00 . 2008-06-01 15:43 <DIR> d--h-c--- C:\Documents and Settings\Administrator\Impostazioni locali
2008-05-31 09:00 . 2008-05-31 14:06 <DIR> d--h-c--- C:\Documents and Settings\Administrator\Dati applicazioni
2008-05-31 09:00 . 2008-06-01 15:43 <DIR> d---sc--- C:\Documents and Settings\Administrator
2008-05-15 22:39 . 2008-05-31 14:07 <DIR> d----c--- C:\Documents and Settings\utente\Dati applicazioni\IDMComp
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-01 09:18 --------- dc----w C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-05-31 12:05 --------- dc----w C:\Documents and Settings\All Users\Dati applicazioni\Grisoft
2008-05-31 06:56 --------- d-----w C:\Programmi\epson
2008-05-31 06:09 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-05-31 06:06 --------- d-----w C:\Programmi\T2D
2008-05-31 06:02 --------- dc----w C:\Documents and Settings\utente\Dati applicazioni\AVG7
2008-05-25 05:39 --------- d-----w C:\Programmi\SpywareGuard
2008-04-26 14:47 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-04-26 14:47 253,952 ------w C:\WINDOWS\Setup1.exe
2008-04-26 14:35 --------- d-----w C:\Programmi\VcaSlu
2008-04-26 14:35 --------- d-----w C:\Programmi\SIMQKE_GR
2008-04-26 14:35 --------- d-----w C:\Programmi\DvbTco
2008-04-26 14:35 --------- d-----w C:\Programmi\1CAMP
2008-04-26 11:25 --------- d-----w C:\Programmi\SpywareBlaster
2008-04-24 19:53 --------- d-----w C:\Programmi\Telaio2D
2008-04-24 19:51 --------- d-----w C:\Programmi\Muro
2008-04-24 19:51 --------- d-----w C:\Programmi\Arco
2008-04-24 19:50 --------- d-----w C:\Programmi\Profili_v6
2008-04-24 19:49 --------- d-----w C:\Programmi\TraveConDwg
2008-04-24 19:47 --------- d-----w C:\Programmi\PacchettoComune
2008-04-23 17:53 --------- d-----w C:\Programmi\Google
2008-04-23 17:51 --------- d-----w C:\Programmi\File comuni\Real
2008-03-20 06:08 691,545 ----a-w C:\WINDOWS\unins000.exe
2004-03-11 12:27 40,960 ----a-w C:\Programmi\Uninstall_CDS.exe
2007-05-27 08:01 2,467,616 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-05-27 08:01 34,336 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="C:\Programmi\Ahead\Nero BackItUp\NBJ.exe" [2004-09-22 17:10 1871872]
"SpybotSD TeaTimer"="C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"InCD"="C:\Programmi\Ahead\InCD\InCD.exe" [2004-09-07 15:25 1400944]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"!AVG Anti-Spyware"="C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-11-04 11:50 6731312]
"avgnt"="C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [ ]
C:\Documents and Settings\utente\Menu Avvio\Programmi\Esecuzione automatica\
SpywareGuard.lnk - C:\Programmi\SpywareGuard\sgmain.exe [2003-08-29 20:05:35 360448]
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Avvio veloce di Adobe Reader.lnk - C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
Microsoft Office.lnk - C:\Programmi\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:56 65588]
Tasto di scelta rapida per l'avvio di AutoCAD.lnk - C:\Programmi\File comuni\Autodesk Shared\acstart17.exe [2006-03-05 14:43:54 11000]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFavoritesMenu"= 0 (0x0)
"NoLogoff"= 0 (0x0)
"EnforceShellExtensionSecurity"= 0 (0x0)
"NoDeletePrinter"= 0 (0x0)
"NoAddPrinter"= 0 (0x0)
"NoPrinterTabs"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\utente\\Documenti\\eMule\\emule.exe"=
R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-05-31 17:32]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-07-29 16:13]
R2 cpwnt;cpwnt;C:\WINDOWS\system32\drivers\cpwnt.sys [1997-05-30 01:00]
R2 CSIScanner;CSIScanner;"C:\Programmi\PrevxCSI\prevxcsi.exe" /service []
R2 procguard;procguard;C:\WINDOWS\system32\drivers\procguard.sys [2006-08-09 14:57]
S0 ntcdrdrv;ntcdrdrv;C:\WINDOWS\system32\DRIVERS\ntcdrdrv.sys []
S2 DCSPGSRV;DiamondCS ProcessGuard Service v3.410;"C:\Programmi\ProcessGuard\dcsuserprot.exe" []
S2 NetHxj;NetHxj;"C:\Programmi\File comuni\System\GaV.exe" []
S3 TKIYJ;TKIYJ;C:\DOCUME~1\utente\IMPOST~1\Temp\TKIYJ.exe []
S4 SrvEiv;SrvEiv;"C:\Programmi\File comuni\System\uuF.exe" []
S4 WebRsr;WebRsr;"C:\Programmi\File comuni\Services\dib.exe" []
*Newly Created Service* - CATCHME
.
Contenuto della cartella 'Scheduled Tasks'
"2008-05-31 06:09:52 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programmi\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-01 16:47:44
Windows 5.1.2600 Service Pack 2 NTFS
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
**************************************************************************
.
Ora fine scansione: 2008-06-01 16:48:49
ComboFix-quarantined-files.txt 2008-06-01 14:48:45
7 Directory 30,490,783,744 byte disponibili
10 Directory 30,483,648,512 byte disponibili
130 --- E O F --- 2008-04-13 08:23:10
e norman
Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/05/12 19:08:33
edit by bdoriano: log eliminato perché incompleto. I logs vanno caricati su FreeFileHosting come indicato qui. |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 02 Giu 2008 13:09 Oggetto: |
|
|
ho eseguito la scansione e posto qui il link
http://www.freefilehosting.net/download/3i20g
grazie x la disponibilità |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 02 Giu 2008 13:53 Oggetto: |
|
|
Apri il notepad e copia/incolla le scritte in rosso:
Citazione: | Windows Registry Editor Version 5.00
[HKLM\system\currentcontrolset\services]
"NetHxj"=-
[HKLM\system\currentcontrolset\services]
"TKIYJ"=- |
File>Salva con nome>
Nome file: fix.reg (mi raccomando l'estensione .reg non txt
Salva come: Tutti i file
salvalo in C:\
Vai su Start->esegui e digita:
control userpasswords2
Si aprirà la finestra Account Utente;
Guarda nell'elenco degli utenti se riscontri questo:
eHwbBsbTjYYCxh o altri simili con lettere casuali o che comunque tu non conosci;
in caso affermativo, selezionalo col mouse, clicca su rimuovi.
Apri SystemScan>Clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto in rosso:
Citazione: | Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
C:\Programmi\File comuni\System\OYdzG.exe
C:\Programmi\File comuni\System\GaV.exe
C:\DOCUME~1\utente\IMPOST~1\Temp\TKIYJ.exe
programs to launch on reboot:
c:\fix.reg
|
ora clicca su "Proceed with removal" e poi su OK.
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) allega un nuovo report di SystemScan
Grazie. |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 02 Giu 2008 19:03 Oggetto: |
|
|
queste operazioni sono riuscito a farle
Apri il notepad e copia/incolla le scritte in rosso:
Citazione:
Windows Registry Editor Version 5.00
[HKLM\system\currentcontrolset\services]
"NetHxj"=-
[HKLM\system\currentcontrolset\services]
"TKIYJ"=-
File>Salva con nome>
Nome file: fix.reg (mi raccomando l'estensione .reg non txt
Salva come: Tutti i file
salvalo in C:\
Vai su Start->esegui e digita:
control userpasswords2
Si aprirà la finestra Account Utente;
Guarda nell'elenco degli utenti se riscontri questo:
eHwbBsbTjYYCxh o altri simili con lettere casuali o che comunque tu non conosci;
in caso affermativo, selezionalo col mouse, clicca su rimuovi.
questa invece
"Proceed with removal" non riesco a farla, mi dice che devono essere files validi
allego il file di system scan e di avenger
http://www.freefilehosting.net/download/3i297
http://www.freefilehosting.net/download/3i298
grazie x la collaborazione |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 02 Giu 2008 20:05 Oggetto: |
|
|
Il nuovo log di Systemscan non serve se non porti a termine lo script indicato sopra;
danielito ha scritto: |
questa invece
"Proceed with removal" non riesco a farla, mi dice che devono essere files validi
grazie x la collaborazione |
Non so i passaggi che hai fatto ma
Ripetiamo:
Apri SystemScan>Clicca su "Removal Script".
Allinterno del box bianco copia ed incolla i valori riportati qui sotto in rosso:
Citazione: | Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
C:\Programmi\File comuni\System\OYdzG.exe
C:\Programmi\File comuni\System\GaV.exe
C:\DOCUME~1\utente\IMPOST~1\Temp\TKIYJ.exe
programs to launch on reboot:
c:\fix.reg
|
ora clicca su "Proceed with removal" e poi su OK.
Il pc dovrebbe riavviarsi da solo, diversamente riavvialo manualmente
Portati in C:\ postami il contenuto del log generato da Avenger (avenger.txt) allega un nuovo report di SystemScan.
Se hai dei dubbi, chiedi pure perchè non ci sono errori nello script.... |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 02 Giu 2008 22:42 Oggetto: |
|
|
Come ha già detto Sante, il problema non è lo script ma la nuova versione di Avenger che vede errori dove non ce ne sono.
Procedi così:
- Avvia nuovamente SystemScan
- metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
- clicca su Removal Script
- Nel riquadro inserisci il seguente script:
Codice: | Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs
Files to delete:
C:\Programmi\File comuni\System\OYdzG.exe
C:\Programmi\File comuni\System\GaV.exe
C:\DOCUME~1\utente\IMPOST~1\Temp\TKIYJ.exe
programs to launch on reboot:
c:\fix.reg |
e clicca Proceed with removal
******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis. |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 03 Giu 2008 07:22 Oggetto: |
|
|
eseguito le operazioni dette, ma mi sa che qualcosa non sia andato x il verso giusto
allego i 2 log
hj
http://www.freefilehosting.net/download/3i2d6
av
http://www.freefilehosting.net/download/3i2d7
grazie x i consigli |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 03 Giu 2008 08:25 Oggetto: |
|
|
Ok, SystemScan ha funzionato.
Non ha trovato 2 files da eliminare (perché non ci sono più) e non è riuscito a impostare la chiave AppInit_DLLs.
|
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 03 Giu 2008 20:51 Oggetto: |
|
|
grazie x le istruzioni dettatemi, ora posto i 2 log richiesti
[URL="http://www.freefilehosting.net/download/3i317"]mbam-log-6-3-2008 (20-03-14)_1212518902126.txt[/URL]
URL="http://www.freefilehosting.net/download/3i319"]NFix_2008-06-03_19-04-34_1212518990568.log[/URL]
posso essere sicuro di avere tutto a posto o devo eseguire qualche altra operazione?ciao, grazie ancora |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 06 Giu 2008 09:47 Oggetto: |
|
|
Qualche altra schifezza è stata eliminata da norman;
Adesso collegati a Kaspersky online scanner e procedi con la scansione estesa del PC... |
|
Top |
|
 |
danielito Eroe in grazia degli dei

Registrato: 01/06/08 11:33 Messaggi: 162
|
Inviato: 08 Giu 2008 14:00 Oggetto: |
|
|
grazie x le istruzioni, ho fatto la scansione co k. allego il log.tutto bene? perchè quando attacco la stampante mi va in tilt il pc? grazie
[URL="http://www.freefilehosting.net/download/3i6if"]log_1212926441006.txt[/URL] |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 09 Giu 2008 09:27 Oggetto: |
|
|
OK, il log di Kasper è pulito....
Per la stampante prova a disinstallare e a reinstallare i relativi driver... |
|
Top |
|
 |
|