Olimpo Informatico

[cadfael]

Ciao a tutti, il mio problema attuale e' che quando sono collegato in internet mi si aprono continuamente delle pagine e quando scrivo frequentemente vengono saltate delle lettere nonostante io le digiti correttamente; ho effettuato la scanione con kaspersky o line e mi h segnalato la presenza di 2 virus ; ho effettuato anche la scansione con hjt che allego... Grazie se qualcuno mi potra' aiutare
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.48.17, on 15/12/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\nit\AppData\Local\dbavmjhg.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\nit\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Supervisor.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\nit\Documents\Carlo\Hjt\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ycomp/defaults/sp/*http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [eAudio] "C:\Acer\Empowering Technology\eAudio\eAudio.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SetPanel] C:\Acer\APanel\APanel.cmd
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [RayV] C:\Users\nit\Giovanna\RayV\RayV.exe /background
O4 - HKCU\..\Run: [dbavmjhg] "c:\users\nit\appdata\local\dbavmjhg.exe" dbavmjhg
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Canon LBP2900 Statusfönster.lnk = C:\Windows\System32\spool\drivers\w32x86\3\CNAB4LAK.EXE
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/download/DownloaderActiveX.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll eNetHook.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 10549 bytes

KASPERSKY ONLINE SCANNER 7 REPORT
Saturday, December 13, 2008
Operating System: Microsoft Windows Vista Home Basic Edition, 32-bit Service Pack 1 (build 6001)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Friday, December 12, 2008 10:06:27
Records in database: 1454245


Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes

Scan area My Computer
C:\
D:\
E:\

Scan statistics
Files scanned 83946
Threat name 1
Infected objects 2
Suspicious objects 0
Duration of the scan 16:17:02

File name Threat name Threats count
C:\Users\nit\AppData\Local\Temp\Amazing Adventures 2 - Around The World.msi Infected: Packed.Win32.Krap.b 1

C:\Users\nit\AppData\Local\Temp\Dream Day Wedding 2 - Married in Manhattan.msi Infected: Packed.Win32.Krap.b 1

The selected area was scanned.

[cadfael]

ho provato a fare la scansione con pc tools spyware doctor e mi ha tovato anche questo virus : trojan.dropper.seh
che faccio???

[bdoriano]

Ciao cadfael,

fai queste operazioni:

• Disabilita il ripristino di sistema
  
• Pulisci i files temporanei con ATF-Cleaner e/o CCleaner
  
• Avvia Hjackthis e pulisci gli ADS in questo modo:
  
  1. clicca sulla voce Open the misc tool section
     
  2. clicca su Open ads spy
     
  3. togli la spunta alla voce Quick scan (windows base folder only)
     
  4. clicca su Scan
     
  5. se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

Segui le istruzioni di questo topic per usare MBAM.

scarica e installa la versione Free di SuperAntispyware:
la configuri come da immagini:




esegui una scansione completa del sistema

Segui le istruzioni di questo topic per postare il log di HiJackThis.

Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:

• Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
  
• Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
  
• Carica il log di HiJackThis su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

[cadfael]

ciao bdoriano,
prima di tutto GRAZIE per l'aiuto:D , dunque ho fatto tutte le operazioni che hai segnato, non ho rilevato alcun dato anomalo (o almeno cosi' mi sembra) ora ho due dubbi 1)devo abilitare il ripristino del sistema?? 2) come sai ho installato come spyware pc tools spyware doctor e' meglio sostituirlo con superantispyware??


questo e' il report di hjt:
hijackthis del 16 12.txt

questo e' il report di mbam:
mbam-log-2008-12-16 (12-22-57).txt

questo e' il report di superantispy:
SUPERAntiSpyware Scan Log - 12-16-2008 - 13-25-39.log

mi dimenticavo di dirti che ora la tastiera sembra essere tornata normale

[bdoriano]

Oh ciao!

Il ripristino di sistema, lo riabilitiamo alla fine delle varie operazioni.
Tra SpywareDoctor e SuperAntiSpyware, personalmente, preferisco quest'ultimo.
SpywareDoctor lo ritengo molto pesante.

SuperAntiSpyware dovrebbe aver eliminato un trojan e diversi cookies.
MBAM ha eliminato una chiave di registro riferita a un adware.
Nel log di hijackthis vedo voci che non conosco.

Ora, procedi così:

1. Disabilita il tuo antivirus
   
2. Collegati a BitDefender (con IE) e fai la scansione completa.
   
3. Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
   Salva il risultato della scansione in un file (in formato TXT), carica il file su WikiSend e posta qui il Forum Link che ti viene assegnato.
   
4. Posta un log aggiornato di hijackthis

[cadfael]

ciao ,
allora ho finito di fare le operazioni che mi hai suggerito non ho riscontrato particolari difficolta' bit defender ha trovato 3 virus cosi' come pure kaspesrky ti allego i report. grazie ancora

hjt
hijackthis del 17 12.txt

kaspersky
Risultati online scan Kaspersky 1.txt

bit defender
bitdefender.txt

[cadfael]

ciao, scusa ma ora cosa devo fare ??? io non so proprio da che parte iniziare

[bdoriano]

Scusa, mi ero dimenticato di te...

Allora, vedo che BitDefender ha segnalato un virus (ma non ho capito dove l'ha trovato e se l'ha eliminato).
Kaspersky, invece, segnala un virus (Packed.Win32.Krap.b) in 2 file di installazione che ha trovato nella cartella dei temporanei.

[cadfael]

ciao dunque si.. quello che hai evidenziato sono 2 giochi scaricati da internet ho effettuato lo scan e qui sotto ti allego il report grazie ancora per l'aiuto

il report e' qui
report.txt

[bdoriano]

Ero convinto di averti fatto pulire la cartella dei files temporanei, ma ce ne sono ancora parecchi...

Rifai la pulizia con CCleaner.

Ho dato un'occhiata veloce al log e vedo rimasugli del virus NaviPromo.

• Avvia nuovamente SystemScan
  
• metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
  
  
• clicca su Removal Script
  
  
• Nel riquadro inserisci il seguente script:
  

  Codice:

  Files to delete: C:\Users\nit\AppData\Local\dbavmjhg_navps.dat C:\Users\nit\AppData\Local\dbavmjhg.dat C:\Users\nit\AppData\Local\dbavmjhg.bat C:\Users\nit\AppData\Local\dbavmjhg_nav.dat C:\Users\nit\AppData\Local\Temp\Amazing Adventures 2 - Around The World.msi C:\Users\nit\AppData\Local\Temp\Dream Day Wedding 2 - Married in Manhattan.msi Registry keys yo delete: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dbavmjhg

  
  e clicca Proceed with removal
  
  
  ******
  Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
  ******
  
  Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
  Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di hijackthis.

[cadfael]

ariciao ,
go scaricato ccleaner ed ho eseguito tutto e' andato bene non cosi' invece con system scan infatti faccio tutte le operazioni indicate ma quando clikko su "proceed with remove " mi si apre una finestra con indicato quanto segue :
Fatal Error : unsupported version of Windows! This program will run only on Windows 2000 or XP
clikkando su ok poi esce questo messaggio:
Error code : 0
Error logged to errorlog.txt. Aborting now!

che faccio????

[cadfael]

mi dimenticavo questo e' il log di hjt, grazie

hijackthis del 21 12.txt

[bdoriano]

Scusa, dimenticavo che stiamo lavorando su Windows Vista...

Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca Ok
Inserisci queste righe nel riquadro bianco:

[cadfael]

allora ho eseguito avenger ma se non ho capito male il log, non ha fatto nulla comunque ti allego sia il log di avenger che quello di hjt

questo e' hjt:
hijackthis del 22 12.txt

e questo e' avenger :
Avenger.txt

[bdoriano]

Infatti, Avenger sembra non aver funzionato correttamente.

A mali estremi... segui le istruzioni di questo topic per postare il log di combofix.

[cadfael]

ciao ho scaricato,scompattato,eseguito combofix come hai detto, non ho riscontrato problemi tranne che la videata indicata nel topic non e' ne simile ne tantomeno uguale a quella che il programma mi ha proposto, inoltre non è possibile effettuare scelta operazione (1 o 2) perche' parte in automatico
ti allego comunque i due log rilevati:

combofix:
Combo Fix report del 23 12.txt

hjt:
hijackthis del 23 12.txt

[bdoriano]

Eh! Lo so, dovrei modificare la descrizione della procedura... ma il tempo è tiranno.

Più tardi mi guardo i logs e ti dico.

[bdoriano]

Scusa cadfael,

sei finito nel dimenticatoio...

Posta un nuovo log di hijackthis e fammi sapere se riscontri ancora problemi.

[cadfael]

ciao ,
ho effettuato una scansione con Superanti spy e mi ha segnalato il seguente virus :
trojan.DNS changer-codec
HKUS\S-1-5-21-1944422286-1178635762-1307489762-1000\SOFTWARE\FCN
invece qui puoi trovare il log di hjt
hijackthis del 13 1.txt
grazie e ciao

[cadfael]

ciao a tutti mi sa che anche questa volta sono finito nel dimenticatoio non e' che qualcuno mi possa aiutare??? posto all'occorrenza un'altro log di hjt..

hijackthis del 26 1.txt