Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Log Hijack This e problema con un Trojan tenace..
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 06 Giu 2006 23:38    Oggetto: Log Hijack This e problema con un Trojan tenace.. Rispondi citando
Dato che sono di fretta (è tardi!!) vi posto il log di HijackThis per vedere se è a posto... per la storia del Trojan a domani.. intanto ho aperto il topic Razz

Logfile of HijackThis v1.99.1
Scan saved at 23.36.53, on 06/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\12014SC Wireless Combo Set\MouseDrv.exe
C:\Programmi\12014SC Wireless Combo Set\PS2USBKbdDrv.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\msmsgs.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\No-IP\DUC20.exe
C:\Programmi\Kerio\ServerFirewall\srvfw.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\CesarFTP\CesarFTP.exe
C:\Programmi\CesarFTP\server.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\NoAdware3\NoAdware3.exe
C:\WINDOWS\explorer.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE NoteCam Sm@rt A300
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WireLessMouse] C:\Programmi\12014SC Wireless Combo Set\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programmi\12014SC Wireless Combo Set\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [Does Atom Open Boob] C:\Documents and Settings\All Users\Dati applicazioni\dumbthirddoesatom\GrimPure.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [seek part] C:\DOCUME~1\Ricky\DATIAP~1\DEAFHO~1\surf hold heck.exe
O4 - HKCU\..\Run: [Winlogin] C:\Documents and Settings\Ricky\Documenti\Temp\svchost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NoAdware3] "C:\Programmi\NoAdware3\NoAdware3.exe"
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: msmsgs.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127053872888
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E38DE43-E83C-4553-AD9C-ADB5CE700C22}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Kerio ServerFirewall (KerioServerFirewall) - Kerio Technologies - C:\Programmi\Kerio\ServerFirewall\srvfw.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\UltraVNC\WinVNC.exe" -service (file missing)

thnx... a domani la prossima parte

Edit: ed ecco la seconda parte... ieri mi sono collegato con vnc al pc di un mio amico, il quale mi aveva chiesto aiuto perchè continuavano ad uscirgli delle finestre di IE, tipo popup, con della pubblicità.

Inoltre ogni tanto usciva una finestra di windows che come titolo aveva "Servizio di Messaggistica Istantanea" e diceva cose tipo "Errore nel registro, potresti perdere tutti i dati! scarica questo programma da questo sito e ripara il registro e poi riavvia il pc!" questo tutto in inglese... e ogni volta che chiudevo questa finestra dp poco ne veniva una nuova con altre marche di programmi... ho capito subito che era solo pubblicità.

Gli ho fatto così installare Lavasoft Ad-Aware, update, scansione, Lavasoft ha trovato 86 oggetti (tutti cookie), gli ho fatto quindi installare Spyware Doctor, update, scansione, mi ha trovato altri spyware tra cui uno che installa ads sul pc.. ho detto siamo a cavallo! abbiamo trovato il rompiscatole.. e invece no... le finestre hanno continuato a venir fuori...
Ne è venuta fuori anche una di altro tipo.. una di errore, con titolo com.com e che diceva + o - così:"impossibile accedere ad Internet Explorer (o cmq Internet) è probabile che non si disponga delle autorizzazioni necessarie".

A quel punto ho guardato sullo schermo e ho trovato un file chiamato Com.com... l'ho fatto scansionare con AVG Free e me l'ha segnalato come Trojan horse Downloader Agent.DNS.. a questo punto gli ho fatto fare una scansione completa da AVG e mi ha trovato un'altro file infetto, segnalato sempre come Trojan horse Download Agent.DNS, nei Temporary Internet Files, un certo g[1].php. Finita la scansione AVG ha rimosso i due file.. il problema è che dp poco risbucava quella finestra di errore e sul desktop riappariva quel file.. Com.com..

Dato che il mio amico era sprovvisto di Firewall gliel'ho installato (Kerio) ho messo a posto le regole bloccando tutto il resto ma le finestre (quelle di IE) hanno continuato ad uscire.. così gli ho messo così una regola che bloccasse il traffico in entrata e in uscita di IE... da quel momento lì non sono + venute fuori le finestre.. ma non mi sono fidato quindi ho installato ancora NoAdware (che ha trovato altri cookie) e poi Spybot Search and Destroy... finita la scansione di Spybot ho visto che tra le voci c'era "Error Safe".. qualcosa di già visto ma non mi ricordo... cmq gli ho corretto quelle voci... per ultimo gli ho fatto installare HijackThis.. dopo aver fatto la scansione ho guardato il log e aveva la bellezza di 101 voci O1 con scritto Host: e poi una serie di caratteri strani (quadrati bianchi) e lettere messe a caso... gliele ho fixate tutte.. ho rifatto la scansione.. e quello che vi ho postato è il risultato (non ho visto altro.. ma dato che non ne sono sicuro ve l'ho postato).
Da quel momento (era tardi e non sono potuto stare + di tanto) mi è sembrato che non ci fossero + problemi riguardo a finestre e trojan.. però anche qui non son sicuro di averlo debellato.
Scusatemi se mi sono dilungato ma mi sembrava giusto dire tutti i passaggi che ho fatto.
Top
Profilo Invia messaggio privato HomePage
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 07 Giu 2006 13:17    Oggetto: Rispondi citando
Complimenti per il lavoro svolto fino ad ora e per i dettagli della spiegazione Smile

Dal log si vede che dovrebbe essere rimsto il Downloader-AWC e forse qualcosa d´altro che non mi è noto, ma forse a te o al tuo amico sì:
Citazione:
surf hold heck.exe
GrimPure.exe


Se li conoscete trascura quento ti dirò riguardo a questi die file.

Per favore, metti in un file zip questi file
Citazione:

c:\\Documents and Settings\\Ricky\\My Documents\\Temp\\svchost.exe
C:\\Documents and Settings\\All Users\\Dati applicazioni\\dumbthirddoesatom\\GrimPure.exe
c:\\Documents and Settings\\Ricky\\DATI APPLICAZIONI\\DEAFHO~1\\surf hold heck.exe

e inviali a Suspectfile. Per trovarli abilita se necessario la visualizzazione dei file nascosti/sistema:
Citazione:
- apri gestione risorse
- dal menu selezona strumenti >> opzioni cartella
- seleziona il tab visualizzazione
- metti la spunta alla casella visualizza file e cartelle nascoste
- togli la spunta alla casella nascondi file di sistema (consigliato)
- clicca Si poi Applica, poi OK.


scarica ATFCleaner da Atribune e salvalo sul desktop

Avvia HijackThis, poi chiudi tutte le finestre e applicazioni lasciando aperto solo HijackThis. Clicca Do a System Scan only, metti un segno di spunta sulla casella accanto a queste voci e al temine premi \"Fix checked\"
Citazione:
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Local Page = \\blank.htm
O4 - HKCU\\..\\Run: [Winlogin] C:\\Documents and Settings\\Ricky\\Documenti\\Temp\\svchost.exe
O4 - Global Startup: msmsgs.exe

Seleziona anche queste voci se non hai installato tu le applicazioni:
O4 - HKLM\\..\\Run: [Does Atom Open Boob] C:\\Documents and Settings\\All Users\\Dati applicazioni\\dumbthirddoesatom\\GrimPure.exe
O4 - HKCU\\..\\Run: [seek part] C:\\DOCUME~1\\Ricky\\DATIAP~1\\DEAFHO~1\\surf hold heck.exe


Stampa quanto segue (o salva in un file) perchè non potrai consultarlo da Internet.

Riavvia in modalità provvisoria: premi F8 al Boot subito dopo il caricamento del BIOS e dal menu che comparirà seleziona Modalità Provvisoria (safe mode)

Facendo attenzione a non sbagliare cartella , cerca ed elimina i seguenti file (controlla di poter vedere i file nascosti e di sistema):
Citazione:
c:\\Documents and Settings\\Ricky\\My Documents\\My Music\\SetUp.exe
c:\\Documents and Settings\\Ricky\\My Documents\\Temp\\svchost.exe
c:\\Documents and Settings\\Ricky\\My Documents\\Temp\\winlogin.exe
c:\\Windows\\hosts
c:\\Windows\\system32\\hosts

anche questi, se non sono applicazioni che hai installato tu:
C:\\Documents and Settings\\All Users\\Dati applicazioni\\dumbthirddoesatom\\GrimPure.exe
c:\\Documents and Settings\\Ricky\\DATI APPLICAZIONI\\DEAFHO~1\\surf hold heck.exe


Avvia ATF cleaner clicca sul menu main e poi seleziona la casella Select All. Se usi Firefox o Opera fai la stessa cosa premendo rispettivamente anche su Firefox e Opera (se vuoi mantenere le password deseleziona la rispettiva casella). Adesso clicca sul pulsante Empty selected e aspetta il messaggio Done Cleaning!.

Riavvia in modalità normale e fai una nuova pulizia con ATFcleaner.

Cerca sul PC tutti i file che si chiamano msmsgs.exe e segnati il percorso, poi posta un nuovo log di HijackThis e il percorso dei file msmsgs.exe che eventualmente hai trovato.

Ciao
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 07 Giu 2006 14:00    Oggetto: Rispondi citando
Grazie! appena va online seguo i tuoi consigli... (la parte da fare offline se la farà lui.. speriamo in bene Razz).
Intanto ho voluto fare una prova con ATF-Cleaner sul mio pc.. l'ho scaricato sul desktop e l'ho aperto, ma in alto nel menu, Firefox mi rimane grigio (ce l'ho installato Firefox sul mio pc!).
Ho provato anche in Modalità Provvisoria ma niente!
Top
Profilo Invia messaggio privato HomePage
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 07 Giu 2006 17:36    Oggetto: Rispondi citando
Ecco il Log di HijackThis (le finestre vengono ancora fuori :\)

Logfile of HijackThis v1.99.1
Scan saved at 17.24.45, on 07/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\Kerio\ServerFirewall\srvfw.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\12014SC Wireless Combo Set\MouseDrv.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\12014SC Wireless Combo Set\PS2USBKbdDrv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programmi\Creative\MediaSource\CTCMS.EXE
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\No-IP\DUC20.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE NoteCam Sm@rt A300
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WireLessMouse] C:\Programmi\12014SC Wireless Combo Set\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programmi\12014SC Wireless Combo Set\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [NoAdware3] "C:\Programmi\NoAdware3\NoAdware3.exe"
O4 - HKCU\..\Run: [seek part] C:\DOCUME~1\Ricky\DATIAP~1\DEAFHO~1\surf hold heck.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127053872888
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E38DE43-E83C-4553-AD9C-ADB5CE700C22}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Kerio ServerFirewall (KerioServerFirewall) - Kerio Technologies - C:\Programmi\Kerio\ServerFirewall\srvfw.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\UltraVNC\WinVNC.exe" -service (file missing)

Per quanto riguarda i file:

svchost -->Non trovato
winlogin --> Non trovato
setup --> Non trovato
grimpure --> Cancellato nella sua cartella
surfholdheck --> Cancellato nella sua cartella
hosts (i due file) -- > cancellati nelle loro cartelle

Nella stessa cartella di surfholdneck ci sono altri 3 file 2 exe e un file di sistema (anche quei due exe li ho mandati a suspect file mentre svchost che nn l'ho trovato non ho potuto metterlo...) che si chiamano rect long bike jump.exe e fgtaafix.exe, il file di sistema è 5901345B (si chiama così!)
Mentre nella stessa cartella di grimpure c'è un file di sistema che si chiama Bone camp bows

Di msmsgs.exe ho solo trovato quello che sta in C:\Programmi\Messenger
Top
Profilo Invia messaggio privato HomePage
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 07 Giu 2006 18:54    Oggetto: Rispondi citando
Bene, così sapremo di che cosa si tratta Smile Che mi dici invece di questa riga che è ancora presente? Riprova a rifare la procedura, selezionando ed eliminando queste voci:
Citazione:
O4 - HKCU\\..\\Run: [seek part] C:\\DOCUME~1\\Ricky\\DATIAP~1\\DEAFHO~1\\surf hold heck.exe
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Local Page = \\blank.htm

Dopo il Fix con HijackThis, fate una nuova scansione per vedere se sono state effettivamente eliminate. In caso contrario provate dalla modalità provvisoria.

Fai anche una ricerca di tutti i file blank.htm del PC e dimmi dove si trovano.

Per i messaggi ti vorrei chiedere di allegare se possibile una immagine dello stesso. Quando si presenta dì al tuo amico di premere il tasto Stamp del PC e poi di incollare l´immgine dagli appunti ad un editor di immagini. Poi la mette su www.imageshack.us e la alleghi qui.

Altrimenti guarda questa: è mica fatta cosi?



In questo caso non ha un virus ma qualcuno che gli invia dei messaggi attraverso il servizio messenger. Per impedirlo deve disabilitare quel servizio dall´elenco servizi di Windows. Prima lo arresti e poi imposti lo stato in Disabilitato. Fai riferimento a questa figura.

Fagli adesso installare Ewido e digli di usarlo dalla modalità provvisoria.
Citazione:
Durante l´installazione nel menu Additional Options deseleziona Install background guard e Install scan via context menu. Avvialo e aggiornalo (bottone Start Update) online


Poi fate una scansione online con Panda. Al termine cliccate su My Computer, poi sul pulsante See Report e salvatelo sul pc.

Posta adesso un nuovo log si HijackThis, quello di Ewido e quello di Panda.

Ciao Smile
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 07 Giu 2006 21:27    Oggetto: Rispondi citando
E rieccomi qua

HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 21.14.57, on 07/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Kerio\ServerFirewall\srvfw.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Tablet.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\12014SC Wireless Combo Set\PS2USBKbdDrv.exe
C:\Programmi\12014SC Wireless Combo Set\MouseDrv.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\NoAdware3\NoAdware3.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programmi\Creative\MediaSource\CTCMS.EXE
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\No-IP\DUC20.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE NoteCam Sm@rt A300
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WireLessMouse] C:\Programmi\12014SC Wireless Combo Set\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Programmi\12014SC Wireless Combo Set\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [NoAdware3] "C:\Programmi\NoAdware3\NoAdware3.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127053872888
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E38DE43-E83C-4553-AD9C-ADB5CE700C22}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: Kerio ServerFirewall (KerioServerFirewall) - Kerio Technologies - C:\Programmi\Kerio\ServerFirewall\srvfw.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programmi\UltraVNC\WinVNC.exe" -service (file missing)

Penso che la pagina (blank) si risetti continuamente perchè c'è un prog di sicurezza che la ripristina.. infatti l'unica pagina che ho trovato sta qua C:\WINDOWS\PCHealth\HelpCtr\System\panels

Log Ewido:

---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 20.22.33, 07/06/2006
+ Report-Checksum: 122D6ED7

+ Risultati scansione:

:mozilla.22:C:\Documents and Settings\Ricky\Dati applicazioni\Mozilla\Firefox\Profiles\kzav7n8s.default\cookies.txt -> TrackingCookie.Tradedoubler : Pulito con Backup
:mozilla.23:C:\Documents and Settings\Ricky\Dati applicazioni\Mozilla\Firefox\Profiles\kzav7n8s.default\cookies.txt -> TrackingCookie.Tradedoubler : Pulito con Backup
C:\Programmi\File comuni\Real\WeatherBug\MiniBugTransporter.dll -> Adware.Minibug : Pulito con Backup


::Fine Rapporto

Log Panda

Incidente Stato Percorso

Adware:Adware/Lop Non Disinfettato C:\Documents and Settings\Ricky\Dati applicazioni\deafhole01\fgtaafix.exe
Adware:Adware/Lop Non Disinfettato C:\Documents and Settings\Ricky\Dati applicazioni\deafhole01\rect long bike jump.exe


Riguardo alle finestre.. no non era come quella.. anche perchè il titolo era proprio Servizio di Messaggistica Istantanea... non posso + fare gli screen perchè hanno smesso di comparire XD.
Top
Profilo Invia messaggio privato HomePage
holifay
Dio maturo
Dio maturo


Registrato: 08/03/05 10:48
Messaggi: 2912
Residenza: Milano
MessaggioInviato: 08 Giu 2006 00:16    Oggetto: Rispondi citando
Il mio si chiama Messenger, ma il servizio di messaggistica istantanea di windows è comunque lo stesso: http://www.sicurezzainrete.com/messaggistica_istantanea.htm

Bene, non hai molto ancora. Riuscite a cancellare questa cartella? C:\\Documents and Settings\\Ricky\\Dati applicazioni\\deafhole01\\

Dopo dovrebbe essere tutto a posto, aggiornamenti di Windows a parte... Wink
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 08 Giu 2006 15:51    Oggetto: Rispondi
Sono stato troppo pignolo Razz cmq le finestre sono identiche a quella del link (a parte quello che c'è scritto).
La cartella l'ho cancellata.. vedo anche di fargli fare gli aggiornamenti.. Grazie Mille!
Top
Profilo Invia messaggio privato HomePage
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi