Olimpo Informatico

[Vinka]

Ciao a tutti,
da qualche giorno mi appare sul desktop l'icona di Instant Access. Ho visto su sito di Symantec che si tratta di un dealer. L'antivirus (Norton) nonostante sia aggiornato non mi trova niente, l'ho fatto girare anche in modalità provvisoria ma nulla. Il problema che mi dà è che la connessione ogni tanto va giù (ho una ADSL). Anche se provo a cancellarlo, l'icona ritorna. Ho il log di Hijackthis, qualcuno può gentilmente controllarlo e vedere se c'è qualcosa di strano?
Grazie e ciao

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23.38.24, on 28/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\mgabg.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\PDesk\bak\PDesk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Documents and Settings\Amministratore\Desktop\Programmi vari\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programmi\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RealPlayer] "C:\Programmi\Real\RealOne Player\realplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C67B65BA-B997-49C9-9694-E5AD544478C8}: NameServer = 85.37.17.46 85.38.28.84
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 6987 bytes

[svasato]

Ciao io non sono un esperto , prova ne è il fatto che sto lottando con gli amici del forum per risolvere un altro problema .

ti ho risposto per darti la mia esperienza in fatti di Dialer , uso una connessione tradizionale 56K e ho risolto solo con trucchetto trovato su internet ....eccolo:



link

spero di esserti stato utile ... certo dopo che gli amici più esperti ti abbiano aiutato a risolvere il problema

[chemicalbit]

Benvenuto/a Vinka!

[chemicalbit]

[Vinka]

Ciao a tutti,
SharedTaskScheduler onestamente non so cosa sia, come faccio a sapere qualcosa in + su questo programma?

[Orange]

ciao, un benvenuto anche dalla parte mia!

scarica questo TOOL
clicca sull'eseguibile, si aprirà una finestra dos
premi "invio" e attendi l'apertura di una pagina del blocco notes
copia il suo contenuto e riportalo qui

[Vinka]

ciao Orange,
ecco qua

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\PROGRA~1\BITTOR~1\BAK

0 File 0 byte
2 Directory 38.925.733.888 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 38.924.750.848 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\PROGRA~1\QUICKT~1\BAK

01/01/2002 03.51 98.304 qttask.exe
1 File 98.304 byte
2 Directory 38.923.698.176 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 16.39 15.360 ctfmon.exe
09/07/2001 11.50 155.648 NeroCheck.exe
2 File 171.008 byte
2 Directory 38.922.911.744 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\PROGRA~1\ELABOR~1\CLONEDVD\BAK

02/11/2002 08.33 45.056 ElbyCheck.exe
1 File 45.056 byte
2 Directory 38.921.994.240 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 38.920.945.664 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\PROGRA~1\REAL\REALON~1\BAK

14/09/2006 23.10 1.003.520 realplay.exe
1 File 1.003.520 byte
2 Directory 38.919.962.624 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\WINDOWS\SYSTEM32\PDESK\BAK

02/03/2006 12.32 684.032 PDesk.exe
1 File 684.032 byte
2 Directory 38.919.176.192 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

14/09/2006 19.34 180.269 realsched.exe
1 File 180.269 byte
2 Directory 38.918.389.760 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: ACE3-B6AC

Directory di C:\PROGRA~1\JAVA\JRE15~1.0_1\BIN\BAK

15/12/2006 04.23 75.520 jusched.exe
1 File 75.520 byte
2 Directory 38.917.603.328 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

98304 1 Jan 2002 "C:\Programmi\QuickTime\bak\qttask.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
45056 2 Nov 2002 "C:\Programmi\Elaborate Bytes\CloneDVD\bak\ElbyCheck.exe"
1003520 14 Sep 2006 "C:\Programmi\Real\RealOne Player\bak\realplay.exe"
684032 2 Mar 2006 "C:\WINDOWS\system32\PDesk\bak\PDesk.exe"
180269 14 Sep 2006 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"
49263 26 Jul 2006 "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
75520 15 Dec 2006 "C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe"


end of report

[Orange]

ciao, scusa il ritardo con la risposta.

allora quel che devi fare ora è:
portarti alla cartella del file
C:\Programmi\QuickTime\bak\qttask.exe copiarlo e incollarlo nella cartella
C:\Programmi\QuickTime\qttask.exe sovrascrivendolo.

fai le stesse operazioni:
C:\WINDOWS\system32\bak\ctfmon.exe copia in
C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\bak\NeroCheck.exe copia in
C:\WINDOWS\system32\NeroCheck.exe

C:\Programmi\Elaborate Bytes\CloneDVD\bak\ElbyCheck.exe copia in
C:\Programmi\Elaborate Bytes\CloneDVD

C:\Programmi\Real\RealOne Player\bak\realplay.exe copia in
C:\Programmi\Real\RealOne Player\realplay.exe

C:\WINDOWS\system32\PDesk\bak\PDesk.exe copia in
C:\WINDOWS\system32\PDesk\PDesk.exe

C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe copia in
C:\Programmi\File comuni\Real\Update_OB\realsched.exe

disinstalla java ( la rimetti dopo)

scarica VirIt e fai lo scan completo
scarica ATF Cleaner
Avvia ATF cleaner clicca sul menu main e poi seleziona la casella Select All.
Se usi Firefox o Opera ripeti l'operazione anche per loro (se vuoi mantenere le password deseleziona la rispettiva casella).
Clicca sul pulsante Empty selected

nella tua risposta inserisci
log di VirIt
un nuovo log di Find AWF

[Rob è qui]

Puoi usare uno script di avenger per fare prima

link

[chemicalbit]

[imped88]

Ragazzi,il mio pc ha riscontrato lo stesso problema di quello di Vinka...vi prego datemi una mano.
Seguendo l'operazione da voi segnalata,nel bloc notes è apparso ciò:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\HOTKEY\BAK

03/04/2004 19.38 36.864 Hotkey.exe
1 File 36.864 byte
2 Directory 34.225.733.632 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\MI558C~1\BAK

04/12/2005 17.38 437.008 itype.exe
1 File 437.008 byte
2 Directory 34.225.733.632 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 34.225.729.536 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\QUICKT~1\BAK

25/10/2006 19.58 282.624 qttask.exe
1 File 282.624 byte
2 Directory 34.225.729.536 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\SYMNET~1\BAK

04/12/2006 13.32 100.056 SNDMon.exe
1 File 100.056 byte
2 Directory 34.225.729.536 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 14.00 15.360 ctfmon.exe
09/07/2001 12.50 155.648 NeroCheck.exe
2 File 171.008 byte
2 Directory 34.225.729.536 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

31/10/2003 20.42 32.768 PDVDServ.exe
1 File 32.768 byte
2 Directory 34.225.729.536 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\ELABOR~1\VIRTUA~1\BAK

20/08/2004 12.28 45.056 VCDDaemon.exe
1 File 45.056 byte
2 Directory 34.225.729.536 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

23/08/2002 13.49 50.888 ccApp.exe
24/08/2002 12.05 34.512 ccRegVfy.exe
2 File 85.400 byte
2 Directory 34.225.729.536 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\MIF408~1\MICROS~1\BAK

04/06/2005 18.06 301.776 EDICT.EXE
1 File 301.776 byte
2 Directory 34.225.729.536 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\SLYSOFT\ANYDVD\BAK

21/01/2006 17.36 458.752 AnyDVD.exe
1 File 458.752 byte
2 Directory 34.225.729.536 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\DOCUME~1\BEATRICE\IMPOST~1\TEMP\BAK

05/07/2006 12.56 65.536 irmxca.exe
1 File 65.536 byte
2 Directory 34.225.721.344 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

11/12/2006 15.53 185.896 realsched.exe
1 File 185.896 byte
2 Directory 34.225.721.344 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~1\121128~1.546\BAK

14/02/2007 13.20 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 34.225.721.344 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

28/09/2004 21.26 32.881 jusched.exe
1 File 32.881 byte
2 Directory 34.225.721.344 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

36864 3 Apr 2004 "C:\Programmi\Hotkey\bak\Hotkey.exe"
24076 5 Apr 2007 "C:\Programmi\Microsoft IntelliType Pro\itype.exe"
437008 4 Dec 2005 "C:\Programmi\Microsoft IntelliType Pro\bak\itype.exe"
437008 4 Dec 2005 "C:\Programmi\Microsoft IntelliType Pro 5.5\IType\Setup\Files\itype.exe"
24076 5 Apr 2007 "C:\Programmi\QuickTime\qttask.exe"
282624 25 Oct 2006 "C:\Programmi\QuickTime\bak\qttask.exe"
24076 5 Apr 2007 "C:\Programmi\SymNetDrv\SNDMon.exe"
100056 4 Dec 2006 "C:\Programmi\SymNetDrv\bak\SNDMon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
24076 5 Apr 2007 "C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe"
32768 31 Oct 2003 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
24076 5 Apr 2007 "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe"
45056 20 Aug 2004 "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\bak\VCDDaemon.exe"
24076 5 Apr 2007 "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
50888 23 Aug 2002 "C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe"
24076 5 Apr 2007 "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
34512 24 Aug 2002 "C:\Programmi\File comuni\Symantec Shared\bak\ccRegVfy.exe"
24076 5 Apr 2007 "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE"
301776 4 Jun 2005 "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\bak\EDICT.EXE"
24076 5 Apr 2007 "C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe"
458752 21 Jan 2006 "C:\Programmi\SlySoft\AnyDVD\bak\AnyDVD.exe"
24076 5 Apr 2007 "C:\Documents and Settings\Beatrice\Impostazioni locali\Temp\irmxca.exe"
65536 5 Jul 2006 "C:\Documents and Settings\Beatrice\Impostazioni locali\Temp\bak\irmxca.exe"
24076 5 Apr 2007 "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"
185896 11 Dec 2006 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"
52272 14 Feb 2007 "C:\Programmi\Google\googletoolbar3user.exe"
69632 31 Oct 2006 "C:\Programmi\Google\Google Earth\googleearth.exe"
619536 11 Dec 2006 "C:\Programmi\File comuni\Real\GToolbar\GoogleToolbarInstaller.exe"
138168 14 Feb 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
24076 5 Apr 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe"
171448 14 Feb 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
24076 5 Apr 2007 "C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe"
32881 28 Sep 2004 "C:\Programmi\Java\j2re1.4.2_06\bin\bak\jusched.exe"


end of report



GRAZIE...
Bea

[Orange]

ciao, benvenuto/a!

Scarica The Avenger e decomprimilo sul desktop
Avvialo, seleziona Input Script Manually
clicca sulla lente di ingrandimento.
nella finestra che si aprirà View/edit script copia questo script:

Citazione:

Files to delete: C:\Programmi\Microsoft IntelliType Pro\itype.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\SymNetDrv\SNDMon.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\NeroCheck.exe C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe C:\Documents and Settings\Beatrice\Impostazioni locali\Temp\irmxca.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe Files to move: C:\Programmi\Microsoft IntelliType Pro\bak\itype.exe | C:\Programmi\Microsoft IntelliType Pro\itype.exe C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe C:\Programmi\SymNetDrv\bak\SNDMon.exe | C:\Programmi\SymNetDrv\SNDMon.exe C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe C:\Programmi\Elaborate Bytes\VirtualCloneDrive\bak\VCDDaemon.exe | C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\Programmi\File comuni\Symantec Shared\bak\ccRegVfy.exe | C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\bak\EDICT.EXE | C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE C:\Programmi\SlySoft\AnyDVD\bak\AnyDVD.exe | C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe C:\Documents and Settings\Beatrice\Impostazioni locali\Temp\bak\irmxca.exe | C:\Documents and Settings\Beatrice\Impostazioni locali\Temp\irmxca.exe C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe | C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programmi\Java\j2re1.4.2_06\bin\bak\jusched.exe | C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe

Clicca sul tasto Done
Poi sull'icona del semaforo
Rispondi Yes
Il PC dovrebbe riavviarsi ( se così non fosse, fallo tu)
Rifai il log con FindAWF e copialo qui, insieme con log di Avenger

[imped88]

eccomi...allora:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vyqptcia

*******************

Script file located at: \??\C:\WINDOWS\system32\hwsynfnl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programmi\Microsoft IntelliType Pro\itype.exe deleted successfully.
File C:\Programmi\QuickTime\qttask.exe deleted successfully.
File C:\Programmi\SymNetDrv\SNDMon.exe deleted successfully.
File C:\WINDOWS\system32\ctfmon.exe deleted successfully.
File C:\WINDOWS\system32\NeroCheck.exe deleted successfully.
File C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe deleted successfully.
File C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe deleted successfully.
File C:\Programmi\File comuni\Symantec Shared\ccApp.exe deleted successfully.
File C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe deleted successfully.
File C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE deleted successfully.
File C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe deleted successfully.
File C:\Documents and Settings\Beatrice\Impostazioni locali\Temp\irmxca.exe deleted successfully.
File C:\Programmi\File comuni\Real\Update_OB\realsched.exe deleted successfully.
File C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe deleted successfully.
File C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe deleted successfully.
File move operation C:\Programmi\Microsoft IntelliType Pro\bak\itype.exe|C:\Programmi\Microsoft IntelliType Pro\itype.exe completed successfully.
File move operation C:\Programmi\QuickTime\bak\qttask.exe|C:\Programmi\QuickTime\qttask.exe completed successfully.
File move operation C:\Programmi\SymNetDrv\bak\SNDMon.exe|C:\Programmi\SymNetDrv\SNDMon.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.
File move operation C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe|C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe completed successfully.
File move operation C:\Programmi\Elaborate Bytes\VirtualCloneDrive\bak\VCDDaemon.exe|C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe completed successfully.
File move operation C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe|C:\Programmi\File comuni\Symantec Shared\ccApp.exe completed successfully.
File move operation C:\Programmi\File comuni\Symantec Shared\bak\ccRegVfy.exe|C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe completed successfully.
File move operation C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\bak\EDICT.EXE|C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE completed successfully.
File move operation C:\Programmi\SlySoft\AnyDVD\bak\AnyDVD.exe|C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe completed successfully.
File move operation C:\Documents and Settings\Beatrice\Impostazioni locali\Temp\bak\irmxca.exe|C:\Documents and Settings\Beatrice\Impostazioni locali\Temp\irmxca.exe completed successfully.
File move operation C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe|C:\Programmi\File comuni\Real\Update_OB\realsched.exe completed successfully.
File move operation C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe|C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe completed successfully.
File move operation C:\Programmi\Java\j2re1.4.2_06\bin\bak\jusched.exe|C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe completed successfully.

Completed script processing.

*******************

Finished! Terminate.

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\HOTKEY\BAK

03/04/2004 19.38 36.864 Hotkey.exe
1 File 36.864 byte
2 Directory 34.223.276.032 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\MI558C~1\BAK

0 File 0 byte
2 Directory 34.223.276.032 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\SYMNET~1\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\ELABOR~1\VIRTUA~1\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\MIF408~1\MICROS~1\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\SLYSOFT\ANYDVD\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\DOCUME~1\BEATRICE\IMPOST~1\TEMP\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

0 File 0 byte
2 Directory 34.223.271.936 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~1\121128~1.546\BAK

0 File 0 byte
2 Directory 34.223.267.840 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: E4F4-D9D1

Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

0 File 0 byte
2 Directory 34.223.267.840 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

36864 3 Apr 2004 "C:\Programmi\Hotkey\bak\Hotkey.exe"


end of report

[Orange]

riscontri ancora problemi?

[imped88]

Ehm si...
Controllando tra le mie connessioni di rete,ho avuto modo di notare di averne una mai vista in precedenza,ossia:"connessione remota:Motorola SM56 Speakerphone Modem" che mi crea parecchi problemi in quanto spesso interrompe la connessione a banda larga Minport WAN (PPPOE) mostrando una finestra riportante una frase simile a questa:"Please check connection".
Che posso fare?
Grazie

[Rob è qui]

[Orange]

Bè, quella connessione la devi eliminare..
non te l'avevo detto, perche di solito è la prima cosa che fanno quelli che incontrano un dialer. Scusa-- migliorerò!

per sicurezza rifai il log con FindAWF e controlla che tutte le cartelle BAK risultano vuote.
cioè:

[persefone]

ciao, mi chiamo valeria. appena ho tempo mi presenterò nella sezione adatta.
mi sono appena iscritta a questo utile forum, perchè ho visto molta gente incappata nello stesso maledetto virus negli ultimi giorni. ho seguito nella foga della lettura e della disperazione quasi tutti i vostri consigli.
ho sostituito manualmente i file delle cartelle bak con quelli infetti. ora vorrei sapere se è indispensabile che le cartelle bak siano vuote. so che con avengers mi si riavvierebbe il pc. siccome ci sto lavorando vorrei evitare questo fastidio immenso.
intanto grazie perchè mi sembra di aver risolto.

p.s. in quanto a chi per mestiere o per divertimento crea questi eseguibili automatici, queste armi di distruzione di massa, queste piaghe d'egitto...
che le mie maledizioni ricadano sulle loro teste e su quelle dei loro discendenti per ora e per sempre nei millenni a venire!

[Orange]

[persefone]

NON ME LO FACCIO RIPETERE : 8)
Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\D-TOOLS\BAK

0 File 0 byte
2 Directory 32.479.502.336 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\I-STOR~1\BAK

0 File 0 byte
2 Directory 32.479.502.336 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 19.27 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 32.479.498.240 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK

0 File 0 byte
2 Directory 32.479.498.240 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\GRISOFT\AVG7\BAK

0 File 0 byte
2 Directory 32.479.498.240 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\HP\HPCORE~1\BAK

0 File 0 byte
2 Directory 32.479.498.240 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\HP\HPSOFT~1\BAK

0 File 0 byte
2 Directory 32.479.498.240 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\MID031~1\MICROS~2\BAK

0 File 0 byte
2 Directory 32.479.498.240 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\SLYSOFT\CLONECD\BAK

0 File 0 byte
2 Directory 32.479.498.240 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

0 File 0 byte
2 Directory 32.479.498.240 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: CC85-08CC

Directory di C:\PROGRA~1\JAVA\JRE15~1.0_1\BIN\BAK

0 File 0 byte
2 Directory 32.479.498.240 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"


end of report

qul bak restante non me lo cancella, dice che potrebbe danneggiare qualche programma. cmq ho controllato e l'ultima modifica risale a mesi fa, mentre tutti gli altrri erano datati 18 aprile. la data dell'apocalisse.

grazie a tutti, sembra che il pericolo sia passato.
ahime ho paura di accenderlo domattina...

ho passato anche il VIRit, dopo tutto questo e risultano 0 file infetti.