Precedente :: Successivo |
Autore |
Messaggio |
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 12 Giu 2007 22:06 Oggetto: whataboutarabit e whataboutadog |
|
|
salve a tutti
chiedo a voi consiglio perchè ormai la disperazione sta prendendo il sopravvento
tempo fa mi è apparsa su temp la micidiale icona con labbra rosse seguita poi dalla nuova connessione a instant access, cancellato tutto e fixato ma nn risolto problema
ora puntualmente mi compare sulla cartella temp un paio di file uno dat e l'altro pid
il primo è un numero il secondo è abc123
cancello e fixo ma il giorno dopo riappare
sulla cronologia mi ricompare dopo un po il collegamento ai siti in oggetto
dopo ore perse in ricerche in rete non ho risolto nulla (forse perchè non ho ancora capito cosa sono i famosi bak???)
utilizzo avast, a-squared, spyware terminator.
esiste un programma x risolvere senza smanettare per forza tra i file ?? grazie dell'aiuto |
|
Top |
|
|
kevin Moderatore Caffè dell'Olimpo
Registrato: 08/02/07 09:52 Messaggi: 15785 Residenza: Qui se guardi da lì
|
Inviato: 12 Giu 2007 22:16 Oggetto: |
|
|
ciao Adamus, potresti postare un log di HJT ? |
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 12 Giu 2007 23:06 Oggetto: |
|
|
kevin ha scritto: | ciao Adamus, potresti postare un log di HJT ? |
ecco fatto...
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\soundman.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\Rar$EX00.236\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [CleanUp!] C:\Programmi\CleanUp!\Cleanup.exe /WindowsRestart
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.76\AMVConverter\grab.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.76\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7940FED-AEED-47B7-A7BA-B50A80EFBA1A}: NameServer = 85.37.17.8 85.38.28.73
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe |
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 12 Giu 2007 23:08 Oggetto: |
|
|
kevin ha scritto: | ciao Adamus, potresti postare un log di HJT ? |
e questo è il log awf
bak folders found
~~~~~~~~~~~
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\LEXMAR~1\BAK
19/08/2003 17.01 57.344 lxbkbmgr.exe
1 File 57.344 byte
2 Directory 10.495.582.208 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\UNLOCKER\BAK
07/09/2006 19.19 15.872 UnlockerAssistant.exe
1 File 15.872 byte
2 Directory 10.495.582.208 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\WINDOWS\SYSTEM32\BAK
09/07/2001 10.50 155.648 NeroCheck.exe
1 File 155.648 byte
2 Directory 10.495.578.112 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\ALCATEL\SPEEDT~1\BAK
03/05/2002 10.40 4.341.760 Dragdiag.exe
1 File 4.341.760 byte
2 Directory 10.495.578.112 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK
30/04/2007 17.42 75.392 ashDisp.exe
1 File 75.392 byte
2 Directory 10.495.578.112 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\LANGUAGE\BAK
13/04/2006 11.09 49.152 Language.exe
1 File 49.152 byte
2 Directory 10.495.578.112 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK
24/11/2005 15.38 94.208 NMBgMonitor.exe
1 File 94.208 byte
2 Directory 10.495.578.112 byte disponibili
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
23568 4 Jun 2007 "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
57344 19 Aug 2003 "C:\Programmi\Lexmark X1100 Series\bak\lxbkbmgr.exe"
23568 4 Jun 2007 "C:\Programmi\Unlocker\UnlockerAssistant.exe"
15872 7 Sep 2006 "C:\Programmi\Unlocker\bak\UnlockerAssistant.exe"
23568 4 Jun 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINNT\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
23568 4 Jun 2007 "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe"
4341760 3 May 2002 "C:\Programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe"
4341760 1 Jan 1980 "C:\Documents and Settings\Utente\Documenti\speedtouchusb16\SpeedTouchUSB16\Programs\dragdiag.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
23568 4 Jun 2007 "C:\Programmi\CyberLink\PowerDVD\Language\Language.exe"
49152 13 Apr 2006 "C:\Programmi\CyberLink\PowerDVD\Language\bak\Language.exe"
23568 4 Jun 2007 "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
94208 24 Nov 2005 "C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe" |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 13 Giu 2007 07:05 Oggetto: |
|
|
Per problemi di malware (virus, spyware, adware, etc) devi postare in pronto soccorso.
Orange, puoi spostare il topic? |
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 13 Giu 2007 13:02 Oggetto: |
|
|
bdoriano ha scritto: | Per problemi di malware (virus, spyware, adware, etc) devi postare in pronto soccorso.
Orange, puoi spostare il thread? |
scusate ma come ho detto in precedente post sono nuovo....
stamane all'avvio del pc sulla temp trovo questo file: abc123.pid
sulle connessioni trovo questa nuova : Connection
peste li colga sti dannati |
|
Top |
|
|
kevin Moderatore Caffè dell'Olimpo
Registrato: 08/02/07 09:52 Messaggi: 15785 Residenza: Qui se guardi da lì
|
Inviato: 13 Giu 2007 13:25 Oggetto: |
|
|
Citazione: | scusate ma come ho detto in precedente post sono nuovo.... |
infatti
ragazzi, colpa mia che gli ho chiesto il log di là! sorry |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 13 Giu 2007 15:28 Oggetto: |
|
|
ciao, Adamus, benvenuto.
scarica The Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/edit script copia/incolla seguente:
Citazione: | Files to delete:
C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
Files to move:
C:\Programmi\Lexmark X1100 Series\bak\lxbkbmgr.exe | C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programmi\Unlocker\bak\UnlockerAssistant.exe | C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe | C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\CyberLink\PowerDVD\Language\bak\Language.exe | C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe | C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe |
clicca su Done
poi sull'icona del semaforo
rispondi Yes (il PC dovrebbe riavviarsi, se cosi non fosse riavvialo manualmente)
metti qui il log di Avenger e uno nuovo di FindAWF |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 13 Giu 2007 17:05 Oggetto: |
|
|
Adamus ha scritto: | bdoriano ha scritto: | Per problemi di malware (virus, spyware, adware, etc) devi postare in pronto soccorso.
Orange, puoi spostare il thread? |
scusate ma come ho detto in precedente post sono nuovo....
|
Scusami, non era mia intenzione essere brusco.
Ho solo voluto avvisarti che non era il posto giusto.
Nella fretta ho dimenticato di inserire le faccine di rito.
Comunque, benvenuto! |
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 13 Giu 2007 23:19 Oggetto: |
|
|
Grazie mille dell'aiuto Orange
ecco i file aggiornati:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gqulhkvn
*******************
Script file located at: \??\C:\Documents and Settings\uumioxiu.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe deleted successfully.
File C:\Programmi\Unlocker\UnlockerAssistant.exe deleted successfully.
File C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe deleted successfully.
File C:\Programmi\CyberLink\PowerDVD\Language\Language.exe deleted successfully.
File C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe deleted successfully.
File move operation C:\Programmi\Lexmark X1100 Series\bak\lxbkbmgr.exe|C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe completed successfully.
File move operation C:\Programmi\Unlocker\bak\UnlockerAssistant.exe|C:\Programmi\Unlocker\UnlockerAssistant.exe completed successfully.
File move operation C:\Programmi\Alcatel\SpeedTouch USB\bak\Dragdiag.exe|C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe completed successfully.
File move operation C:\Programmi\CyberLink\PowerDVD\Language\bak\Language.exe|C:\Programmi\CyberLink\PowerDVD\Language\Language.exe completed successfully.
File move operation C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe|C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe completed successfully.
Completed script processing.
*******************
Finished! Terminate.
Find AWF report by noahdfear ©2006
bak folders found
~~~~~~~~~~~
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\LEXMAR~1\BAK
0 File 0 byte
2 Directory 10.489.982.976 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\UNLOCKER\BAK
0 File 0 byte
2 Directory 10.489.982.976 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\WINDOWS\SYSTEM32\BAK
09/07/2001 10.50 155.648 NeroCheck.exe
1 File 155.648 byte
2 Directory 10.489.978.880 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\ALCATEL\SPEEDT~1\BAK
0 File 0 byte
2 Directory 10.489.978.880 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK
30/04/2007 17.42 75.392 ashDisp.exe
1 File 75.392 byte
2 Directory 10.489.978.880 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\LANGUAGE\BAK
0 File 0 byte
2 Directory 10.489.978.880 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: D8C1-B525
Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK
0 File 0 byte
2 Directory 10.489.978.880 byte disponibili
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
23568 4 Jun 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINNT\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
end of report
sulla stringa 015 di HjT è comparso ancora arabit e l'ho fixato
speriamo bene....
Adamus |
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 13 Giu 2007 23:26 Oggetto: |
|
|
bdoriano ha scritto: | Adamus ha scritto: | bdoriano ha scritto: | Per problemi di malware (virus, spyware, adware, etc) devi postare in pronto soccorso.
Orange, puoi spostare il thread? |
scusate ma come ho detto in precedente post sono nuovo....
|
Scusami, non era mia intenzione essere brusco.
Ho solo voluto avvisarti che non era il posto giusto.
Nella fretta ho dimenticato di inserire le faccine di rito.
Comunque, benvenuto! |
grazie dell'accortezza,
infatti non l'ho presa male: è sempre un bene che ci sia qualcuno che si preoccupi di indirizzarti nel modo corretto... |
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 14 Giu 2007 08:06 Oggetto: Repetita iuvant |
|
|
salve a tutti e buona giornata
stamane all'accensione del pc la situazione che si presenta è questa:
nella cartella temp trovo: abc123.pid
lancio HjT ed il log è il seguente:
Logfile of HijackThis v1.99.1
Scan saved at 9.01.43, on 14/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\Utente\IMPOST~1\Temp\Rar$EX00.417\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.76\AMVConverter\grab.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.76\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7940FED-AEED-47B7-A7BA-B50A80EFBA1A}: NameServer = 85.37.17.8 85.38.28.73
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
awf è lo stesso postato ieri sera.
il cane arabo è ancora lì.....
provo col martello ???
grazie dell'aiuto che mi darete so di poter contare su di voi (mandatemi l'indirizzo che vi spedisco una torta )
[/b] |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 14 Giu 2007 10:41 Oggetto: |
|
|
sta diventando di moda questo trojan...
allora:
fissa le stringhe 015 di HiJack
apri il registro Start/Esegui digita regedit/OK
trova questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
nella finestra di destra assicurati che non compare il valore "Lexmark_X79-55" = "%System%\lsasss.exe" (se c'è cancellalo)
trova e se c'è cancella la chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\me.
scarica Del Domains ed eseguilo (se l'antivirus te lo segnala come pericoloso, ignoralo)
(dopo averlo decompresso, click con il tasto destro sul file e seleziona Installa)
serve a riparare la "trusted zone".
dai una ripulita ai files temporanei con CCleaner |
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 14 Giu 2007 19:59 Oggetto: |
|
|
ciao Orange, grazie dell'aiuto
la stringa l'ho fissata (ormai lo faccio di prassi...)
ho verificato sul regedit ma non ho trovato nulla, tranne sul run- (quello dopo col trattino che c'era qualcosa di simile ma nn uguale ( volevo uppare l'immagine ma non so come si faccia....
Lexmark X1100 Series "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
Del Domains l'ho scaricato ma non l'ho installato perchè non sapevo se fosse conseguenziale all'intervento su Regedit o meno: che faccio ?
per ripulire i file temporanei utilizzo (dopo ogni connessione ma ultimamente anche a random) CleanUp, che dici va bene o è meglio scaricare CCleaner
ciao e grazie mille
[/img] |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 15 Giu 2007 14:43 Oggetto: |
|
|
Adamus ha scritto: | ho verificato sul regedit ma non ho trovato nulla, tranne sul run-
Lexmark X1100 Series "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe" | no, non credo che c'entra qualcosa...
usi la stampante Lexmark?
Adamus ha scritto: | Del Domains l'ho scaricato ma non l'ho installato perchè non sapevo se fosse conseguenziale all'intervento su Regedit o meno: che faccio ? | installalo lo stesso.
Adamus ha scritto: | per ripulire i file temporanei utilizzo (dopo ogni connessione ma ultimamente anche a random) CleanUp, che dici va bene o è meglio scaricare CCleaner | non conosco CleanUp, ma se fà lo stesso "lavoro" di CCleaner, direi che va bene. |
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 17 Giu 2007 14:22 Oggetto: |
|
|
Orange ha scritto: | Adamus ha scritto: | ho verificato sul regedit ma non ho trovato nulla, tranne sul run-
Lexmark X1100 Series "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe" | no, non credo che c'entra qualcosa...
usi la stampante Lexmark?
Si uso Lexmark X1100
Adamus ha scritto: | Del Domains l'ho scaricato ma non l'ho installato perchè non sapevo se fosse conseguenziale all'intervento su Regedit o meno: che faccio ? | installalo lo stesso.
Installato
Adamus ha scritto: | per ripulire i file temporanei utilizzo (dopo ogni connessione ma ultimamente anche a random) CleanUp, che dici va bene o è meglio scaricare CCleaner | non conosco CleanUp, ma se fà lo stesso "lavoro" di CCleaner, direi che va bene. |
Suppongo faccia lo stesso lavoro xchè cancella i file temporanei, ogni sera li cancello li cancello anche da opzioni internet di I.E. (devo decidermi ad usare F.F.)
fatto tutto questo riavvio e mi ritrovo, puntuale come un'orologio svizzero, il file abc123 su Temp, arabit su HjT e la connessione nuova sul pannello.
devo aggiungere anche alcune cose:
1 ultimamente (dopo che mi ero ritrovato connesso con la nuova connessione e l'avevo cancellata) per connettermi evo cliccare sull'icona "Collegamento a Alcatel SpeedTouch ADSL Modem", perchè se clicco l'icona di I.E. rimane in attesa a lungo e non combina niente, forse mi ha cambiato qualche impostazione ?
2 tutto questo potrebbe essere iniziato qualche sett fa quando mi ritrovai sulla cartella Temp l'inquietante icona delle labbra rosse ?
Domandona: avendo l'ADSL e nessun collegamento alla presa con altri modem dovrei cmq essere tranquillo no ?
non ci sto a capì più niente, e pensare che proprio 2 mesi fa ho dovuto reinstallare W XP per schifezze del genere.
grazie degli aiuti.... |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 17 Giu 2007 15:03 Oggetto: |
|
|
Proviamo un altro approccio...
Scarica questo e scompattalo in una sua cartella non temporanea.
Avvialo
clicca su > > >
Clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.
Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato. |
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 18 Giu 2007 08:22 Oggetto: |
|
|
grazie bdoriano,
provo subito
|
|
Top |
|
|
Adamus Eroe
Registrato: 07/06/07 22:36 Messaggi: 56
|
Inviato: 18 Giu 2007 08:56 Oggetto: |
|
|
Ecco i log:
http://www.freefilehosting.net/download/MjI0ODMy
http://www.freefilehosting.net/download/MjI0ODMz
incrociamo le dita
|
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 18 Giu 2007 11:52 Oggetto: |
|
|
@BD:
nel log Rootkit è presente (di nuovo) C:\WINDOWS\system32\Drivers\mchInjDrv.sys
lo stesso di twinky.... (stesso problema)
qualche idea? |
|
Top |
|
|
|