Olimpo Informatico

[Angelfire60]

Stesso problema anche io temp2.exe, di seguito posto il log della scansione di Hijackthis. Ah volevo dire che il floppy si accende tentando di leggere qualcosa.
I link per scaricare i tools mi danno file not found!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19.09.48, on 27/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Mozilla Firefox\firefox.exe
F:\Tools\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul1.dll
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul1.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Multi Media Italy Toolbar - {2e6f36ce-1217-4ba1-982f-24560c0eb677} - C:\Programmi\Multi_Media_Italy\tbMul1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\Titan Poker\casino.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8601C644-E450-459D-BE48-A947ABACB752}: NameServer = 62.211.69.150 212.48.4.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD14E06D-5949-4AB4-86DA-E0018CE3094F}: NameServer = 151.99.125.2,151.99.125.3
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5993 bytes

[Orange]

ciao

Per eliminare il problema temp1.exe scarica questo tool e fai lo scan



disattiva il ripristino e avvia in modalità provvisoria
avvia HiJack, seleziona Do a system scan only, metti la spunta alle voci indicate e premi Fix checked:

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

segui le indicazioni di questo topic e posta i log di Gmer

[Angelfire60]

Dunque ho eseguito tutto alla lettera, solo che ho avuto problemi con la connessione, non so se e' un fattomomentaneo telecom o c'entra qualcosa perche' ho disattivato il ripristino della configurazione, vabbuo' poi vediamo.
La linea da fixare non l'ho trovata....mi ragguagli?
Ora ti posto i due indirizzi dei logs di gmer. Fammi sapere thank.

Nuovo Documento di testo12.txt

Nuovo Documento di testo (2).txt

[Orange]

[Angelfire60]

Ho postato due indirizzi....e' il secondo. Uhmm..ho ricontrollato sembrano identici...bho semmai lo rifaccio, anche se alla fine nella finestra non c'era nulla da copiare dopo la scansione rootkit.

P.S. mi sembra che se reinfilo la pen drive riparte il problema del floppy che riprende a gracchiare.....devo fare una passata di antivirus sulla pen drive?

PP.SS. Scusa se ho pastrocchiato qualcosa, andavo di fretta ieri sera e inoltre la connessione telecom ha deciso di restituirmi un errore TCP/IP proprio dopo aver modificato il ripristino della configurazione, capirai il panico, in quanto attribuivo ai pacioccamenti fatti e sono andato letteralmente in tilt!
Comunque grazie di tutto....

[Orange]

[Angelfire60]

No, non ancora...ora sto dal PC dell'ufficio...lo faccio appena torno e ti faccio il resoconto di tutto...anche perche' devo fare la stessa procedura qui in ufficio per lo stesso problema su un paio di pc!!

[Angelfire60]

...ho rifatto la scansione, ma quella riga non c'e' nel report, quindi non ho potuto fixarla.....sai dirmi qualcosa in proposito?

[Orange]

[Angelfire60]

Ho fatto lavorare Kasper....qualcosa l'ha trovata ti posto di seguito il link del report. Ho fatto fare un giro anche sulla pen drive, e' pulita.
Ecco il report:

http://www.freefilehosting.net/download/MjUy

[Orange]

[Angelfire60]

File not found???
Vabbuo', te lo incollo appresso tanto e' piccolo:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Saturday, September 29, 2007 8:08:55 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.93.1
Kaspersky Anti-Virus database last update: 29/09/2007
Kaspersky Anti-Virus database records: 424829
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 79541
Number of viruses found: 4
Number of infected objects: 12
Number of suspicious objects: 0
Duration of the scan process: 00:38:07

Infected Object Name / Virus Name / Last Action
C:\avenger\backup.zip/avenger/boreseek.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\avenger\backup.zip/avenger/boreseek.exe-ren-184 Infected: Trojan.Win32.Obfuscated.dr skipped
C:\avenger\backup.zip/avenger/GoogleToolbarNotifier.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\avenger\backup.zip/avenger/jusched.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\avenger\backup.zip/avenger/msmsgs.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\avenger\backup.zip/avenger/NeroCheck.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\avenger\backup.zip/avenger/NMBgMonitor.exe Infected: Trojan-Downloader.Win32.Agent.awf skipped
C:\avenger\backup.zip ZIP: infected - 7 skipped
C:\Documents and Settings\Gildo\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Dati applicazioni\Ahead\Nero Home\bl.db Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Dati applicazioni\Ahead\Nero Home\bl.db-journal Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Dati applicazioni\Ahead\Nero Home\is2.db Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Dati applicazioni\Ahead\Nero Home\is2.db-journal Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Temp\1184072421.dat.exe Infected: not-a-virus:Porn-Dialer.Win32.InstantAccess.as skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Temp\~DF5C40.tmp Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Temp\~DFABBF.tmp Object is locked skipped
C:\Documents and Settings\Gildo\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\Gildo\ntuser.dat Object is locked skipped
C:\Documents and Settings\Gildo\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{590CD225-851F-4551-83FD-96DD257EAB6D}\RP4\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\ModemLog_PCI SoftV92 Modem.txt Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
F:\C6 Messenger\FileTransfer\ex_vigilantes\1.7.17.0.wgatray.exe_fastest_BitTorrent_downloader.zip/BitDownload-3.0-setup.exe/file12 Infected: Trojan.Win32.Inject.ba skipped
F:\C6 Messenger\FileTransfer\ex_vigilantes\1.7.17.0.wgatray.exe_fastest_BitTorrent_downloader.zip/BitDownload-3.0-setup.exe Infected: Trojan.Win32.Inject.ba skipped
F:\C6 Messenger\FileTransfer\ex_vigilantes\1.7.17.0.wgatray.exe_fastest_BitTorrent_downloader.zip ZIP: infected - 2 skipped
F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.

[Orange]

hai avuto problemi con Instant Access?

scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:

[Angelfire60]

Si avuto problemi con instant access, ma li abbiamo gia' risolti, almeno credo. Comuqnue ho fatto anche la scansione con AWF, e ti posto il log.
Dovrebbe essere tutto a posto.....

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: A468-D6BA

Directory di C:\PROGRA~1\ESET\BAK

0 File 0 byte
2 Directory 94.538.833.920 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: A468-D6BA

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 94.538.833.920 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: A468-D6BA

Directory di C:\WINDOWS\SYSTEM32\BAK

30/08/2004 22.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 94.538.829.824 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: A468-D6BA

Directory di C:\PROGRA~1\GRISOFT\AVG7\BAK

23/03/2007 22.32 411.648 avgcc.exe
1 File 411.648 byte
2 Directory 94.538.829.824 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: A468-D6BA

Directory di C:\DOCUME~1\ALLUSE~1\DATIAP~1\DEFAUL~1\BAK

0 File 0 byte
2 Directory 94.538.829.824 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: A468-D6BA

Directory di C:\DOCUME~1\GILDO\DATIAP~1\2NAME~1\BAK

0 File 0 byte
2 Directory 94.538.829.824 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: A468-D6BA

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

0 File 0 byte
2 Directory 94.538.829.824 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: A468-D6BA

Directory di C:\PROGRA~1\JAVA\JRE15~1.0_1\BIN\BAK

0 File 0 byte
2 Directory 94.538.829.824 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 30 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 30 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
411648 23 Mar 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"


end of report

[Orange]

infatti è pulito

hai fatto quell'operazione con Avenger?

[Angelfire60]

Si, fatto. Pare che sia tutto ok. Ti ringrazio per la disponibilita' e per la competenza.

[Orange]

mi fà piacere che hai risolto

se vuoi presentarti alla comunità "divina" del Olimpo ti aspettiamo al nostro speciale Comitato d'accoglienza.



[mod. promozione ON]
vorresti partecipare alla seconda sfida fotografica dell'Olimpo Informatico?
Al primo classificato verrà assegnato in premio una videocamera digitale Axis 207
molti altri premi in palio
L'iscrizione e la partecipazione gratuita
Le regole e modalità del concorso disponibili a questo indirizzo
[mod. promozione OFF]