|
| Precedente :: Successivo |
| Autore |
Messaggio |
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
 Inviato: 02 Gen 2008 22:24 Oggetto: [risolto] TROJAN HORSE AGENT.MIY |
 |
|
Ciao a tutti.
Volevo un consiglio e un parere.
AVG mi ha rilevato, mentre eseguivo il programma realplayer, un trojan Horse agent.miy nel file realsched.exe. L'ho spostato nella "Virus Vault" (credo sia la quarantena di AVG) e successivamente l'ho eliminato.
Secondo voi si tratta di un virus effettivo o di un falso allarme?
Devo fare qualche altro controllo?
Grazie
so: wINDOWS WP SP2
Antiv.: AVG free Edition 7.5.516
Firewall: Jetico personal Firewall 1.0.1
Questo log di HJT
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.28.17, on 02/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Programmi\ASUS\ASUS Remote\RemoteControlAppl.exe
C:\Programmi\SSC Service Utility\ssc_serv.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe
C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
M:\Downloads\DTemp\DTemp.exe
C:\Programmi\Html2pop3\html2pop3.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Outlook Express\msimn.exe
C:\WINDOWS\Explorer.EXE
M:\Downloads\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istitutocomprensivoisola.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: (no name) - {E5F4BF99-EF9B-46A6-AB88-ACC6DB18BA3F} - C:\WINDOWS\system32\ZLip1020.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {3F756BC4-26CB-497E-9409-8F09C1850C80} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUS\ASUS Remote\RemoteControlAppl.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programmi\SSC Service Utility\ssc_serv.exe /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Corel Family & Friends Reminders.LNK = C:\Programmi\Corel\Print House Magic\cffrem.exe
O4 - Global Startup: DTemp.lnk = M:\Downloads\DTemp\DTemp.exe
O4 - Global Startup: Html2pop3.lnk = C:\Programmi\Html2pop3\html2pop3.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {131EB16C-BD58-443F-8151-6DFBB0DA1778} - http://install.anark.com/client/version3/windows-ie/en/AMClient.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BCB8EC5-7ACD-42A7-929B-A6D2592478FA}: NameServer = 213.205.32.70 213.205.36.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{209CD2EE-199E-41F4-AF46-88EF07DB63D5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BCB8EC5-7ACD-42A7-929B-A6D2592478FA}: NameServer = 213.205.32.70 213.205.36.70
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe
--
End of file - 10664 bytes
Questo il log di AVG:
<rec time="2008/01/02 15:05:49" user="utente" source="Virus">
<value>@HL_ReportFindRS</value>
<attr name="filename">C:\Programmi\File comuni\Real\Update_OB\realsched.exe</attr>
<attr name="finding">@EID_Id_trj</attr>
<attr name="virusname">Agent.MIY</attr>
</rec>
- <rec time="2008/01/02 15:06:11" user="utente" source="Virus">
<value>@HL_ActionTaken</value>
<attr name="filename">C:\Programmi\File comuni\Real\Update_OB\realsched.exe</attr>
<attr name="action">@HL_ActVVInserted</attr>
</rec>
Grazie |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 03 Gen 2008 16:24 Oggetto: |
|
|
Ho scaricato ComboFix sul Desktop, ma dopo acerlo lanciato mi è apparso un messaggio di errore che mi dice applicazione di Win32 non valida.
Ossia? |
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 03 Gen 2008 16:53 Oggetto: |
|
|
Ma cosa accade??
Ho scaricato combofix dal 2° link e lanciato il programma.
Alla fine non riuscivo a vedere più il mio 2° Hard Disk.
Ho dovut ripristinare il sistema ad un punto precedente per visualizzarlo nuovamente. Cosa mi ha fatto ComboFix??
Questo è il suo log:
ComboFix 08-01-03.4 - utente 2008-01-03 15.26.44.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1040.18.484 [GMT 1:00]
Eseguito da: C:\Documents and Settings\utente\Desktop\ComboFix(2).exe
* Creato nuovo punto di ripristino
.
((((((((((((((((((((((((( Files Creati Da 2007-12-03 al 2008-01-03 )))))))))))))))))))))))))))))))))))
.
2008-01-03 15:26 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-02 21:40 . 2008-01-02 21:40 <DIR> d-------- C:\Programmi\File comuni\xing shared
2007-12-22 15:15 . 2007-12-22 15:17 11,036 --a------ C:\WINDOWS\system32\EPPICResdb0001
2007-12-20 00:05 . 1998-08-05 08:45 150,528 --a------ C:\WINDOWS\system32\MSCMCIT.DLL
2007-12-20 00:05 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2007-12-20 00:05 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2007-12-20 00:05 . 1998-08-05 08:45 63,488 --a------ C:\WINDOWS\system32\MSCC2IT.DLL
2007-12-20 00:05 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2007-12-19 23:00 . 2006-12-08 02:04 76,800 --a------ C:\WINDOWS\system32\E_FLBAIE.DLL
2007-12-19 23:00 . 2006-04-19 02:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BAIE.DLL
2007-12-19 22:58 . 2007-12-19 22:58 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\EPSON
2007-12-19 18:59 . 2007-12-19 18:59 <DIR> d--h----- C:\Programmi\Zenographics
2007-12-19 18:59 . 2006-01-30 10:00 574,100 -ra------ C:\WINDOWS\system32\hp1022n.img
2007-12-19 18:59 . 2007-05-18 08:00 434,176 --a------ C:\WINDOWS\system32\ZSHP1020.EXE
2007-12-19 18:59 . 2006-01-30 10:00 206,768 -ra------ C:\WINDOWS\system32\hp1022.img
2007-12-19 18:59 . 2006-01-30 10:00 143,360 -ra------ C:\WINDOWS\apptune1020.exe
2007-12-19 18:59 . 2007-05-18 08:00 128,380 --a------ C:\WINDOWS\system32\hp1020.img
2007-12-19 18:59 . 2007-05-18 08:00 106,496 --a------ C:\WINDOWS\system32\ZSPOOL.DLL
2007-12-19 18:59 . 2007-05-18 08:00 102,400 --a------ C:\WINDOWS\system32\ZLhp1020.DLL
2007-12-19 18:59 . 2006-01-30 10:00 28,672 -ra------ C:\WINDOWS\system32\zlm.dll
2007-12-19 18:59 . 2006-01-30 10:00 7,397 -ra------ C:\WINDOWS\system32\ZSHP1020.HLP
2007-12-19 18:02 . 2007-12-19 18:02 <DIR> d-------- C:\Documents and Settings\Administrator\Dati applicazioni\Talkback
2007-12-19 17:56 . 2004-09-03 11:45 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di stampa
2007-12-19 17:56 . 2004-09-03 11:45 <DIR> d--h----- C:\Documents and Settings\Administrator\Risorse di rete
2007-12-19 17:56 . 2004-11-06 13:29 <DIR> dr------- C:\Documents and Settings\Administrator\Preferiti
2007-12-19 17:56 . 2004-09-03 11:45 <DIR> d--h----- C:\Documents and Settings\Administrator\Modelli
2007-12-19 17:56 . 2004-09-03 11:45 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Avvio
2007-12-19 17:56 . 2004-09-03 11:45 <DIR> d--h----- C:\Documents and Settings\Administrator\Impostazioni locali
2007-12-19 17:56 . 2007-12-19 18:05 <DIR> dr------- C:\Documents and Settings\Administrator\Documenti
2007-12-19 17:56 . 2004-11-06 13:19 <DIR> d-------- C:\Documents and Settings\Administrator\Dati applicazioni\Symantec
2007-12-19 17:56 . 2007-12-19 18:02 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dati applicazioni
2007-12-16 20:32 . 2007-12-16 20:32 879,932 --a------ C:\A Natale Puoi - Jingle.mp3
2007-12-15 19:37 . 2007-12-15 20:22 8,127,771 --a------ C:\Alicia - A Natale Puoi - Spot Bauli.mp3
2007-12-15 19:31 . 2007-12-15 19:53 6,000,350 --a------ C:\Vienna Boys Choir - Stille Nacht, Heilige Nacht.mp3
2007-12-04 02:33 . 2007-12-04 02:33 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-12-04 02:33 . 2007-12-04 02:33 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-12-04 02:33 . 2007-12-04 02:33 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-12-04 02:33 . 2007-12-04 02:33 682,496 --a------ C:\WINDOWS\system32\DivX.dll
2007-12-04 02:33 . 2007-12-04 02:33 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2007-12-03 19:47 . 2007-12-03 19:47 <DIR> d-------- C:\spoolerlogs
2007-12-03 19:30 . 2007-05-18 09:00 434,176 --a------ C:\WINDOWS\system32\ZSHP1018.EXE
2007-12-03 19:30 . 2007-05-18 09:00 128,380 --a------ C:\WINDOWS\system32\hp1018.img
2007-12-03 19:30 . 2007-05-18 09:00 102,400 --a------ C:\WINDOWS\system32\ZLhp1018.DLL
2007-12-03 19:30 . 2007-05-18 09:00 10,714 --a------ C:\WINDOWS\system32\ZSHP1018.CHM
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-03 14:25 --------- d-----w C:\Documents and Settings\utente\Dati applicazioni\AVG7
2008-01-03 14:17 --------- d-----w C:\Documents and Settings\utente\Dati applicazioni\Spamihilator
2008-01-03 14:10 --------- d-----w C:\Programmi\eMule
2008-01-03 13:45 --------- d-----w C:\Programmi\FaxTalk Communicator
2008-01-02 20:40 --------- d-----w C:\Programmi\File comuni\Real
2008-01-02 14:30 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\avg7
2007-12-19 23:06 --------- d-----w C:\Programmi\PDFCreator
2007-12-19 18:00 --------- d-----w C:\Programmi\Hewlett-Packard
2007-12-16 20:12 --------- d-----w C:\Programmi\EPSON Print CD
2007-12-13 15:07 --------- d-----w C:\Programmi\DivX
2007-12-09 14:16 --------- d-----w C:\Programmi\Web Accelerator
2007-12-06 14:08 --------- d-----w C:\Documents and Settings\utente\Dati applicazioni\Nero
2007-12-04 16:35 --------- d-----w C:\Programmi\Html2pop3
2007-12-02 20:29 --------- d-----w C:\Programmi\File comuni\Nero
2007-12-02 20:27 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Nero
2007-12-02 20:14 --------- d-----w C:\Programmi\Nero
2007-11-30 14:46 --------- d-----w C:\Programmi\File comuni\Simple Star Shared
2007-11-30 14:43 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Simple Star Shared
2007-11-30 13:30 --------- d-----w C:\Programmi\File comuni\Ahead
2007-11-29 22:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-11-29 22:30 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-11-29 22:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-11-29 22:30 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-11-29 22:30 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-11-29 22:30 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-11-29 22:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-11-29 22:28 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-11-28 21:55 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-11-28 21:53 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-11-28 21:53 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-11-28 21:53 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-11-28 21:53 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-11-28 21:53 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-11-28 21:53 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-11-28 21:52 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-11-28 18:26 --------- d-----w C:\Programmi\MGI
2007-11-28 15:44 --------- d--h--w C:\Programmi\InstallShield Installation Information
2007-11-28 15:42 --------- d-----w C:\Programmi\Activision
2007-11-27 20:08 --------- d-----w C:\Programmi\Ahead
2007-11-27 18:54 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Simple Star
2007-11-26 20:15 --------- d-----w C:\Programmi\Photodex Presenter
2007-11-26 20:15 --------- d-----w C:\Documents and Settings\utente\Dati applicazioni\Netscape
2007-11-26 20:14 --------- d-----w C:\Programmi\Photodex
2007-11-26 20:14 --------- d-----w C:\Documents and Settings\utente\Dati applicazioni\Photodex
2007-11-13 14:27 --------- d-----w C:\Programmi\Scribus 1.3.3.9
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-08 15:40 --------- d-----w C:\Programmi\FINSON
2007-11-08 15:30 --------- d-----w C:\Programmi\DK
2007-11-08 15:28 --------- d-----w C:\Programmi\File comuni\InstallShield
2007-10-30 23:23 3,590,656 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:42 1,292,800 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,292,800 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:54 8,483,840 ------w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-10 23:49 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2007-10-10 23:49 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2007-10-10 23:49 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-10-10 23:49 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-10-10 23:49 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-10-10 23:49 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-10 23:49 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-10-10 23:49 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-10-10 23:49 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-10-10 23:49 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-10-10 23:49 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-10 23:49 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-10-10 23:49 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-10-10 23:49 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-10-10 23:49 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-10 23:49 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2007-10-10 23:49 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-10-10 23:49 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-10 23:49 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-10-10 23:49 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-10-10 23:49 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-10-10 23:49 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-10 11:01 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-10-10 11:01 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-10-10 05:46 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSTEXT.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSS___.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSROMC.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSPC__.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSP___.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSM___.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSJAPC.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFBE_.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFB__.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSC___.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUS____.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\INKPEN2_.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2TEXT.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2SPEC.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2SCRI.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2METR.FOT
2007-10-05 09:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2CHOR.FOT
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E5F4BF99-EF9B-46A6-AB88-ACC6DB18BA3F}]
2007-09-17 09:54 32493 --a------ C:\WINDOWS\system32\ZLip1020.DLL
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:00 15360]
"DAEMON Tools"="C:\Programmi\DAEMON Tools\daemon.exe" [2006-11-12 11:48 157592]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe" [2007-08-03 12:51 202024]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-09-10 18:29 77824 C:\WINDOWS\SoundMan.exe]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 20:05 344064]
"REGSHAVE"="C:\Programmi\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"CnxDslTaskBar"="C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe" [2003-03-11 20:10 454656]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 15:11 579072]
"JeticoPFStartup"="C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe" [2005-07-19 07:22 118784]
"Spamihilator"="C:\Programmi\Spamihilator\spamihilator.exe" [2007-08-17 16:24 716800]
"RegistryMechanic"="" []
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51 39792]
"RemoteControl"="C:\Programmi\ASUS\ASUS Remote\RemoteControlAppl.exe" [2007-02-12 18:16 65536]
"NBKeyScan"="C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 09:25 1828136]
"NeroFilterCheck"="C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"EPSON Stylus Photo R220 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.exe" [2006-12-25 05:00 177664]
"TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [ ]
"CallControl 4.5"="C:\PROGRAMMI\FAXTALK COMMUNICATOR\FTCtrl32.exe" [2002-05-18 10:24 122880]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-11-16 16:29 219136]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
ALCWZRD.EXE
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys [2003-06-16 16:07]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3;C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe [2007-08-08 09:25]
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe [2002-05-16 11:17]
R3 3xHybrid;ASUSTek SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2007-01-26 01:42]
R3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2003-03-07 14:46]
R3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2003-03-07 14:46]
R3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgN.sys [2003-03-11 19:59]
R3 usbscan;Driver scanner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
R3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S1 ensqio;ensqio;C:\WINDOWS\system32\DRIVERS\ensqio.sys []
S1 sbpcint4;SB AudioPCI 128;C:\WINDOWS\system32\DRIVERS\sbpcint4.sys []
S3 Cap713x;Cap713x Video Capture;C:\WINDOWS\system32\DRIVERS\Cap713x.sys [2004-10-08 17:58]
S3 DMUSBUSBDCam;Dual Mode USB Camera;C:\WINDOWS\system32\DRIVERS\dualpcam.sys [2001-05-29 12:05]
S3 MPCSYS;MPCSYS;C:\WINDOWS\system32\DRIVERS\mpcsys.sys [2007-09-16 14:09]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\autorun.exe
*Newly Created Service* - PROCEXP90
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-03 15:32:46
Windows 5.1.2600 Service Pack 2 NTFS
scansione processi nascosti ...
scansione entrate autostart nascoste ...
Scansione files nascosti ...
Scansione completata con successo
Files nascosti: 0
**************************************************************************
.
Ora fine scansione: 2008-01-03 15.33.47
.
2007-12-12 11:03:19 --- E O F ---
E questo è il log di HJT
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.52.26, on 03/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\Programmi\ASUS\ASUS Remote\RemoteControlAppl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
M:\Downloads\DTemp\DTemp.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\Html2pop3\html2pop3.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
M:\Downloads\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istitutocomprensivoisola.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: (no name) - {E5F4BF99-EF9B-46A6-AB88-ACC6DB18BA3F} - C:\WINDOWS\system32\ZLip1020.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {3F756BC4-26CB-497E-9409-8F09C1850C80} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUS\ASUS Remote\RemoteControlAppl.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CallControl 4.5] C:\Programmi\FaxTalk Communicator\FTCtrl32.exe /autoload
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Corel Family & Friends Reminders.LNK = C:\Programmi\Corel\Print House Magic\cffrem.exe
O4 - Global Startup: DTemp.lnk = M:\Downloads\DTemp\DTemp.exe
O4 - Global Startup: Html2pop3.lnk = C:\Programmi\Html2pop3\html2pop3.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {131EB16C-BD58-443F-8151-6DFBB0DA1778} - http://install.anark.com/client/version3/windows-ie/en/AMClient.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BCB8EC5-7ACD-42A7-929B-A6D2592478FA}: NameServer = 213.205.32.70 213.205.36.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{209CD2EE-199E-41F4-AF46-88EF07DB63D5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BCB8EC5-7ACD-42A7-929B-A6D2592478FA}: NameServer = 213.205.32.70 213.205.36.70
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe
--
End of file - 10908 bytes |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Gen 2008 10:20 Oggetto: |
|
|
| A&O ha scritto: | Ma cosa accade??
Ho scaricato combofix dal 2° link e lanciato il programma.
Alla fine non riuscivo a vedere più il mio 2° Hard Disk.
Ho dovut ripristinare il sistema ad un punto precedente per visualizzarlo nuovamente. Cosa mi ha fatto ComboFix?? |
ComboFix tenta di eliminare eventuali presenze estranee.
Strano che non ti facesse vedere il tuo secondo HD. 
Probabilmente c'è qualcosa che non dovrebbe esserci. 
Alcune delle voci che compaiono nel log di combofix mi sembrano strane...
Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato. |
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 04 Gen 2008 15:04 Oggetto: |
|
|
Ho fatto l'analisi con Kaspersky e ... ha trovato un sacco di schifezze!!!
Sono tutte reali? (se sì: sono messo bene ....  )
Questo il log di Kaspersky (vi prego aiuto!!!)
http://www.freefilehosting.net/download/3a22e |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Gen 2008 15:17 Oggetto: |
|
|
Ti faccio cancellare le voci più pericolose...
Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | files to delete:
C:\Documents and Settings\utente\Dati applicazioni\Sun\Java\Deployment\cache\6.0\52\61c27fb4-3d2eabd8
C:\Documents and Settings\utente\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4cf90896-1905a0ea.zip
C:\WINDOWS\system32\ZLip1020.DLL |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.
Fai queste scansioni con GMER e posta i logs su FreeFileHosting come indicato qui. |
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 04 Gen 2008 15:40 Oggetto: |
|
|
Al riavvio (credo durante la compilazione del log di avenger) mi ha dato un errore e questo log:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hibkbepa
*******************
Script file located at: nqxckshs
Could not open script file! Error
Could not open script file! Status: 0xc000003b Abort!
Non ho fatto scansioni con GMER (attendo istruzioni)
Questo log di HJT:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.39.41, on 04/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Programmi\Spamihilator\spamihilator.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\ASUS\ASUS Remote\RemoteControlAppl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
M:\Downloads\DTemp\DTemp.exe
C:\Programmi\Html2pop3\html2pop3.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
M:\Downloads\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istitutocomprensivoisola.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programmi\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: (no name) - {E5F4BF99-EF9B-46A6-AB88-ACC6DB18BA3F} - C:\WINDOWS\system32\ZLip1020.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {3F756BC4-26CB-497E-9409-8F09C1850C80} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Programmi\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUS\ASUS Remote\RemoteControlAppl.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CallControl 4.5] C:\Programmi\FaxTalk Communicator\FTCtrl32.exe /autoload
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Corel Family & Friends Reminders.LNK = C:\Programmi\Corel\Print House Magic\cffrem.exe
O4 - Global Startup: DTemp.lnk = M:\Downloads\DTemp\DTemp.exe
O4 - Global Startup: Html2pop3.lnk = C:\Programmi\Html2pop3\html2pop3.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\it.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {131EB16C-BD58-443F-8151-6DFBB0DA1778} - http://install.anark.com/client/version3/windows-ie/en/AMClient.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BCB8EC5-7ACD-42A7-929B-A6D2592478FA}: NameServer = 213.205.32.70 213.205.36.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{209CD2EE-199E-41F4-AF46-88EF07DB63D5}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BCB8EC5-7ACD-42A7-929B-A6D2592478FA}: NameServer = 213.205.32.70 213.205.36.70
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Programmi\Photodex\ProShowProducer\ScsiAccess.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe
--
End of file - 11076 bytes |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Gen 2008 16:05 Oggetto: |
|
|
.....
|
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 04 Gen 2008 16:17 Oggetto: |
|
|
Questi i log di GMER
GMER AUTOSTART: http://www.freefilehosting.net/download/3a23l
GMER ROOTKIT: http://www.freefilehosting.net/download/3a24m |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Gen 2008 12:02 Oggetto: |
|
|
Usiamo i pezzi da 90...
Scarica ATF-Cleaner.
Avvia ATF-Cleaner (serve a eliminare i files temporanei)
Metti il segno di spunta a Select All
(se vuoi conservare i files del cestino, togli il segno di spunta a Recycle bin)
Clicca su Empty selected
Fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui. |
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 05 Gen 2008 15:52 Oggetto: |
|
|
Ciao bdoriano.
Sono a pezzi
Ho usato AtfCleaner come mi hai detto
Poi SystemScan, ma durante l'esecuzione si bloccava. Dopo aver tentato più volte ho deciso di farlo a pezzi (alcune voci per volta. Non so se è lo stesso). Durante l'esecuzione si bloccava ancora e ho visto nel taskmanager che terminando il processo cmd.exe SystemScan riusciva a portare a termine la sua scansione. Ho riassemblato i report in questo file: http://www.freefilehosting.net/download/3a36m
Durante la scanzione apparivano nel taskmanager file con nomi molto strani. Uno di questi è uuoywfrygn.exe che ho individuato in una cartella Temp di Documents and setting ed ho per ora spostato nel cestino. (Che sia un file di Systemscan?).
P.S.:Al termine non riuscivo a riaprire la mia connessione internet.
Cosa c'è che non va? (sono molto curioso di saperlo). |
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 06 Gen 2008 13:11 Oggetto: |
|
|
 |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Gen 2008 13:18 Oggetto: |
|
|
| A&O ha scritto: | | Durante la scanzione apparivano nel taskmanager file con nomi molto strani. Uno di questi è uuoywfrygn.exe che ho individuato in una cartella Temp di Documents and setting ed ho per ora spostato nel cestino. (Che sia un file di Systemscan?). |
Si, quel file era uno dei processi di SystemScan.
| A&O ha scritto: | | Cosa c'è che non va? (sono molto curioso di saperlo). |
Sono curioso anch'io di saperlo.
Non ho ancora avuto tempo di vedere il tuo log, me lo guarderò stasera dopo il lavoro. Sii paziente ancora un po.  |
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 07 Gen 2008 15:43 Oggetto: |
|
|
Grazie...
nel frattempo (spero di non aver fatto unn'ennesima c*****a!) ho fixato con HJT la voce relativa a ZLip1020.dll (nonostante l'uso precedente di Avenger - vedi sopra). Ora il file non è più presente nella cartella C:\Windows\Sistem32
Buon Lavoro. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 07 Gen 2008 22:42 Oggetto: |
|
|
Dunque, nel log ho visto rimasugli di una precedente infezione (exinjs).
Ma, a parte questo, non vedo cose strane nel log di SystemScan.
Collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato. |
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 08 Gen 2008 14:24 Oggetto: |
|
|
Caro Bdoriano,
grazie innanzitutto per la tua pazienza.
Ti invio il log dell'analisi fatta con Kaspersky Scanner online:
http://www.freefilehosting.net/download/3a623
Ti allego anche il Log di AVG perchè ho visto (solo ora) che nella EVENT HISTORY LOG è presente dal 04.12.2007 una serie di eventi "VIRUS" abbastanza lunga. Il file che più ricorre è C:\System Volume Information\_restore{98DF0744-E9D0-4D5D-BAFF-085C137ADB1B}\RP562\A0135868.exe.
Si deve eliminare? Eventualmente come si fa in C:\System Volume Information\_restore?
Questo il LOG AVG: http://www.freefilehosting.net/download/3a642
Si può fare qualcosa?
Un saluto  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 08 Gen 2008 21:19 Oggetto: |
|
|
| A&O ha scritto: | | Si deve eliminare? Eventualmente come si fa in C:\System Volume Information\_restore? |
Disabilita il ripristino di sistema, così verranno eliminati i files infetti da quella cartella. 
Intanto mi guardo i logs.
edit:
C:\Programmi\DAEMON Tools\SetupDTSB.exe fa parte delle DaemonTools e contiene un AdWare.
M:\Impostazioni Windows\Messaggi posta elettronica\Outlook Express\Posta in arrivo.dbx/[From Suntrust Bank ][Date Mon, 04 Oct 2004 01:43:33 -0200]/UNNAMED è un messaggio fraudolento che hai nella posta in arrivo, cercalo ed eliminalo.
Nero8, così come Nero7 contiene un AdWare, dovrai starci attento quando lo installi e non fargli installare la AskBar o qualcosa di simile.
Per il resto, procedi così:
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | L:\Emule\Incoming\Adobe Audition v2.0 ( ITA) + Key\keygen.exe
C:\Documents and Settings\utente\Dati applicazioni\Sun\Java\Deployment\cache\6.0\52\61c27fb4-3d2eabd8 |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis. |
|
| Top |
|
|
A&O
Eroe in grazia degli dei
Registrato: 02/01/08 22:19
Messaggi: 130
|
| Inviato: 09 Gen 2008 10:37 Oggetto: |
|
|
| bdoriano ha scritto: | | Disabilita il ripristino di sistema, così verranno eliminati i files infetti da quella cartella. |
Fatto!!
| bdoriano ha scritto: |
edit:
C:\Programmi\DAEMON Tools\SetupDTSB.exe fa parte delle DaemonTools e contiene un AdWare.
M:\Impostazioni Windows\Messaggi posta elettronica\Outlook Express\Posta in arrivo.dbx/[From Suntrust Bank ][Date Mon, 04 Oct 2004 01:43:33 -0200]/UNNAMED è un messaggio fraudolento che hai nella posta in arrivo, cercalo ed eliminalo.
Nero8, così come Nero7 contiene un AdWare, dovrai starci attento quando lo installi e non fargli installare la AskBar o qualcosa di simile.
|
Cioè? Cosa indichi con edit?
Cosa dovrei fare con daemon Tools e Nero? Disinstallare? Non dovrei usarli? Come installare una versione... pulita?
Per il messaggio di posta sono tranquillo, perchè è in una cartella di backup manuale che ho fatto tempo fa e quindi è innocua o posso rimuovere tranquillamente.
| bdoriano ha scritto: | Per il resto, procedi così:
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | L:\Emule\Incoming\Adobe Audition v2.0 ( ITA) + Key\keygen.exe
C:\Documents and Settings\utente\Dati applicazioni\Sun\Java\Deployment\cache\6.0\52\61c27fb4-3d2eabd8 |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis. |
Ho aggiunto alla tua citazione dello script files to delete (sto imparando qualcosa???)
Comunque avevo già rimosso manualmente L:\Emule\Incoming\Adobe Audition v2.0 ( ITA) + Key\keygen.exe (per cui nel log appare operazione failed).
Il problema è che al riavvio del sistema Avenger segnala un errore che riporto:(come in precedenza a me e come ad altri utenti - Magari qualcosa nelle nostre operazioni non è corretto o non fatto in modo ortodosso [esecuzione senza antivurus, firewall, decomprimere in C? sul desktop? boh??])
al riavvio del computer è successo questo : apertura di una finestra del dos intitolata C:\WINDOWS\system32\cmd.exe
Impossibile trovare il file specificato.
Impossibile trovare C:\avenger\*.reg
1 file copiati.
Impossibile cambiare l'attributo - C:\avenger\prn.ipt
zip warning: C:/backup.zip not found or empty
adding: avenger/avenger.exe (188 bytes security) (deflated 2%)
adding: avenger/avenger.txt (188 bytes security) (deflated 65%)
adding: avenger/backup.reg (188 bytes security) (stored 0%)
adding: avenger/prn.ipt (140 bytes security)
zip warning: Invalid argument
zip warning: could not read input file: avenger/prn.ipt
(stored 0%)
zip warning: error deleting c:/avenger/prn.ipt
c:\avenger\prn.ipt - Parametro non corretto.
Inoltre si è aperta una finestra di errore
Windows- Disco non presente
Exception Processing Message c0000013 Parameters 75b1bf9c 4 75b1bf9c 75b1bf9c
Questo il log di Avenger: http://www.freefilehosting.net/download/3a6je
Questo il log di HJT: http://www.freefilehosting.net/download/3a6jg
Grazie ancora e spero di poter dire di essere in dirittura d'arrivo (ovviamente grazie al tuo magistrale supporto!!!!)
Ciao |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 10 Gen 2008 11:26 Oggetto: |
 |
|
| A&O ha scritto: | | bdoriano ha scritto: |
edit: |
Cioè? Cosa indichi con edit?
Cosa dovrei fare con daemon Tools e Nero? Disinstallare? Non dovrei usarli? Come installare una versione... pulita? |
Con edit volevo indicare che ho modificato il messaggio in un secondo momento. Nulla di che.
Per Daemon Tools e Nero ti ho solo avvisato che contengono dell'adware.
In fase di installazione di Nero, puoi scegliere di non installarlo. Con Daemon Tools non so se esiste la stessa opzione.
| A&O ha scritto: | | Per il messaggio di posta sono tranquillo, perchè è in una cartella di backup manuale che ho fatto tempo fa e quindi è innocua o posso rimuovere tranquillamente. |
ok.
| A&O ha scritto: | | Ho aggiunto alla tua citazione dello script files to delete (sto imparando qualcosa???) |
Bravo! 
| A&O ha scritto: | al riavvio del computer è successo questo : apertura di una finestra del dos intitolata C:\WINDOWS\system32\cmd.exe
Impossibile trovare il file specificato.
Impossibile trovare C:\avenger\*.reg
1 file copiati.
Impossibile cambiare l'attributo - C:\avenger\prn.ipt
zip warning: C:/backup.zip not found or empty
adding: avenger/avenger.exe (188 bytes security) (deflated 2%)
adding: avenger/avenger.txt (188 bytes security) (deflated 65%)
adding: avenger/backup.reg (188 bytes security) (stored 0%)
adding: avenger/prn.ipt (140 bytes security)
zip warning: Invalid argument
zip warning: could not read input file: avenger/prn.ipt
(stored 0%)
zip warning: error deleting c:/avenger/prn.ipt
c:\avenger\prn.ipt - Parametro non corretto.
Inoltre si è aperta una finestra di errore
Windows- Disco non presente
Exception Processing Message c0000013 Parameters 75b1bf9c 4 75b1bf9c 75b1bf9c |
Ammetto che questo mi preoccupa un pochino...
Intanto che mi scarico i logs e me li leggo, fai una passata con il Gromozon Removal Tool |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
