Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

AIUTOOOOOOOOO PLEASE E-nrgyPlus - www.archiviosex.net

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

AIUTOOOOOOOOO PLEASE E-nrgyPlus - www.archiviosex.net

Postdi gio.acce » 16/04/06 11:58

ciao a tutti,
partecipo per la prima volta a questo forum. Sono riscito a scaricarmi 2 "virus" (forse non sono virus ma spirewire...ma per noi profani cambia poco :cry: )in 10 minuti. Il primo mi fa comparire una finestra verde al centro dello schermo con un messaggio di 6 righe in italiano nel quale si complimnteno con me :D . e che aggiunge un collegamento ad una pagina internet su desktop, barra di avvio e documenti. Questo lo avevo gia preso (un po diverso perchè il messaggio nella finestra verde era diverso e mi aggiungevano anche un'icona di Windoews movie maker) e lo avevo debellato con killsgrunt.
Il secondo credo sia un dialer: con un'icona con un coniglietto con scritto clickme sul desktop. Mi aggiunge una cartella tra i programmi chiamata E-nrgyplus. In generale tutto il pc è un po piu lento, Explorer non sempre risponde ai comandi.

INSOMMA SONO DISPERATO.

Sono giorni che provo a smanttare con HijackThis ma non ne vengo a capo...sono negato.

Spero che qualcuno possa aiutarmi
con parole facili possibilmente ;)

allego il log:

Logfile of HijackThis v1.99.1
Scan saved at 12.43.37, on 16/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\vtoaaaaa.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Videora\Videora.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\gnwkraaa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
C:\Documents and Settings\gio\Desktop\antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?299
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\System32\msx.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\System32\kaboom.dll
O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\System32\kaboom.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Videora] C:\Programmi\Videora\Videora.exe -t
O4 - HKLM\..\Run: [VideoraiPodConverter] C:\Programmi\VideoraiPodConverter\VideoraConverter.exe -t
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [gnwkraaa] C:\WINDOWS\System32\gnwkraaa.exe
O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [gnwkraaa] C:\WINDOWS\System32\gnwkraaa.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.1987324.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08EFBE0C-202F-467B-9B88-ADA236ABA008}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: IEFilter - {D9664014-4082-45B1-9BEF-47F32B10763A} - C:\WINDOWS\system32\IEFilter.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
gio.acce
Newbie
 
Post: 7
Iscritto il: 16/04/06 11:33

Sponsor
 

Postdi Luke57 » 17/04/06 09:07

Ciao, per prima cosa metti l'eseguibile di hijackthis (.exe) in una cartella tutta sua, tipo C\HJT, nè temporanea nè desktop, in modo che il programma possa fare un backup delle voci rimosse.
Scarica stinger 260 da qui:
http://vil.nai.com/vil/stinger/
( è stand alone, non ha bisogno di essere installato)
1)Apri hijackthis, clicchi “open the misc tools section”, “open process manager”, cerchi ed evidenzi i seguenti processi (se ci sono):
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\gnwkraaa.exe
C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
Premi "kill process".
2)Torni al menu principale con "back", “scan”, cerchi e spunti le seguenti voci:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?299
O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\System32\msx.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\System32\kaboom.dll
O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\System32\kaboom.dll
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [gnwkraaa] C:\WINDOWS\System32\gnwkraaa.exe
O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
O4 - HKCU\..\Run: [gnwkraaa] C:\WINDOWS\System32\gnwkraaa.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://www.1987324.com
O21 - SSODL: IEFilter - {D9664014-4082-45B1-9BEF-47F32B10763A} - C:\WINDOWS\system32\IEFilter.dll
Premi "fix checked"
3)riparti in modalità provvisoria:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
4)rendi visibili file e cartelle nascosti:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK
5)Esegui Stinger e fai una scansione
6)Al termine della scansione, cerchi ed elimini, se ci sono, i seguenti file:
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\gnwkraaa.exe
C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe------- > tutta la cartella
C:\WINDOWS\System32\msx.dll
C:\WINDOWS\System32\kaboom.dll
rock.exe ( da cercare con la funzione Cerca di windows)
C:\WINDOWS\web\related.htm
C:\WINDOWS\system32\IEFilter.dll
7)vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu
8)cancella il contenuto di Windows\temp, windows\tmp
(temp e tmp da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)
sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)
svuota il cestino
9)Posta un nuovo log di hijackthis per controllo
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi gio.acce » 17/04/06 10:47

Dunque,

innanzitutto grazie 1000 per l'attenzione prestatami.
Ho cercato di seguire scrupolosamente le tue istruzioni.
Il primo problema si è presentato quando volevo "killare" C:\WINDOWS\System32\spoolsvc.exe
me lo fa selezionare ma quando clicco su "kill process" mi dava un messaggio in una finestra in cui mi diceva che non è possibile cancellarlo.

Per il resto ho fatto tutto. Quando dovevo disistallare le applicazioni ho avuto un po di difficoltà perchè ci sono delle cose che non conosco ma ho paura che siano dei driver o qualcosa che in qualche modo mi serve, tipo:
USB EHCI Driver oppure Bit Comet 0,59

Ora la finestra verde sembrerebbe scomparsa.
L'altra connessione invece è ancora li... dici che basta eliminarla manualmente dall'elenco delle connessioni???

ti allego i log:

Logfile of HijackThis v1.99.1
Scan saved at 11.44.09, on 17/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\vtoaaaaa.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\Service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Videora\Videora.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\StopDialers\StopDialers.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Videora] C:\Programmi\Videora\Videora.exe -t
O4 - HKLM\..\Run: [VideoraiPodConverter] C:\Programmi\VideoraiPodConverter\VideoraConverter.exe -t
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08EFBE0C-202F-467B-9B88-ADA236ABA008}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: IEFilter - {5B157655-0AB4-4D67-9B7C-4A26917BC031} - C:\WINDOWS\system32\IEFilter.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

GRAZIE CIAO
gio.acce
Newbie
 
Post: 7
Iscritto il: 16/04/06 11:33

Postdi Luke57 » 17/04/06 15:02

Ciao, hai eseguito stinger? Se no fallo dalla modalità provvisoria
Scarica KILLBOX da qui
http://www.bleepingcomputer.com/files/s ... illBox.zip
- estrailo sul desktop e apri la cartella che lo contiene e quindi avvialo
- Seleziona l'opzione Delete on Reboot . Nello spazio scrivi il percorso del file da eliminare C:\WINDOWS\System32\Service.exe
e clicchi sulla crocetta rossa su sfondo bianco ( il computer si riavvierà)
Questo non so che sia, molto sospetto comunque
C:\WINDOWS\System32\vtoaaaaa.exe
Se non sai cosa è ,riservagli il medesimo trattamento con killbox.
Con hijackthis elimina questa voce:
O21 - SSODL: IEFilter - {5B157655-0AB4-4D67-9B7C-4A26917BC031} - C:\WINDOWS\system32\IEFilter.dll (file missing
Quei programmi da installazioni\applicazioni lasciali sono legittimi. Intendevo quelli palesemente illegittimi ;)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi gio.acce » 17/04/06 20:49

ciao,

ho eseguito stinger in modalità provvisoria e non ha trovato nulla.

Con hijackthis ho eliminato questa voce:
O21 - SSODL: IEFilter - {5B157655-0AB4-4D67-9B7C-4A26917BC031} - C:\WINDOWS\system32\IEFilter.dll (file missing

ma quei due file:
(C:\WINDOWS\System32\Service.exe
, C:\WINDOWS\System32\vtoaaaaa.exe)
non sono riscito a cancallarli neppure con KILLBOX.

che sono? sono pericolosi... ora va meglio comunque :)
gio.acce
Newbie
 
Post: 7
Iscritto il: 16/04/06 11:33

Postdi Luke57 » 18/04/06 07:57

Ciao, riguardo a service.exe prova ad eseguire questo tool della symantec nel computer:
http://securityresponse.symantec.com/av ... .tool.html
Fammi sapere l'esito e posta nuovo log di hijackthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi gio.acce » 18/04/06 19:21

ciao,

ho esguito il tool symantec, alla fine mi è uscito un messaggio che diceva che W32 Gaobot non è stato trovato nel mio pc.

C:\WINDOWS\System32\Service.exe e
C:\WINDOWS\System32\vtoaaaaa.exe sono ancora lì :cry: INCANCELLABILI


questo il log:

Logfile of HijackThis v1.99.1
Scan saved at 20.16.22, on 18/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\vtoaaaaa.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\Service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Videora\Videora.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\System32\kaboom.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Videora] C:\Programmi\Videora\Videora.exe -t
O4 - HKLM\..\Run: [VideoraiPodConverter] C:\Programmi\VideoraiPodConverter\VideoraConverter.exe -t
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
gio.acce
Newbie
 
Post: 7
Iscritto il: 16/04/06 11:33

Postdi Luke57 » 18/04/06 19:44

Ciao, prova con Unlocker
http://news.swzone.it/swznews-17284.php
una volta installato, cliccando con il tasto dx sul file in questione, nel menu contestuale appare anche unlocker , lo scegli e provi ad eliminare il file.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 19/04/06 07:31

Ciao, non mi ero accorto che hai kaboom nel log.
Scarica il tool per la rimozione di Bomka.c da qui:
http://collectiontricks.p2pforum.it/mod ... idedito=21
Fai girare il tool, poi apri hijackthis, clicchi “do a system scan only”, cerchi e spunti le seguenti voci ( se c'è sempre):
O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\System32\kaboom.dll
premi fix checked
Dallla provvisoria, oltre ai famigerati file, elimina anche:
C:\WINDOWS\System32\kaboom.dll
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi gio.acce » 19/04/06 09:39

Dunque Unlocker lo faccio o no?


http://collectiontricks.p2pforum.it/mod ... idedito=21
lo faccio andare in modalità provvisoria??


e hijackthis per fixare "O2 - BHO: Dredge - {EB870508-E2B7-4169-8120-760F69703776} - C:\WINDOWS\System32\kaboom.dll "
lo faccio andare in modalità provvisoria??

Scusa se son lento a capire :lol:
gio.acce
Newbie
 
Post: 7
Iscritto il: 16/04/06 11:33

Postdi fabrizius » 19/04/06 09:45

Ciao,
Unlocker và usato se ci sono file che non si riescono a cancellare,tu esegui le operazioni consigliate da Luke (ciao ;) ) in modalità provvisoria,e se poi qualche file resiste all'eliminazione lo cancelli con unlocker
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi IronDN » 19/04/06 21:23

Io avevo lo stesso problema....ho tolto rock.exe e non mi appare più....ciao.
IronDN
Newbie
 
Post: 5
Iscritto il: 19/04/06 21:04
Località: Foggia

Postdi gio.acce » 20/04/06 19:28

ho seguito tutte le istruzioni



C:\WINDOWS\system32\ services
persite!!! non si cancella :cry: neppure con unlocker


allego il Log.

qualcuno me lo controlla?

GRAZIE

Logfile of HijackThis v1.99.1
Scan saved at 20.28.21, on 20/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Videora\Videora.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programmi\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Videora] C:\Programmi\Videora\Videora.exe -t
O4 - HKLM\..\Run: [VideoraiPodConverter] C:\Programmi\VideoraiPodConverter\VideoraConverter.exe -t
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08EFBE0C-202F-467B-9B88-ADA236ABA008}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: .NET Runtime Optimization Service v1.000.3.1434 - Unknown owner - C:\WINDOWS\System32\vtoaaaaa.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)
gio.acce
Newbie
 
Post: 7
Iscritto il: 16/04/06 11:33

Postdi fabrizius » 20/04/06 19:40

Ciao,
se non ti deciderai ad aggiornare IE+SP2 e non installerai firewall e antivirus sarai sempre invaso da molteplici malware...

Comunque per i due servizi fai cosi:

Vai nel pannello di controllo-->>strumenti di amministrazione-->>servizi.
Nei servizi cerca NET Runtime Optimization Service o (vtoaaaaa.exe) facci doppio click sopra in Tipo di avvio metti disabilitato,fai la stessa cosa anche con (Service.exe)

Adesso chiudi i servizi vai su start-->>esegui-->>digita sc delete Service.exe e dai l'ok
fai la stessa cosa anche con l'altro servizio e dopo fixa le voci con Hjackthis
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi gio.acce » 20/04/06 21:37

Ciao,
"se non ti deciderai ad aggiornare IE+SP2 e non installerai firewall e antivirus sarai sempre invaso da molteplici malware... "


cosa vuolò dire questa cosa in italiano??? :undecided:

IE???

SP2???

AIUTOOOO

grazie comunque... :roll:
gio.acce
Newbie
 
Post: 7
Iscritto il: 16/04/06 11:33

Postdi d1ngo » 20/04/06 21:42

Mi permetto di rispondere da newbie a newbie :)

IE = Internet Explorer
SP2 = Service Pack 2

ciao
d1ngo
Newbie
 
Post: 4
Iscritto il: 19/04/06 14:34

Postdi fabrizius » 20/04/06 21:47

gio.acce ha scritto:Ciao,
"se non ti deciderai ad aggiornare IE+SP2 e non installerai firewall e antivirus sarai sempre invaso da molteplici malware... "


cosa vuolò dire questa cosa in italiano??? :undecided:

IE???

SP2???

AIUTOOOO

grazie comunque... :roll:


Si scusami se ho usato le parole abbreviate,comunque per gli aggiornamenti:Fai il windows update e installa il ServicePack2,se non vuoi il SP2 vai in questa pagina é installa almeno gli ultimi aggiornamenti per InternetExplorer e per il sistema operativo
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Carlos » 20/04/06 21:51

Start - tutti i programmi - windows update e scarichi gli aggiornamenti di windows e di explorer!

In più ti conviene installare Ad-Aware, Spybot Search&Destroy, e un antivirus. Ce ne sono di validi freeware (aggratiss) oppure se ti piace il genere, puoi comprare delle riviste che parlano di PC e nella maggior parte dei casi, nei cd allegati, trovi degli AV in versone completa (io sto usando la suite kaspersky trovata su una rivista).

A presto
--RIDE THE LIGHTNING--
Carlos
Utente Junior
 
Post: 97
Iscritto il: 14/02/06 19:20
Località: DETROIT, ROCK CITY!

Postdi Carlos » 20/04/06 22:06

Start - tutti i programmi - windows update e scarichi gli aggiornamenti di windows e di explorer!

In più ti conviene installare Ad-Aware, Spybot Search&Destroy, e un antivirus. Ce ne sono di validi freeware (aggratiss) oppure se ti piace il genere, puoi comprare delle riviste che parlano di PC e nella maggior parte dei casi, nei cd allegati, trovi degli AV in versone completa (io sto usando la suite kaspersky trovata su una rivista).

A presto
--RIDE THE LIGHTNING--
Carlos
Utente Junior
 
Post: 97
Iscritto il: 14/02/06 19:20
Località: DETROIT, ROCK CITY!


Torna a Sicurezza e Privacy


Topic correlati a "AIUTOOOOOOOOO PLEASE E-nrgyPlus - www.archiviosex.net":

aiutooooooooo
Autore: robert fripp
Forum: Reti, ADSL e wireless
Risposte: 2
Aiutooooooooo
Autore: AndreJero
Forum: Assistenza Hardware
Risposte: 0
aiutooooooooo
Autore: marycam
Forum: Sicurezza e Privacy
Risposte: 11
aiutooooooooo
Autore: KH2203
Forum: Sicurezza e Privacy
Risposte: 8
archiviosex.net
Autore: dox75
Forum: Sicurezza e Privacy
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti