Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

tool x linkoptimizer - mi controllate se tutto è ok?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

tool x linkoptimizer - mi controllate se tutto è ok?

Postdi yanez » 04/09/06 15:08

ciao a tutti.


ho lanciato il tool per eliminare linkoptimizer (grazie della segnalazione) e ha rintracciato e eliminato un paio di files.

però il pc non mi sembra ancora del tutto pulito. in particolare dal log di hijackthis si vede un processo strano (O23 - Service: WinTvr - Unknown owner - C:\:eCe.exe) che è associato all'utenza maligna che ho già provveduto a eliminare (ho controllato, seguendo le indicazioni date in un altro post, facendo eseguire services.msc).

mi dareste una mano a controllare se c'è ancora qualcosa da sistemare?

grazie

allego i logs di HijackThis e GMER


Logfile of HijackThis v1.99.1
Scan saved at 16.05.59, on 04/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\utilities and security progs\gmer110\gmer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/0410/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redi ... ch&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/red ... lc=0410&ac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {E6AD8800-9711-D609-8B35-F08161150EF2} - C:\WINDOWS\fhgoj1.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5726033407
O16 - DPF: {F5C90925-ABBF-4475-88F5-8622B452BA9E} (Compaq System Data Class) - http://h30155.www3.hp.com/helpandsupport/SysQuery.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA23FDC1-B925-4876-9369-E284F4DBFABC}: NameServer = 193.70.192.25 193.70.152.25
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WinTvr - Unknown owner - C:\:eCe.exe





GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-04 15:55:25
Windows 5.1.2600 Service Pack 2


---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{56BE37EC-9B14-416B-A655-65C0BBA94FD7}

---- EOF - GMER 1.0.10 ----



GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-04 15:56:33
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
Ati HotKey Poller@ = %SystemRoot%\System32\Ati2evxx.exe
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
HPConfig /*HP Configuration Interface Service*/@ = C:\WINDOWS\system32\HPConfig.exe
HPWirelessMgr /*HPWirelessMgr*/@ = C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
WinTvr /*WinTvr*/@ = "C:\:eCe.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@SynTPLprC:\Programmi\Synaptics\SynTP\SynTPLpr.exe = C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
@SynTPEnhC:\Programmi\Synaptics\SynTP\SynTPEnh.exe = C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
@srmcleanC:\Cpqs\Scom\srmclean.exe = C:\Cpqs\Scom\srmclean.exe
@SlipStream"C:\Programmi\Web Accelerator\slipcore.exe" = "C:\Programmi\Web Accelerator\slipcore.exe"
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@QT4HPOTC:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE = C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
@PreloadAppc:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d = c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@Display SettingsC:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s /*file not found*/ = C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s /*file not found*/
@CpqsetC:\Programmi\HPQ\Default Settings\cpqset.exe ? ??? ??p????| ???? X#B ? ??l|B ? ???? = C:\Programmi\HPQ\Default Settings\cpqset.exe ? ??? ??p????| ???? X#B ? ??l|B ? ????
@CARPServicecarpserv.exe = carpserv.exe
@AtiPTAatiptaxx.exe = atiptaxx.exe
@ATIModeChangeAti2mdxx.exe = Ati2mdxx.exe
@AdaptecDirectCD"C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" = "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
@avast!C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
@NAV AgentC:\PROGRA~1\NORTON~1\navapw32.exe = C:\PROGRA~1\NORTON~1\navapw32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{32683183-48a0-441b-a342-7c2a440a9478} /*Media Band*/(null) =
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/c:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = c:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
@{5E44E225-A408-11CF-B581-008029601108} /*Adaptec DirectCD Shell Extension*/C:\PROGRA~1\Roxio\EASYCD~1\DirectCD\Shellex.dll = C:\PROGRA~1\Roxio\EASYCD~1\DirectCD\Shellex.dll
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\System32\extmgr.dll = C:\WINDOWS\System32\extmgr.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = c:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{BDF3E430-B101-42AD-A544-FADC6B084872}C:\Programmi\Norton AntiVirus\NavShExt.dll = C:\Programmi\Norton AntiVirus\NavShExt.dll
@{E6AD8800-9711-D609-8B35-F08161150EF2}C:\WINDOWS\fhgoj1.dll /*file not found*/ = C:\WINDOWS\fhgoj1.dll /*file not found*/

HKLM\Software\Microsoft\Internet Explorer\Plugins\Extension\.mid@Location = C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://desktop.presario.net/scripts ... lc=0410&ac = http://desktop.presario.net/scripts/red ... lc=0410&ac
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.libero.it/ = http://www.libero.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\PROGRA~1\WEBACC~1\sliplsp.dll
000000000002@PackedCatalogItem = C:\PROGRA~1\WEBACC~1\sliplsp.dll
000000000003@PackedCatalogItem = C:\PROGRA~1\WEBACC~1\sliplsp.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000021@PackedCatalogItem = C:\PROGRA~1\WEBACC~1\sliplsp.dll

---- EOF - GMER 1.0.10 ----
yanez
Utente Junior
 
Post: 21
Iscritto il: 24/08/06 08:27

Sponsor
 

Postdi Luke57 » 04/09/06 15:33

Ciao, hanno appena emesso un tool che sembra notevole. da qui:
http://www.prevx.com/gromozon.asp
lo scarichi, chiudi tutte le applicazioni e programmi, lo esegui.
Al riavio del computer, il programma esaminerà le altre cartelle di windows.
Al termine della scansione, posta il report della medesima.

Inoltre, dopo lo scan, apri hiajckthis, premi " do a systema scan only", cerchi e spunti le voci seguenti (se ci sono sempre):
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E6AD8800-9711-D609-8B35-F08161150EF2} - C:\WINDOWS\fhgoj1.dll (file missing)
O23 - Service: WinTvr - Unknown owner - C:\:eCe.exe

premi fix checked.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi lucas/s » 04/09/06 15:35

Mi sa che il tool l'ha già usato,il sembra mi è piaciuto :D :D
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi Luke57 » 04/09/06 15:59

@ lucas/s
E' vero, invece di continuare il medesimo post ne ha aperto un altro ;)
Il sembra è dovuto al fatto che, in alcuni casi, il tool fa fuori i famosi file verdi, in altri casi rimangono bellamente al loro posto, in un altro caso la cartella dell'utenza nascosta è stata eliminata, in un altro no.
Che cosa ne pensi?
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi lucas/s » 04/09/06 16:01

Manca molto per raggiungere la perfezione(sempre che sia possibile)il tool l'ho testato su un pc pieno zeppo di varianti e non ne ha rilevata nemmeno uno,nemmeno il bho con collegamente al file C:\Programmi\LinkOptimizer\linkoptimizer.dll,penso che a breve verrà aggiornato,ad eraser ho mandato alcuni files del linkoptmizer,ciao
lucas/s
Utente Senior
 
Post: 224
Iscritto il: 04/02/06 00:33

Postdi yanez » 04/09/06 16:03

grazie Luke. Il tool l'ho già lanciato e ha eliminato due dll. eventualmente lo lancio di nuovo e posto il report.

procedo a eliminare le voci che mi hai segnalato.

ti volevo chiedere se questa stringa (dal log di GMER) ti sembra ok:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{BDF3E430-B101-42AD-A544-FADC6B084872}C:\Programmi\Norton AntiVirus\NavShExt.dll = C:\Programmi\Norton AntiVirus\NavShExt.dll
@{E6AD8800-9711-D609-8B35-F08161150EF2}C:\WINDOWS\fhgoj1.dll /*file not found*/ = C:\WINDOWS\fhgoj1.dll /*file not found*/


te lo dico perchè come avrai visto ho installato sia avast sia norton. ho provato a disinstallare norton ma l'operazione si blocca a metà e il messaggio di errore fa riferimento proprio a questa chiave di registro.

intanto grazie
yanez
Utente Junior
 
Post: 21
Iscritto il: 24/08/06 08:27

Postdi Luke57 » 04/09/06 16:14

Ciao, questa non va bene. Prova a fissarla con hijackthis, come suggerito.
@{E6AD8800-9711-D609-8B35-F08161150EF2}C:\WINDOWS\fhgoj1.dll /*file not found*/ = C:\WINDOWS\fhgoj1.dll /*file not found*/
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 04/09/06 16:16

lucas/s ha scritto:Manca molto per raggiungere la perfezione(sempre che sia possibile)il tool l'ho testato su un pc pieno zeppo di varianti e non ne ha rilevata nemmeno uno,nemmeno il bho con collegamente al file C:\Programmi\LinkOptimizer\linkoptimizer.dll,penso che a breve verrà aggiornato,ad eraser ho mandato alcuni files del linkoptmizer,ciao

Ciao, me l'ero immaginato. Grazie per l'informazione ;)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi yanez » 04/09/06 16:36

ciao a tutti ancora!

allora: il tool per linkoptimizer non ha rilevato rootkit. dopo aver eliminato le voci suggerite da luke il service wintvr è sparito dal log di GMER.

ho però controllato facendo eseguire service.msc e appare ancora fra i servizi, seppur disabilitato. il percorso dell'applicativo è C:\:eCe.exe ma in C: non vedo questo applicativo, anche visualizzando file nascosti e di sistema. posso farci qualcosa o devo rassegnarmi? c'è pericolo che si riavvii?

allego i log di HjiakThis e GMER. gli date un'altra controllata per vedere se tutto è a posto?

Grazie ancora per il preziosissimo aiuto
yanez
Utente Junior
 
Post: 21
Iscritto il: 24/08/06 08:27

Postdi yanez » 04/09/06 16:38

dimenticato i logs (chiedo scusa)

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-04 17:25:26
Windows 5.1.2600 Service Pack 2


---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{56BE37EC-9B14-416B-A655-65C0BBA94FD7}

---- EOF - GMER 1.0.10 ----


GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-04 17:26:46
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
Ati HotKey Poller@ = %SystemRoot%\System32\Ati2evxx.exe
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
HPConfig /*HP Configuration Interface Service*/@ = C:\WINDOWS\system32\HPConfig.exe
HPWirelessMgr /*HPWirelessMgr*/@ = C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@SynTPLprC:\Programmi\Synaptics\SynTP\SynTPLpr.exe = C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
@SynTPEnhC:\Programmi\Synaptics\SynTP\SynTPEnh.exe = C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
@srmcleanC:\Cpqs\Scom\srmclean.exe = C:\Cpqs\Scom\srmclean.exe
@SlipStream"C:\Programmi\Web Accelerator\slipcore.exe" = "C:\Programmi\Web Accelerator\slipcore.exe"
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@QT4HPOTC:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE = C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
@PreloadAppc:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d = c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@Display SettingsC:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s /*file not found*/ = C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s /*file not found*/
@CpqsetC:\Programmi\HPQ\Default Settings\cpqset.exe ? ??? ???????| ???? X#B ? ??l|B ? ???? = C:\Programmi\HPQ\Default Settings\cpqset.exe ? ??? ???????| ???? X#B ? ??l|B ? ????
@CARPServicecarpserv.exe = carpserv.exe
@AtiPTAatiptaxx.exe = atiptaxx.exe
@ATIModeChangeAti2mdxx.exe = Ati2mdxx.exe
@AdaptecDirectCD"C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" = "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
@avast!C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
@NAV AgentC:\PROGRA~1\NORTON~1\navapw32.exe = C:\PROGRA~1\NORTON~1\navapw32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{32683183-48a0-441b-a342-7c2a440a9478} /*Media Band*/(null) =
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/c:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = c:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL
@{5E44E225-A408-11CF-B581-008029601108} /*Adaptec DirectCD Shell Extension*/C:\PROGRA~1\Roxio\EASYCD~1\DirectCD\Shellex.dll = C:\PROGRA~1\Roxio\EASYCD~1\DirectCD\Shellex.dll
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\System32\extmgr.dll = C:\WINDOWS\System32\extmgr.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = c:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx = C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
@{BDF3E430-B101-42AD-A544-FADC6B084872}C:\Programmi\Norton AntiVirus\NavShExt.dll = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Microsoft\Internet Explorer\Plugins\Extension\.mid@Location = C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://desktop.presario.net/scripts ... lc=0410&ac = http://desktop.presario.net/scripts/red ... lc=0410&ac
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.libero.it/ = http://www.libero.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\PROGRA~1\WEBACC~1\sliplsp.dll
000000000002@PackedCatalogItem = C:\PROGRA~1\WEBACC~1\sliplsp.dll
000000000003@PackedCatalogItem = C:\PROGRA~1\WEBACC~1\sliplsp.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000021@PackedCatalogItem = C:\PROGRA~1\WEBACC~1\sliplsp.dll

---- EOF - GMER 1.0.10 ----




Logfile of HijackThis v1.99.1
Scan saved at 17.13.20, on 04/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Web Accelerator\slipcore.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/0410/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redi ... ch&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/red ... lc=0410&ac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [SlipStream] "C:\Programmi\Web Accelerator\slipcore.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 5726033407
O16 - DPF: {F5C90925-ABBF-4475-88F5-8622B452BA9E} (Compaq System Data Class) - http://h30155.www3.hp.com/helpandsupport/SysQuery.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
yanez
Utente Junior
 
Post: 21
Iscritto il: 24/08/06 08:27

Postdi Luke57 » 04/09/06 17:40

Ciao, l'hai tolto con hijackthis, anzi fai questa verifica.
Apri hiajckthis, premi "open the misc tools section", "open ADS Spy...". nella finestra successiva levi la spunta a "Quick scan", fai lo scan e se trovi
C:\:eCe.exe
lo selezioni e premi "remove selected".
nei log non vedo niente di riferibile al malefico.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi yanez » 04/09/06 18:00

Grazie Luke, provo a fare quanto suggerito.

nenache io riuscivo a vedere l'applicazione dai logs (a furia di leggere i diversi posts sto iniziando a capirci qualcosa).

Ho due quesiti da farti:

siccome con GMER vedo questo malefico wintvr fra i servizi posso eliminarlo? non sono un esperto e ho paura di rendere instabile il pc.

secondo quesito: una volta che sarò riuscito a disinstallare Norton (ho provato ancora ma inutilmente) vorrei installare un firewall (al momento non lo ho). ho già scaricato zone alarm ma in un post ho letto che entra in conflitto con avast. qualche suggerimento su un buon antivirus free?

ancora grazie

J.


PS: linkoptimizer era ricomparso fra i programmi ma il resto (utenze, cartelle, etc) era a posto. ora lo ho eliminato di nuovo con my uninstaller. cmq, le cose sembrano andare a posto: il pc è più veloce e avast non mi ha più segnalato la presenza del trojan all'avvio di internet.
yanez
Utente Junior
 
Post: 21
Iscritto il: 24/08/06 08:27

Postdi Luke57 » 04/09/06 18:33

Ciao, nel secondo log di Gmer il servizio non appare più (in quanto disabilitato).

Se ti dà fastidio la presenza (verificabile dalla finestra Servizi) prova a lanciare queesto comando
start>esegui>sc delete WinTvr (lo digiti nello spazio)>OK

Per disistallare il Norton per bene, se hai la versione 2005, vai qui:
ftp://ftp.symantec.com/public/english_u ... MSIFIX.bat
Scarichi il file MSIFIX.bat sul desktop.
Poi salvi sempre sul desktop i seguenti file:
ftp://ftp.symantec.com/public/english_u ... SymNRT.exe

ftp://ftp.symantec.com/public/english_u ... LEANUP.reg

http://download.microsoft.com/download/ ... sicuu2.exe

Dopo aver salvato i file, ti scolleghi da internet.

Clicchi due volte sull'icona MSIFIX.bat e attendi che completi il suo lavoro.

Poi clicchi due volte sull'icona del file SymNRT.exe, nella finestra che si apre clicchi su Avanti, selezioni I accept the license Agreement e di nuovo su Avanti.
Copi la serie di caratteri che compare nel riquadro appena sopra il campo di testo e clicchi Avanti due volte di seguito.
Al termine riavvia il computer.

Una volta riavviato windows, clicchi sul file SYMMSICLEANUP.reg.
Nella finestra che si apre confermi la modifica al registro con .

Poi clicchi due volte sul file msicuu2.exe e segui le istruzioni d'istallazione. Al termine, clicchi in successione su Start, Tutti i programmi e Windows Install Cleanup.
Nella finestra che si apre clicchi su ogni riga che contiene le voci CC, cc, Norton, Symantec o MSRedist.
Clicchi poi Remove e confermi l'eliminazione.

Riavvii il computer e per eliminare gli ultimi residui fai
start>Cerca>Tutti i file e cartelle, scrivi Symantec nello spazio e cancelli tutte le voci trovate.
Ripeti inserendo la voce Norton.
N.B. Queste due ultime operazioni solo se non hai altri prodotti Symantec.

Ora non mi dire che hai una versione del Norton diversa da quella del 2005... ;)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi andorra24 » 04/09/06 21:11

lucas/s ha scritto:Manca molto per raggiungere la perfezione(sempre che sia possibile)il tool l'ho testato su un pc pieno zeppo di varianti e non ne ha rilevata nemmeno uno,nemmeno il bho con collegamente al file C:\Programmi\LinkOptimizer\linkoptimizer.dll,penso che a breve verrà aggiornato,ad eraser ho mandato alcuni files del linkoptmizer,ciao

E' uscita in serata una nuova versione del tool di eraser. Speriamo che adesso la situazione possa migliorare.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Alexsandra » 04/09/06 22:35

lucas/s ha scritto:Manca molto per raggiungere la perfezione(sempre che sia possibile)il tool l'ho testato su un pc pieno zeppo di varianti e non ne ha rilevata nemmeno uno,nemmeno il bho con collegamente al file C:\Programmi\LinkOptimizer\linkoptimizer.dll,penso che a breve verrà aggiornato,ad eraser ho mandato alcuni files del linkoptmizer,ciao
finora in rete non vedo grandi successi di questo tools, credo che finora sia ancora da affidarsi alla rimozione manuale.
Avatar utente
Alexsandra
Utente Senior
 
Post: 2358
Iscritto il: 09/01/06 20:31


Torna a Sicurezza e Privacy


Topic correlati a "tool x linkoptimizer - mi controllate se tutto è ok?":

Tool Carica batteria
Autore: tattare
Forum: Software Windows
Risposte: 9

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti