Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

connessione ad ENTER e INTERNET

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

connessione ad ENTER e INTERNET

Postdi Tecnologicamentenullo » 19/09/06 22:03

Buona sera a tutti, in particolare ad Andorra 24, che ha risolto diversi problemi di Virus qualche tempo fa a diversi utenti; io sono alle prese con il virus che mi crea la solita connessione ad ENTER o INTERNET, che ovviamente non ho.
Chiedo gentilmente a qualcuno se può aiutarmi, del resto il mio username la dice lunga sulla mia capacità.

Ho HijackThis per fare il LogFile, oltre NAV in teoria aggiornato.
Grazie in anticipo a tutti!!

Logfile of HijackThis v1.99.1
Scan saved at 22.59.01, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\srvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
C:\WINDOWS\TEMP\jemy1.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Documents and Settings\Andrea Chierici\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
O4 - HKLM\..\Run: [jemy1.exe] C:\WINDOWS\TEMP\jemy1.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2038617676
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD LT 2002 Ita\AcDcToday.ocx
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD LT 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD LT 2002 Ita\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA5EABE0-2B38-4512-B535-8AB494853DC9}: NameServer = 212.48.4.15 62.211.69.150
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\system32\srvc.exe
Tecnologicamentenullo
Newbie
 
Post: 4
Iscritto il: 19/09/06 21:47
Località: REGGIO EMILIA

Sponsor
 

Postdi andorra24 » 19/09/06 22:18

Guarda nel pannello di controllo/installazione applicazioni se hai una voce Aveo Attune e se la vedi disinstallala subito.

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\system32\srvc.exe
C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e dopo aver chiuso il browser e ogni altro programma aperto premi ''fix checked'' :

O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\system32\srvc.exe

Scarica killbox da qui: http://www.killbox.net/downloads/KillBox.exe
estrai l'eseguibile sul desktop
apri KillBox
inserisci all'interno della stringa bianca questo percorso
C:\WINDOWS\system32\srvc.exe
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso.
Poi ripeti la stessa operazione con questa stringa:
C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
e alla fine elimina l'intera cartella Aveo.

Hai il linkoptimizer probabilmente.
Scarica il tool:
http://www.prevx.com/gromozon.asp
disattiva momentaneamente l'antivirus, con i programmi e applicazioni chiusi, esegui il tool.
Al riavvio del computer, il programma terminerà la scansione nelle restanti cartelle di windows. Al termine della scansione sarà rilasciato un report in C:\Gromzon_Removal.log.
Posta il report qui sul forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

connessione ad ENTER e INTERNET

Postdi Tecnologicamentenullo » 21/09/06 21:53

andorra24 ha scritto:Guarda nel pannello di controllo/installazione applicazioni se hai una voce Aveo Attune e se la vedi disinstallala subito.

Apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\system32\srvc.exe
C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e dopo aver chiuso il browser e ogni altro programma aperto premi ''fix checked'' :

O4 - HKLM\..\Run: [AttuneClientEngine] C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
O23 - Service: Windows Service Manager (WSCM) - Unknown owner - C:\WINDOWS\system32\srvc.exe

Scarica killbox da qui: http://www.killbox.net/downloads/KillBox.exe
estrai l'eseguibile sul desktop
apri KillBox
inserisci all'interno della stringa bianca questo percorso
C:\WINDOWS\system32\srvc.exe
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso.
Poi ripeti la stessa operazione con questa stringa:
C:\PROGRA~1\Aveo\Attune\bin\attune_ce.exe
e alla fine elimina l'intera cartella Aveo.

Hai il linkoptimizer probabilmente.
Scarica il tool:
http://www.prevx.com/gromozon.asp
disattiva momentaneamente l'antivirus, con i programmi e applicazioni chiusi, esegui il tool.
Al riavvio del computer, il programma terminerà la scansione nelle restanti cartelle di windows. Al termine della scansione sarà rilasciato un report in C:\Gromzon_Removal.log.
Posta il report qui sul forum.



PER ANDORRA24
Stasera ho effettuato la procedura che mi hai consigliato; sembra che funzioni, anche se:

1) da "open process manager" non si riesce ad eliminare la voce C:\WINDOWS\system32\srvc.exe, file che avrei trovato dentro la cartella system32 ma non mi sono azzardato ad eliminarla con il tasto CANC (ho seguito alla lettera il tuo percorso); con kill.box ora questo benedetto file rimane nella omonina cartella e facendo il Log appare così C:\WINDOWS\system32\srvc.exe (file missing)

2) la password della mia connessione (l'unica che ho) ad Internet è diversa dalla mia originale (ha molte più lettere o numeri non si sa) e non c'è verso di cambiarla, mentre da Outlook guardando dall'account la password è in effetti la mia...

concludo riportando il report di gromozon, non prima di aver precisato che proprio oggi ho ricevuto la bolletta di Luglio-Agosto, che simpaticamente è più alta del solito di 105 EURO, con voci di chiamate effettuate a numeri mai visti ed intestati a società di *** tipo GLOBALSTA B, ELITEL, EUTELIA, con prezzi fissi talora di 5 EURO per 1 sec di chiamata, o prezzi "ridotti" di 17 EURO per 10 min di chiamata.

GRAZIE ANDORRA, SE HAI QUALCHE ALTRO CONSIGLIO...
report:
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\Temp\2.tmp
Removed!


Trojan.Gromozon Removed!
Tecnologicamentenullo
Newbie
 
Post: 4
Iscritto il: 19/09/06 21:47
Località: REGGIO EMILIA

Postdi andorra24 » 21/09/06 22:02

Scarica Gmer :
http://www.suspectfile.com/upload/files/tools/gmer.zip

Dopo averlo scompattato, lo avvii, selezioni "Rootkit" nella tabella dei Menu
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione Autostart, con le stesse procedure del precedente. Incolli il log generato nel suddetto block notes e poi incolli i due log in un post nel forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

connessione ad ENTER e INTERNET

Postdi Tecnologicamentenullo » 21/09/06 22:37

andorra24 ha scritto:Scarica Gmer :
http://www.suspectfile.com/upload/files/tools/gmer.zip

Dopo averlo scompattato, lo avvii, selezioni "Rootkit" nella tabella dei Menu
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione Autostart, con le stesse procedure del precedente. Incolli il log generato nel suddetto block notes e poi incolli i due log in un post nel forum.




ecco il primo LOG:

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-09-21 23:24:22
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT 81D090E8 ZwConnectPort
SSDT 81F6A100 ZwOpenProcess
SSDT 81EC21A0 ZwOpenThread

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{D754A333-B930-4B70-9658-814630C7DFFD}

---- EOF - GMER 1.0.10 ----



ECCO IL SECONDO:

GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-09-21 23:27:47
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
AtiExtEvent@DLLName = Ati2evxx.dll
WgaLogon@DLLName = WgaLogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Ati HotKey Poller@ = %SystemRoot%\system32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = C:\WINDOWS\system32\ati2sgag.exe
C-DillaSrv /*C-DillaSrv*/@ = C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
ccEvtMgr /*Symantec Event Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
ccSetMgr /*Symantec Settings Manager*/@ = "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
NPFMntor /*Norton AntiVirus Firewall Monitor Service*/@ = "C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe"
SBService /*ScriptBlocking Service*/@ = C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
SNDSrvc /*Symantec Network Drivers Service*/@ = "C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe"
SoundMAX Agent Service (default) /*SoundMAX Agent Service*/@ = C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
SPBBCSvc /*Symantec SPBBCSvc*/@ = "C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe"
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
Symantec Core LC /*Symantec Core LC*/@ = C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
WSCM /*Windows Service Manager*/@ = C:\WINDOWS\system32\srvc.exe /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ATIPTA"C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" = "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@ccApp"C:\Programmi\File comuni\Symantec Shared\ccApp.exe" = "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
@Symantec NetDriver MonitorC:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer = C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
@SmappC:\Programmi\Analog Devices\SoundMAX\SMTray.exe = C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
@gcasServ"C:\Programmi\Microsoft AntiSpyware\gcasServ.exe" = "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
@SMSERIALsm56hlpr.exe = sm56hlpr.exe
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@SunJavaUpdateSchedC:\Programmi\Java\jre1.5.0_04\bin\jusched.exe = C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
@Corel Reminder /*file not found*/ = /*file not found*/
@jemy1.exeC:\WINDOWS\TEMP\jemy1.exe = C:\WINDOWS\TEMP\jemy1.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@MSMSGS"C:\Programmi\Messenger\msmsgs.exe" /background = "C:\Programmi\Messenger\msmsgs.exe" /background
@swgC:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe = C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

HKLM\Software\Classes\.scr@ = C:\WINDOWS\NOTEPAD.EXE "%1"

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{9EF34FF2-3396-4527-9D27-04C8C1C67806} = C:\Programmi\Microsoft AntiSpyware\shellextension.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL = C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL
@{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD} /*Componente estensione della shell di CorelDRAW*/C:\Programmi\Corel\Graphics10\Draw\CdrViewer\CrlShell100.dll = C:\Programmi\Corel\Graphics10\Draw\CdrViewer\CrlShell100.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{02478D38-C3F9-4efb-9B51-7695ECA05670}C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll = C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar2.dll = c:\programmi\google\googletoolbar2.dll
@{BDF3E430-B101-42AD-A544-FADC6B084872}C:\Programmi\Norton AntiVirus\NavShExt.dll = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\ssstars.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Adobe Gamma Loader.lnk = Adobe Gamma Loader.lnk
Avvio veloce di Adobe Reader.lnk = Avvio veloce di Adobe Reader.lnk
Microsoft Office.lnk = Microsoft Office.lnk
NkbMonitor.exe.lnk = NkbMonitor.exe.lnk

---- EOF - GMER 1.0.10 ----
Tecnologicamentenullo
Newbie
 
Post: 4
Iscritto il: 19/09/06 21:47
Località: REGGIO EMILIA

Postdi andorra24 » 21/09/06 22:52

scarica avenger sul desktop
http://www.suspectfile.com/upload/files ... venger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\WSCM
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\jemy1.exe

Files to delete:
C:\WINDOWS\system32\srvc.exe
C:\WINDOWS\TEMP\jemy1.exe



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi Tecnologicamentenullo » 28/09/06 23:12

andorra24 ha scritto:scarica avenger sul desktop
http://www.suspectfile.com/upload/files ... venger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\WSCM
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\jemy1.exe

Files to delete:
C:\WINDOWS\system32\srvc.exe
C:\WINDOWS\TEMP\jemy1.exe



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt





Scusa se mi faccio vivo soltanto ora, ma ho avuto qualche problema. Ho fatto l'ultima procedura come da te suggerito, SEMBRA CHE VADA TUTTO BENE.

Con questa procedura, elimnando cioè srvc.exe e jemi1.exe pare essere sparita anche la seconda connessione fittizia oltre alla famigerata ENTER, ovvero INTERNET.

Rimane sempre impossibile cambiare la mia password di connessione....spero non sia nulla di sospetto. Ora però, non parte più il modem alla ricerca di sconosciuti ed ahime costosissimi numeri; che sollievo.

Chiedevo un suggerimento: cosa fare dei vari Killbox, Gromozon, Avenger, visto che il mio NAV ufficiale ed aggiornato non è stato certamente molto efficace? (mi è da poco scaduto l'abbonamento annuale...che faccio...?).

Allego intanto il LOg di AVenger, COME SEMPRE TANTE GRAZIE CIAO




Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pjqtanlw

*******************

Script file located at: \??\C:\Documents and Settings\nmihelne.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\CurrentControlSet\Services\WSCM deleted successfully.


File C:\WINDOWS\system32\srvc.exe not found!
Deletion of file C:\WINDOWS\system32\srvc.exe failed!

Could not process line:
C:\WINDOWS\system32\srvc.exe
Status: 0xc0000034

File C:\WINDOWS\TEMP\jemy1.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.


Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\jemy1.exe not found!
Deletion of registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Run\jemy1.exe failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Tecnologicamentenullo
Newbie
 
Post: 4
Iscritto il: 19/09/06 21:47
Località: REGGIO EMILIA

Postdi andorra24 » 28/09/06 23:24

Ci sono gli ultimi controlli da fare e abbiamo finito.

1)Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK

Nella finestra Account utente, controlla se c'e' un'utenza sospetta con nome strano (oltre le consuete Administrator, Utente, Aspnet). Se c'e' questa utenza dal nome molto strano eliminala (click con il destro e scegli elimina).

2) Rendi visibili file e cartelle nascosti:
Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su ''visualizza cartelle e file nascosti'' e togli la spunta da "nascondi file protetti di sistema (consigliato)''.

Vai in C:\Documents and Settings, e se trovi una cartella con lo stesso nome dell'utenza del punto 1 eliminala.

3) Controlla nel pannello di controllo/installazione applicazioni se hai le seguenti voci ''LinkOptimizer'' e/o ConnectionServices''. Se le trovi non toccare nulla ma scarica MyUninstaller da qui:

http://www.nirsoft.net/utils/myuninst.html

con questo programmino potrai disistallare LinkOptimizer e/o ConnectionServices.
Apri il programma, click su myuninst.exe, attendi che vengano elencate le applicazioni presenti, evidenzia Linkoptimizer e/o Connection Services , click con il dx e scegli ''Delete selected entries''.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi invino » 06/10/06 14:09

Gent.mo admin

ho seguito pedissequamente i consigli che Lei ha dato all'altro utente, che sembra aver risolto i suoi problemi.

Io ho lo stesso tipo di problema, ma evidentemente necessito di una cura differente. Cosa mi consiglia?

Grazie.
invino
Utente Junior
 
Post: 23
Iscritto il: 06/10/06 14:06

Postdi invino » 06/10/06 14:13

Dimenticavo, questo è il risultato della scansione con Hijack This.

Spero sia una giusta base di partenza per la risoluzione.

Logfile of HijackThis v1.99.1
Scan saved at 15.12.01, on 06/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\STRADA~1\IMPOST~1\Temp\Rar$EX00.954\gmer.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\STRADA~1\IMPOST~1\Temp\Rar$EX00.563\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Strada™\10382518.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5EFDC13-4DE9-4BC0-AFF2-47423747DF0D}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
invino
Utente Junior
 
Post: 23
Iscritto il: 06/10/06 14:06

Postdi andorra24 » 06/10/06 14:33

invino sei sicuro di aver copiato il log di hijackthis per intero? Non vedo nessuna voce O23 relativa ai servizi.

Con hijackthis metti la spunta nella casellina accanto alla seguente voce e dopo esserti disconnesso da internet ed aver chiuso tutti i programmi aperti premi ''fix checked'':

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Strada™\10382518.dll

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema''.

Scarica killbox: http://www.killbox.net/downloads/KillBox.exe
estrai l'eseguibile sul desktop
apri KillBox
inserisci all'interno della stringa bianca questo percorso:
C:\Documents and Settings\Strada™\10382518.dll
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso.

Non vedo nessun antivirus e nessun firewall nel tuo log. Non li usi? Sono indispensabili, specialmente il firewall.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi invino » 06/10/06 14:42

Grazie, ho eseguito le operazioni.

Per quanto riguarda i firewall, ho installato or ora (intendo da quando ho riscontrato l'hacking, quindi ho gia fatto gli scan) Ad-Aware Professional e Spybot S&D.

Devo far altro?

Ancora un grazie per la cortesia, spero di poter ricambiare.
invino
Utente Junior
 
Post: 23
Iscritto il: 06/10/06 14:06

Postdi invino » 06/10/06 15:04

Mi perdoni il post addirittura triplo: la connessione ENTER continua a comparire anche dopo aver eseguito le operazioni da Lei suggerite
invino
Utente Junior
 
Post: 23
Iscritto il: 06/10/06 14:06

Postdi andorra24 » 06/10/06 15:06

invino ha scritto:Per quanto riguarda i firewall, ho installato or ora (intendo da quando ho riscontrato l'hacking, quindi ho gia fatto gli scan) Ad-Aware Professional e Spybot S&D.


Adaware e Spybot non sono firewall ma antispyware. E' fondamentale che installi un firewall oppure attiva il firewall di XP. Poi dovresti mettere un antivirus (ad esempio Antivir oppure Avast Home).
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi invino » 07/10/06 09:11

Nonostante abbia scrupolosamente apprtato le migliorie al mio sistema di difesa, il problema sembra essere permaso.

Spero di non sfruttare oltremodo la sua gentilezza.
invino
Utente Junior
 
Post: 23
Iscritto il: 06/10/06 14:06

Postdi andorra24 » 07/10/06 10:34

andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi invino » 09/10/06 15:48

Questo è il verdetto di BitDefender...

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\7L6F1HDX\drf1160309069[1].htm.exe
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\7L6F1HDX\drf1160309069[1].htm.exe
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\7L6F1HDX\drf1160309069[1].htm.exe
Deleted

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160316509[1].htm.exe
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160316509[1].htm.exe
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160316509[1].htm.exe
Deleted

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160331321[1].htm.exe
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160331321[1].htm.exe
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160331321[1].htm.exe
Deleted

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160338761[1].htm.exe
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160338761[1].htm.exe
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160338761[1].htm.exe
Deleted

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\WRRZ2OLP\drf1160353583[1].htm
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\WRRZ2OLP\drf1160353583[1].htm
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\WRRZ2OLP\drf1160353583[1].htm
Delete failed

C:\System Volume Information\_restore{6FE2472F-9F62-4D71-940F-6B0DDFED3035}\RP19\A0004329.dll
Infected with: Trojan.Downloader.Tukpat.A

C:\System Volume Information\_restore{6FE2472F-9F62-4D71-940F-6B0DDFED3035}\RP19\A0004329.dll
Disinfection failed

C:\System Volume Information\_restore{6FE2472F-9F62-4D71-940F-6B0DDFED3035}\RP19\A0004329.dll
Deleted


...ma il problema persiste.
invino
Utente Junior
 
Post: 23
Iscritto il: 06/10/06 14:06

Postdi invino » 09/10/06 15:53

In aggiunta,queste sono le dichiarazioni di HiJackThis ad oggi...


Logfile of HijackThis v1.99.1
Scan saved at 16.52.45, on 09/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\devldr32.exe
D:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
D:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\STRADA~1\IMPOST~1\Temp\Rar$EX00.297\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = D:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5EFDC13-4DE9-4BC0-AFF2-47423747DF0D}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
invino
Utente Junior
 
Post: 23
Iscritto il: 06/10/06 14:06

Postdi andorra24 » 09/10/06 17:02

Bitdefender ha eliminato tutte le infezioni che ha trovato e il log di hijackthis che hai postato e' pulito.

Fai un po' di pulizia dei files temp. Scarica ATF Cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(per eliminare file temporanei di windows e IE)
Avvia ATF cleaner, clicca sul menu "main" e poi seleziona la casella "Select All". Adesso clicca sul pulsante "Empty selected" e aspetta il messaggio "Done Cleaning!".
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi invino » 10/10/06 06:42

Non so quanto possa servire, ma dato che la situazione non è migliorata nemmeno dopo aver usato ATF cleaner, ho pensato ad un nuovo scan con bit defender...

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\1O8F590P\drf1160405032[1].htm.exe
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\1O8F590P\drf1160405032[1].htm.exe
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\1O8F590P\drf1160405032[1].htm.exe
Delete failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\C7FUVA2G\drf1160375837[1].htm
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\C7FUVA2G\drf1160375837[1].htm
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\C7FUVA2G\drf1160375837[1].htm
Deleted

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\C7FUVA2G\drf1160375837[1].htm.exe
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\C7FUVA2G\drf1160375837[1].htm.exe
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\C7FUVA2G\drf1160375837[1].htm.exe
Deleted

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\C7FUVA2G\drf1160412448[1].htm.exe
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\C7FUVA2G\drf1160412448[1].htm.exe
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\C7FUVA2G\drf1160412448[1].htm.exe
Delete failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160427256[1].htm.exe
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160427256[1].htm.exe
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\QLVSPW7Y\drf1160427256[1].htm.exe
Delete failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\WRRZ2OLP\drf1160353583[1].htm
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\WRRZ2OLP\drf1160353583[1].htm
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\WRRZ2OLP\drf1160353583[1].htm
Deleted

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\WRRZ2OLP\drf1160353583[1].htm.exe
Infected with: Trojan.Dialer.RI

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\WRRZ2OLP\drf1160353583[1].htm.exe
Disinfection failed

C:\Documents and Settings\Strada™\Impostazioni locali\Temporary Internet Files\Content.IE5\WRRZ2OLP\drf1160353583[1].htm.exe
Deleted
invino
Utente Junior
 
Post: 23
Iscritto il: 06/10/06 14:06

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "connessione ad ENTER e INTERNET":


Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti