Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

xxxx adultkey

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

xxxx adultkey

Postdi gregKind » 09/10/06 14:28

allora, salve a tutti.
ho anke io lo stramaledetto problema di archivio sexx e della finestra verde ke sta mangiukkiando l'hardware del mio povero computer...cmq, nonostante la mia totale ignoranza sul computer, ho scaricato hijackthis ( a proposito, ki sarbbe così gentile da dirmi cm diamine si fa a copiarlo in un folder suo???perchè io lo apro cn winzip e mi dice k dovrei spostarlo in un folder dedicato a lui, ma cm si fa???)
cmq dicevo, hijack mi ha tirato fuori il seguente log:

Logfile of HijackThis v1.99.1
Scan saved at 20.00.38, on 08/10/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MIXER.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\LEXMARK X1100 SERIES\LXBKBMGR.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\TEMP\PSSU1.EXE
C:\PROGRAMMI\LEXMARK X1100 SERIES\LXBKBMON.EXE
C:\PROGRAMMI\SAMSUNG\SAMSUNG MEDIA STUDIO\SAMSUNGMEDIASTUDIOAGENT.EXE
C:\WINDOWS\MSNCOMM.EXE
C:\WINDOWS\VOLUMEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\WINDOWS\APPLICATION DATA\RATOREFACI\SYSRTMVS.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\SYSFIND.EXE
C:\WINDOWS\SYSTEM\W98EJECT.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\MSNCOMM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\WINDOWS MEDIA PLAYER\WMPLAYER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\APPLICATION DATA\TACK.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {155403EC-4F20-723F-805C-B223A5E5A17D} - C:\WINDOWS\XLBRU1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [PSSU1.EXE] C:\WINDOWS\TEMP\PSSU1.EXE
O4 - HKLM\..\Run: [YeppStudioAgent] C:\PROGRAMMI\SAMSUNG\SAMSUNG MEDIA STUDIO\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [ImMsn] C:\WINDOWS\msncomm.exe /i
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\VOLUMEC.EXE -i
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\Run: [aouei] C:\WINDOWS\Application Data\ratorefaci\sysrtmvs.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FILECO~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: w98Eject.lnk = C:\WINDOWS\SYSTEM\w98Eject.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.xxx-content.name
O15 - Trusted Zone: http://www.sgrunt.biz

ora ci sarebe qualcuno k possa dirmi in semplicissime parole cosa fare x liminare il poblema??? grazie a tutti!!!!
gregKind
Utente Junior
 
Post: 10
Iscritto il: 09/10/06 13:30

Sponsor
 

Stesso problema xxx adult key

Postdi funluke_1 » 09/10/06 15:48

Stesso problema per me, questo è il log:

Logfile of HijackThis v1.99.1
Scan saved at 16.38.38, on 09/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\sescmgr.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\Cordless USB Phone\Cordless DUALphone Suite.exe
C:\Mightyfax\MFNTCTL.EXE
C:\Programmi\WLAN Technology Corporation\802.11g_Utility\ZDWlan.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\rdpslip.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Documents and Settings\Luca\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {323F381D-7F48-A5A5-F7A6-465C810FD1C5} - C:\WINDOWS\fipkc1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Skype™ For Internet Explorer - {B13721C7-F507-4982-B2E5-502A71474FED} - C:\Skype\toolbars\Skype for Internet Explorer\toolbar.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [sctrlmgr] C:\WINDOWS\system32\sescmgr.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [irrt1.exe] C:\WINDOWS\Temp\irrt1.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: 802.11g USB 2.0 WLan Utility.lnk = C:\Programmi\WLAN Technology Corporation\802.11g_Utility\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Cordless DUALphone Avvio.lnk = C:\Programmi\Cordless USB Phone\Cordless DUALphone Suite.exe
O4 - Global Startup: MightyFAX Controller.lnk = C:\Mightyfax\MFNTCTL.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.aflashcounter.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0863471281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0865095625
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Programmi\Norton Internet Security\ISSVC.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SrvIxx - Unknown owner - C:\Programmi\File comuni\Services\bGF.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
funluke_1
Utente Junior
 
Post: 19
Iscritto il: 09/10/06 15:42

Postdi holifay » 09/10/06 17:16

@gregKind:

Il problema che a parte sgrunt hai anche linkoptimizer, credo variante non rootkit, dato che i file sono visibili sul PC.

Prova a fare così:

1) scarica Killsgrunt http://www.francydelorenzi.it/Sicurezza ... illsgrunt/
2) Scarica Virit, installalo ed aggiornalo http://www.tgsoft.it/italy/index_ita.html

Avvia Killsgrunt e segui le istruzioni

Avvia HijackThis, metti un segno di spunta accanto a queste voci e poi premi Fix checked
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {155403EC-4F20-723F-805C-B223A5E5A17D} - C:/WINDOWS/XLBRU1.DLL
O4 - HKLM/../Run: [PSSU1.EXE] C:/WINDOWS/TEMP/PSSU1.EXE
O4 - HKLM/../Run: [ImMsn] C:/WINDOWS/msncomm.exe /i
O4 - HKLM/../Run: [VolControl] C:/WINDOWS/VOLUMEC.EXE -i
O4 - HKLM/../Run: [Systems] C:/WINDOWS/SYSTEM/sysmon.exe
O4 - HKLM/../Run: [aouei] C:/WINDOWS/Application Data/ratorefaci/sysrtmvs.exe
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.softlab.name
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: http://www.xxx-content.name
O15 - Trusted Zone: http://www.sgrunt.biz


Riavvi ain modalità provvisoria e fai la scansione con Virit. Cancella quello che trova. Se trova qualcosa, fai una nuova scansione, sempre in provvisoria, dopo il riavvio.

Dalla modalità provvisoria, cerca ed elimina questi file:
C:/WINDOWS/APPLICATION DATA/TACK.EXE
C:/WINDOWS/XLBRU1.DLL
C:/WINDOWS/TEMP/PSSU1.EXE
C:/WINDOWS/msncomm.exe
C:/WINDOWS/VOLUMEC.EXE
C:/WINDOWS/SYSTEM/sysmon.exe
C:/WINDOWS/SYSTEM/SYSFIND.EXE

Cerca ed elimina questa cartella: C:/WINDOWS/Application Data/ratorefaci/

Svuota la cartella C:/windows/temp

Svuota il cestino.

Riavvia in modalità normale e controlla da HijackThis se quelle voci cancellate sono tornate, se sì, ripeti la procedura (selezionale >>Fix checked) e controlla se sono sparite definitivamente

Poi posta un nuovo log di HijackThis


NOTA:
- se non trovi i file, abilita la visualizzazione dei file nascosti e di sistema http://www.xtra.co.nz/help/0,,4155-1916458,00.html
- per eliminare i file, se non riesci manualmente, usa Killobox. Li puoi cancellare tutti in una volta cliccando su Delete on Reboot >> All files e incollando nel box l´elenco di tutti i file e cartelle che vuoi cancellare (elenco che ti puoi preparare nel blocco note)

Ciao :)
Pensi di avere un file infetto? Invialo a SuspectFile
holifay
Utente Junior
 
Post: 37
Iscritto il: 02/10/06 23:12

Postdi funluke_1 » 09/10/06 17:59

Nel messaggio che ho inviato prima con il log di Hijack avevo già eliminato(fixed) un paio di cose poichè le avevo riscontrate guardando quelle di un altro utente.

Che altro devo eliminare o fare?
Qualcuno ha controllato per caso il mio log?

Grazie
funluke_1
Utente Junior
 
Post: 19
Iscritto il: 09/10/06 15:42

Postdi Luke57 » 09/10/06 18:23

@funluke_1

Ciao, scarica questo tool della symantec :
http://smallbiz.symantec.com/security_r ... 16-4153-99

Eseguilo . L´esito viene salvato nel file FixLinkopt.log

Poi scarica questo tool:
http://www.prevx.com/gromozon.asp

eseguilo sul tuo computer. Al riavvio, il programma terminerà la scansione nelle restanti cartelle di windows. Puoi rispondere di no alla richiesta di installare un elemento della Prevx.
Sarà rilasciato un report in C:\Gromozon_Removal.log

Aggiorna Virit.

Poi copia hijackthis.exe in una cartella del disco fisso appositamente creata, tipo C:\HJT, non desktop né temporanea, affinché il programma possa fare un backup delle voci rimosse.
Apri poi hijackthis.exe di questa cartella, disconnesso da internet, browser e applicazioni chiusi, premi “open the misc tools section”, “open process manager”, cerchi ed evidenzi i seguenti processi:
C:\WINDOWS\system32\sescmgr.exe

Premi kill process

Torni alla pagina principale con back, premi “scan”, cerchi e spunti le seguenti voci (se non ci sono non ti preoccupare, vai avanti lo stesso):
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {323F381D-7F48-A5A5-F7A6-465C810FD1C5} - C:\WINDOWS\fipkc1.dll (file missing)
O4 - HKLM\..\Run: [irrt1.exe] C:\WINDOWS\Temp\irrt1.exe
O15 - Trusted Zone: *.aflashcounter.com
O23 - Service: SrvIxx - Unknown owner - C:\Programmi\File comuni\Services\bGF.exe

Premi fix checked.

Riparti in modalità provvisoria:
(Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)

Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

cerchi ed elimini, se ci sono, i seguenti file:

C:\WINDOWS\system32\sescmgr.exe

Elimina poi tutti i file temporanei di windows temp e tmp (da start>cerca>tutti i file e cartelle, copi e incolli: *.temp;*.tmp, ed elimini tutti quelli trovati)

sulle opzioni Internet cancella la cache di IE ( sull’opzione elimina file temporanei spunta anche “elimina il contenuto non in linea”, i cookies, cronologia)
svuota il cestino.

Da pannello di controllo.installazioni/applicazioni controlla che non vi siano programme non installati da te (se trovi Linkoptimizer e/o Connection services e/o Power verify non DISISTALLARE)
Invece apri hijackthis, premi “open the misc tools section”, “open unistall manager”, cerchi le voci suddette, se ci sono le evidenzi, pfremi “delete this entry”.

Esegui una scansione completa con Virit.

Riavvia in mod.normale, rifai una scansione completa con Virit, posta:
report di Virit
report del tool della Prevx
report del tool della symantec
nuovo log di hiajckthis
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi funluke_1 » 09/10/06 18:37

Ciao, scusami ma dai 2 link che mi hai dato mi da "impossibile visualizzare la pagina" :

http://smallbiz.symantec.com/security_r ... 16-4153-99

http://www.prevx.com/gromozon.asp

Che faccio?
funluke_1
Utente Junior
 
Post: 19
Iscritto il: 09/10/06 15:42

Postdi Luke57 » 09/10/06 18:47

Ciao, aggiorna Virit alle ultime definizioni, fai una scansione dalla mod.normale e una dalla modalità provvisoria.
Riprova poi a scaricare i tools.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi funluke_1 » 09/10/06 19:00

La scansione già l'ho fatta in tutte e due le modalità, trova delle cose e le elimina, ma quando riavvio ritorna ad essere tutto come prima.

Quei tool non riesco a scaricarli
Che faccio?
funluke_1
Utente Junior
 
Post: 19
Iscritto il: 09/10/06 15:42

Postdi gregKind » 09/10/06 22:03

ciao ho seguito le tue istruzioni nonostante la mia totale incapacità... ecco qui il nuovo log di hijack
ke faccio ora?? grazie 1000....!!!!

Logfile of HijackThis v1.99.1
Scan saved at 22.58.57, on 09/10/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MIXER.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\LEXMARK X1100 SERIES\LXBKBMGR.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\PROGRAMMI\SAMSUNG\SAMSUNG MEDIA STUDIO\SAMSUNGMEDIASTUDIOAGENT.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMI\LEXMARK X1100 SERIES\LXBKBMON.EXE
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\W98EJECT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\VEXPLITE\VIRITEXP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [YeppStudioAgent] C:\PROGRAMMI\SAMSUNG\SAMSUNG MEDIA STUDIO\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FILECO~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: w98Eject.lnk = C:\WINDOWS\SYSTEM\w98Eject.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

ciao
gregKind
Utente Junior
 
Post: 10
Iscritto il: 09/10/06 13:30

Postdi holifay » 09/10/06 23:56

@gregKind: mi sembra quasi un miracolo... è andato via tutto :) Installa subito un firewall ed un antivirus, per cercare di proteggerti un po´ di più. Poi fai una scansione online antivirus, per togliere eventuali malware addormentati ;) : http://security.symantec.com/sscv6/defa ... &venid=sym

@funluke_1:Ti ho messo entrambi i tool prevx e symantec qui: http://www.mytempdir.com/981385
Fai come ti ha detto Luke: dalla modalità provvisoria, prima usa VIrit e poi, senza riavviare, i due tool.
Pensi di avere un file infetto? Invialo a SuspectFile
holifay
Utente Junior
 
Post: 37
Iscritto il: 02/10/06 23:12

Postdi funluke_1 » 10/10/06 01:04

Prima che arrivasse l'ultimo post di rispota ho fatto tutto ciò che era indicato nel post precedente tranne i due tool (che non riuscivo a scaricare)
Ho eseguito lo scan von virIT e non ha trovato virus o altro.
Quando riavvio il computer continua a comparire però una finestra di virIT la quale indica una modifica e una file che vuole entrare : " \\?\C:WINDOWS\COM8.LKZ "

Ti mando comunque l'ultimo log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 1.54.47, on 10/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\Cordless USB Phone\Cordless DUALphone Suite.exe
C:\Mightyfax\MFNTCTL.EXE
C:\Programmi\WLAN Technology Corporation\802.11g_Utility\ZDWlan.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {323F381D-7F48-A5A5-F7A6-465C810FD1C5} - C:\WINDOWS\fipkc1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Skype™ For Internet Explorer - {B13721C7-F507-4982-B2E5-502A71474FED} - C:\Skype\toolbars\Skype for Internet Explorer\toolbar.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [sctrlmgr] C:\WINDOWS\system32\sescmgr.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: 802.11g USB 2.0 WLan Utility.lnk = C:\Programmi\WLAN Technology Corporation\802.11g_Utility\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Cordless DUALphone Avvio.lnk = C:\Programmi\Cordless USB Phone\Cordless DUALphone Suite.exe
O4 - Global Startup: MightyFAX Controller.lnk = C:\Mightyfax\MFNTCTL.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programmi\File comuni\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0863471281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0865095625
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Programmi\Norton Internet Security\ISSVC.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe




Dopo aver letto l'ultimo post, ho scaricato i due Tool ma entrambi non funzionano, nel senso che provo a farli partire ma non succede nulla.
La finestrella di "xxx adult key" e alcune cose che suddevano tipo il cambio di homepage e delle pagine html che si infilavano un po ovunque tipo tra i preferiti e sul desktop non ci sono più, tuttavia trovo il pc più lento, soprattutto nella navigazione su internet.
Grazie per l'aiuto finora datomi, spero di riuscire a risolvere tutto...aspetto notizie
funluke_1
Utente Junior
 
Post: 19
Iscritto il: 09/10/06 15:42

Postdi Luke57 » 10/10/06 07:42

Ciao, prova a fare questo tentativo (di riacquisire i diritti di debug dei programmi):
Se hai Windows XP professional é possibile ristabilire il permesso semplicemente accedendo al pannello di controllo e poi andando sugli Strumenti di amministrazione. Da qui andare su Criteri di Protezione locale (per trovarlo piú facilmente si puó passare nel pannello di controllo alla visualizzazione classica delle icone). Poi andare su assegnazione diritti utenti (é un sottogruppo della chiave Criteri Locali) e facciamo doppio click sul valore Debug di programmi. Nella finestra che si aprirá clicchiamo su Aggiungi utente o gruppo, poi Tipi di oggetto e spuntiamo la casella Gruppi in alto e poi sull’utente da aggiungere scriviamo Administrators. Diamo ok e riavviamo il pc. Al successivo start di sistema tutti gli account di amministratore avranno il permesso riattivato.
A quel punto prova a utilizzare i tools.
Lo scritto seguente è tratto da qui (spiegazione anche per chi ha XP home):
http://www.pcalsicuro.com/main/

Inoltre, fai questo controllo:
start>esegui>services.msc (lo digiti nello spazio)>OK
Nella finestra dei Servizi, nella colonna connessione di solito il malware inserisce uno o più servizi con nome casuale tipo SwrTxy invece delle solite Servizio di rete o Sistema locale.
Fai click sul servizio>Proprietà, verifica il percorso del file eseguibile, se presente.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi funluke_1 » 10/10/06 10:37

Ho fatto la prima parte del post (riacquisire i diritti di debug dei programmi). Ho provato a lanciare i 2 tool sia in modalità normale che in quela provvisoria ma niente. Tra l'altro se provo ad andare sul link che mi hai dato (http://www.pcalsicuro.com/main/)mi da "impossibile visu...". Strano..perchè se cerco pcalsicuro su google, il sito lo trova, ma se ci provo a cliccare sopra di nuovo "impossibile visua..."

Ho fatto il controllo su services.msc. C'è un servizio con questi parametri:

Nome: SrvIxx

Descrizione: Gestisce la configurazione di rete registrando e aggiornando indirizzi IP e nomi DNS

Stato: (vuoto)

Tipo di avvio: disabilitato

Connessione: .\UOjCuby
funluke_1
Utente Junior
 
Post: 19
Iscritto il: 09/10/06 15:42

Postdi Luke57 » 10/10/06 11:10

Ciao, è il malware che ti inibisce qualsiasi azione che potrebbe rivolgersi contro di lui.
Lancia questo comando:
start>esegui>cmd>OK
Aperto il prompt dei comandi, digita letteralmente:
sc qc SrvIxx ---------- > premi Invio
dovrebbe apparire una schermata con le proprietà del servizio malefico:
nella voce Binary Path Name è indicato il percorso del file eseguibile.
Comunicami il percorso.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi funluke_1 » 10/10/06 11:22

C:\Programmi\File Comuni\Services\PBIK.exe
funluke_1
Utente Junior
 
Post: 19
Iscritto il: 09/10/06 15:42

Postdi Luke57 » 10/10/06 12:38

Ciao, proviamo questa procedura tratta e adattata da collectiontricks di Lady Hawke, sperando che Virit trovi qualcosa (mi raccomando, aggiornalo all’ultima versione):

scarica Pserv da qui:
http://www.ilsoftware.it/querydl.asp?ID=640

Scarica AVGPfix da qui:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

Scarica CCleaner pulizia file temporanei:
http://www.ccleaner.com/ccdownload.asp
(lasci le opzioni come sono tranne che in Avanzate togli la spunta a “elimina file temporanei di windows se più vecchi di 48 ore”)

Visualizza file e cartelle nascosti di sistema:
risorse del computer>strumenti>opzioni cartella>visualizzazione, metti la spunta a “visualizza file e cartelle nascosti di sistema”
la togli a “nascondi file protetti di sistema”, confermando con Sì la richiesta di window>OK

Disconnesso da internet, browser e applicazioni chiusi,

1) Apri hiajckthis, premi “do a system scan only”, cerchi e spunti le seguenti voci:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {323F381D-7F48-A5A5-F7A6-465C810FD1C5} - C:\WINDOWS\fipkc1.dll (file missing)

Premi fix checked

2) Apri e chiudi il programma, premi “open the misc tols section”, “open unistall manager”, cerchi tra le applicazoni:
linkoptimizer;
Connection services
Power verify

Qualsiasi voce trovata di queste tre la evidenzi e premi il tasto “delete this entry”.

3) Esegui Ccleaner per la pulizia dei file temporanei (meglio sarebbe controllare manualmente che sia cancellato tutto il contenuto delle cartelle Temp e Temporary Internet Files, e Prefetch – quest’ultima cartella la trovi in C:\Windows\, la svuoti lasciando lì solo il file layout.ini)

4) Lancia Virit e fagli fare una scansione del sistema: riavvia se lo richiede per mettere qualcosa in quarantena

5) Elimina il servizio SrvIxx con la funzione Delete di Pserv

6) Lancia AGVPFix ed elimina il file:
C:\Programmi\File Comuni\Services\PBIK.exe

7) Cerca nella stessa cartella Services se vi sono altri files colorati di verde o comunque eseguibili con nomi casuali che dovresti poter cancellare a mano, altrimenti usa ancora AGVPFix (potrebbero essere anche parecchi)

8 - Riavvia per rendere attive le modifiche

9) Rilancia Virit, aggiornalo, e fagli fare un'altra scansione o due (trova spesso i files nascosti a più riprese) Fino a qualche giorno fa, Virit non riusciva a gestire file nascosti del tipo –\\?\c:\windows\[random o nome file non permesso].com, lpt, nul, prn, anche se li segnala all'avvio come attivi, ma dalla versione del 21/09 è in grado di rimuovere anche i file nascosti: l'unico neo appunto, è che va eseguito più volte

10) Rifatti vivo al termine dei lavori ;)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi gregKind » 10/10/06 14:18

ciao holifay!!!
innanzitutto grazie x l'aiuto....preziosissimo.....non mi sembra vero ke quella dannata finestra verde se ne sia andata!! cmq, nonostante ciò credo ci sia ancora qualke problemino:
1 - virit si avvia automaticamente mentre accendo il pc, avvia la scansione ma spesso si blocca perchè appare il messaggio "il programma ha eseguito un operazione nn valida e sarà terminato" (aaaaaaaaaaaaargh!!!)
2 - la finestra about:blank resta lì immobile nonostante io abbia scelto da un eternità msn come home page e non abbia mancato di ricordarlo al pc, ke cmq nn ne vuole sapere...!
3 - per quanto riguarda la scansione online di symantec, ce ne sono due che potrei fare, io ho scelto quella antivirus ma nn sembra stia accadendo qlcs!
4 - alla fine della scansione ke, fortunatamente,si è completata 1 min fa, virit mi dice "files infetti 2;files sospetti 0;chiavi registro rimosse 0;virus rimossi 0" e i 2 files infetti k fine fanno???
5 - visto k nn ho il norton, mi sapresti consigliare dove e quale antivirus, antispyware, o che so io, scaricare??
grazie grazie grazie infinitamente per il tuo tempo e la tua infinita pazienza!!!
ciao
gregKind
Utente Junior
 
Post: 10
Iscritto il: 09/10/06 13:30

Postdi gregKind » 10/10/06 14:20

ooops dimenticavo... allego anke il nuovo log di hijack k ho fatto fare, giusto x essere sicuri ke sia tutto davvero pulito!!! grazie ankora!!!

Logfile of HijackThis v1.99.1
Scan saved at 15.05.35, on 10/10/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MIXER.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\LEXMARK X1100 SERIES\LXBKBMGR.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\PROGRAMMI\SAMSUNG\SAMSUNG MEDIA STUDIO\SAMSUNGMEDIASTUDIOAGENT.EXE
C:\PROGRAMMI\LEXMARK X1100 SERIES\LXBKBMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\W98EJECT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\VEXPLITE\VIRITEXP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\WINDOWS\SYSTEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [YeppStudioAgent] C:\PROGRAMMI\SAMSUNG\SAMSUNG MEDIA STUDIO\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FILECO~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: w98Eject.lnk = C:\WINDOWS\SYSTEM\w98Eject.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

ciao
gregKind
Utente Junior
 
Post: 10
Iscritto il: 09/10/06 13:30

Postdi funluke_1 » 10/10/06 14:25

Ho fatto tutto quanto, l'unico problema che ho riscontrato durante la procedura è che non sono riuscito ad eliminare una cartella nella cartella Temporary internet file. La cartella si chiama contentIE5 e il file index.dat.
Premetto che su questo pc ci sono 2 utenze, l'eliminazione dei vari file temp l'ho eseguita su entrambe e il file index.dat sull'altra utenza sono riuscito ad eliminarlo.

Ho fatto una scansione con VirIt per 3 volte e non ha trovato nulla. Ma quando avvio il pc appare una sua finestra che dice ciò:

ATTENZIONE!!

Il registro dei programmi in esecuzione automatica è stato modificato
Il seguente programma è in esecuzione automatica:
C:\\WINDOWS\COM8.LKZ

poi nuovamente con la stessa frase ma il prg in esecuzione automatica è:
C:\\WINDOWS\FIPKC1.DLL

Che fare?

P.S.Cosa che probabilemente non sai è l'ativirus che avevo prima (fino a un giorno fa) era il Norton...poichè era stato bucato dal virus l'ho disinstallato e leggendo ho messo il VirIT che scadrà fra 30gg poichè è in prova. Il Norton non pernso si sia disinstallato bene tral'altro...
Penso di aqcuisatare un altro antivirus quale mi consigli?

Il pc sembra fnzioni ma la navigazione a mio avviso risulta essere un pò più lenta (tieni presente che ho un'adsl a 12mega)...ho provato ad aprire i link sui post precedenti per vedere se funzionava ma il problema è rimasto
funluke_1
Utente Junior
 
Post: 19
Iscritto il: 09/10/06 15:42

Postdi Luke57 » 10/10/06 15:11

Ciao, mannaggia, perchè non si aprono i programmi?
Posta nuovo log di hijackthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "xxxx adultkey":

xxx adultkey
Autore: gica
Forum: Sicurezza e Privacy
Risposte: 5
aiuto xxx adultkey
Autore: roby1969
Forum: Sicurezza e Privacy
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti