Perchè il mio firewall si prende paura????

di **CuoreSportivo** » 24/06/07 19:13

Ciao Luke, tempo fa mi hai dato una mano con un certo "istant access",e ti ringrazio, ora son di nuovo qui a chiederti aiuto...questo è quanto:

alcuni giorni fa,di punto in bianco, accendo il pc, e vedo che dalla barra delle applicazioni è sparita l'icona dell'antivirus (F-secure), della scheda grafica e,come con istant access, agendo sul controllo del volume non mi fa vedere sul video le barrette...(cavolate forse, pero'...)BECCATO!! Ho capito che c'era qualcosa di strano...come scritto nell'oggetto, il firewall si prende paura e non controlla piu' gli accessi e i programmi in "uscita", non fa gli aggiornamenti automatici...ma è possibile??? mah...Faccio una scansione con adware,che non rileverà niente, e intanto spunta fuori F-secure che trova file dannosi tipo: ROOTKIT, SPAMTOOL, TROJAN-CLICKER...

[b]Ho scaricato hijackthis e questo è il file che ha estratto:[/b]

Logfile of HijackThis v1.99.1
Scan saved at 19.57.14, on 24/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Ansys Inc\Shared Files\Licensing\intel\lmgrd.exe
C:\Programmi\Ansys Inc\Shared Files\Licensing\intel\ansyslmd.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programmi\F-Secure\Anti-Virus\fssm32.exe
C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programmi\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\Programmi\F-Secure\Common\FSMA32.EXE
C:\Programmi\F-Secure\Common\FSMB32.EXE
C:\Programmi\F-Secure\Common\FCH32.EXE
C:\Programmi\F-Secure\Common\FAMEH32.EXE
C:\Programmi\F-Secure\Common\FNRB32.EXE
C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
C:\Programmi\F-Secure\Common\FIH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Arcade\PCMService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft Office\Office\OSA.EXE
C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
C:\Programmi\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\Arcade\bak\PCMService.exe
C:\Programmi\Opera\Opera.exe
C:\DOCUME~1\Pietro\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\system32\rpcc.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5B7FB5C-00F9-4912-9F02-2C34AFEDA913}: NameServer = 85.37.17.52 85.38.28.92
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\Programmi\Ansys Inc\Shared Files\Licensing\intel\lmgrd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programmi\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programmi\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programmi\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmi\F-Secure\Common\FSMA32.EXE

Faccio anche una scansione con FindAWF ??

Cmq il pc """"sembra""" funzionare normalmente...

Grazie e scusa per il post un po' "farcito"...

(...Fai quest'altro miracolo Luke!!! please!! :D )

di **Luke57** » 25/06/07 07:47

Ciao, l'hai in effetti ribeccato.
Intanto, se non l'hai scarica avenger sul desktop.
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla (ctl+v)le scritte in neretto:

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | WindowsHive

files to delete:
C:\WINDOWS\system32\rpcc.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.

Inoltre, esegui un nuovo report di findawf.

di **CuoreSportivo** » 25/06/07 09:25

Ciao, Grazie Luke per la rapida risposta...

ho fatto girare avenger come mi hai detto, questo è il log che ha generato:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iknunhdp

*******************

Script file located at: \??\C:\WINDOWS\system32\mgjiwsux.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\rpcc.exe not found!
Deletion of file C:\WINDOWS\system32\rpcc.exe failed!

Could not process line:
C:\WINDOWS\system32\rpcc.exe
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WindowsHive deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

--> Quindi ho fatto girare AWF, questo è il log che ha generato:

Find AWF report by noahdfear ©2006

bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 05.00 15.360 ctfmon.exe
11/02/2004 01.51 118.784 hkcmd.exe
11/02/2004 01.55 155.648 igfxtray.exe
3 File 289.792 byte
2 Directory 7.460.110.336 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\LAUNCH~1\BAK

30/07/2004 11.30 319.488 QtZgAcer.EXE
1 File 319.488 byte
2 Directory 7.460.110.336 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~2\ARCADE\BAK

27/08/2004 16.50 81.920 PCMService.exe
1 File 81.920 byte
2 Directory 7.460.110.336 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\ACER\EPM\BAK

01/09/2004 17.38 2.876.416 ePM.exe
14/07/2004 14.19 151.552 epm-dm.exe
2 File 3.027.968 byte
2 Directory 7.460.110.336 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\WINDOWS\IME\IMJP8_1\BAK

19/08/2004 05.00 208.952 IMJPMIG.EXE
1 File 208.952 byte
2 Directory 7.460.110.336 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\F-SECURE\COMMON\BAK

09/09/2004 11.03 118.832 FSM32.EXE
1 File 118.832 byte
2 Directory 7.460.110.336 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\F-SECURE\TNB\BAK

27/05/2004 10.57 684.032 TNBUtil.exe
1 File 684.032 byte
2 Directory 7.460.110.336 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\WINDOWS\SYSTEM32\IME\PINTLGNT\BAK

19/08/2004 05.00 59.392 ImScInst.exe
1 File 59.392 byte
2 Directory 7.460.110.336 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\WINDOWS\SYSTEM32\IME\TINTLGNT\BAK

19/08/2004 05.00 455.168 TINTSETP.EXE
1 File 455.168 byte
2 Directory 7.460.110.336 byte disponibili

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
23568 12 Jun 2007 "C:\WINDOWS\system32\igfxtray.exe"
155648 11 Feb 2004 "C:\WINDOWS\VGA\IGFXTRAY.EXE"
155648 11 Feb 2004 "C:\WINDOWS\system32\bak\igfxtray.exe"
155648 11 Feb 2004 "C:\WINDOWS\system32\ReinstallBackups\0011\DriverFiles\igfxtray.exe"
155648 11 Feb 2004 "C:\WINDOWS\system32\ReinstallBackups\0014\DriverFiles\igfxtray.exe"
155648 11 Feb 2004 "C:\WINDOWS\Drivers\Intel\Graphics\win2000\IGFXTRAY.EXE"
23568 12 Jun 2007 "C:\WINDOWS\system32\hkcmd.exe"
118784 11 Feb 2004 "C:\WINDOWS\VGA\HKCMD.EXE"
118784 11 Feb 2004 "C:\WINDOWS\system32\bak\hkcmd.exe"
118784 11 Feb 2004 "C:\WINDOWS\system32\ReinstallBackups\0011\DriverFiles\hkcmd.exe"
118784 11 Feb 2004 "C:\WINDOWS\system32\ReinstallBackups\0014\DriverFiles\hkcmd.exe"
118784 11 Feb 2004 "C:\WINDOWS\Drivers\Intel\Graphics\win2000\HKCMD.EXE"
23568 12 Jun 2007 "C:\Programmi\Launch Manager\QtZgAcer.EXE"
319488 30 Jul 2004 "C:\Programmi\Launch Manager\bak\QtZgAcer.EXE"
23568 12 Jun 2007 "C:\Program Files\Arcade\PCMService.exe"
81920 27 Aug 2004 "C:\Program Files\Arcade\bak\PCMService.exe"
23568 12 Jun 2007 "C:\Acer\ePM\epm-dm.exe"
151552 14 Jul 2004 "C:\Acer\ePM\bak\epm-dm.exe"
23568 12 Jun 2007 "C:\Acer\ePM\ePM.exe"
2876416 1 Sep 2004 "C:\Acer\ePM\bak\ePM.exe"
208952 19 Aug 2004 "C:\WINDOWS\ime\imjp8_1\imjpmig.exe"
208952 19 Aug 2004 "C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE"
23568 12 Jun 2007 "C:\Programmi\F-Secure\common\FSM32.EXE"
118832 9 Sep 2004 "C:\Programmi\F-Secure\common\bak\FSM32.EXE"
23568 12 Jun 2007 "C:\Programmi\F-Secure\TNB\TNBUtil.exe"
684032 27 May 2004 "C:\Programmi\F-Secure\TNB\bak\TNBUtil.exe"
59392 19 Aug 2004 "C:\WINDOWS\system32\IME\PINTLGNT\imscinst.exe"
59392 19 Aug 2004 "C:\WINDOWS\system32\IME\PINTLGNT\bak\ImScInst.exe"
455168 19 Aug 2004 "C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe"
455168 19 Aug 2004 "C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE"

end of report

...Son messo bene o messo male ???

(se risolviamo sta volta, non andro' piu' su internet co sto pc...)

Grazie in anticipo...

di **Luke57** » 25/06/07 09:40

Ciao, lo script da inserire in avenger è questo:

files to move:
C:\Programmi\Launch Manager\bak\QtZgAcer.EXE | C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Program Files\Arcade\bak\PCMService.exe | C:\Program Files\Arcade\PCMService.exe
C:\Acer\ePM\bak\epm-dm.exe | C:\Acer\ePM\epm-dm.exe
C:\Acer\ePM\bak\ePM.exe | C:\Acer\ePM\ePM.exe
C:\Programmi\F-Secure\common\bak\FSM32.EXE | C:\Programmi\F-Secure\common\FSM32.EXE
C:\Programmi\F-Secure\TNB\bak\TNBUtil.exe | C:\Programmi\F-Secure\TNB\TNBUtil.exe

Inoltre, elimina queste cartelle bak (hanno al suo interno lo stesso file già rimpiazzato), magari fallo dalla mod.provvisoria:
C:\WINDOWS\system32\bak
C:\WINDOWS\ime\imjp8_1\bak
C:\WINDOWS\system32\IME\PINTLGNT\bak
C:\WINDOWS\system32\IME\TINTLGNT\bak

di **giu7400** » 25/06/07 10:07

Sono con le spalle al muro!
Avast non mi segnala niente, Ad-Aware e Spybot cose di poco conto.

Ciao a tutti, è la mia prima entrata nel forum e sto chiedendo aiuto per una infezione i cui sintomi sono:

1)messaggio, periodico, di errore di service.exe e successivo riavvio forzato con conto alla rovescia;

2)Sembra che tale messaggio si avvia anche poco dopo aver tentato di avviare, con Ctrl+Alt+Canc il taskmanager che non si avvia neanche da esegui, tantomeno modalità provvisoria normale, ma solo lanciando taskmgr.exe dal prompt di dos dalla mod provv.

3)Anche HJT, non posso nominarlo per esteso dopo vi spiego perchè, è avviabile solo dal prompt dos. In modalità provvisoria senza dos, appena avvicino la freccetta del mouse sull'icona di HJT, rinominata Hi, mi scompaiono tutte le icone del desktop.

4)Qualsiasi file denominato con quel nome (HJT per esteso) che sia di semplice testo, disegno o altro, appena avviato viene richiuso immediatamente se si è in modalità normale, mentre scompaiono le icone se si è in modalità provv.

5)Anche su internet, posizionando la freccetta su qualsiasi richiamo al nome per esteso di questo file, o cliccando su link che riportano al loro interno riferimenti a LUI, e forse anche ad altro, sto...Virus, mi chiude immediatamente la pagina di I.E.

6)Mi mancano le chiavi:

HKLM\software\........Current Version\RunServicesOnce
HKLM\software\........Current Version\RunServices

HKCU\software\........Current Version\RunServicesOnce
HKCU\software\........Current Version\RunServices

E' normale?

In ogni caso vi mando il log di LUI lanciato sotto dos, ringraziandovi anticipatamente della collaborazione.

Ps: nel running processes: C:\hh\hi.exe è l'eseguibile di HJT rinominato per precauzione.

Logfile of HijackThis v1.99.1
Scan saved at 18.03.43, on 24/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\cmd.exe
C:\hh\hi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.it/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {8467922B-9146-77D0-473F-C11B70FDA4CF} - C:\WINDOWS\mjoua1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programmi\Adobe\Suite\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A04AC540-967F-43AD-8BCB-5FFB490999BD}: NameServer = 213.205.36.70 213.205.32.70
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programmi\Adobe\Suite\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

di **Luke57** » 25/06/07 10:38

Ciao, ti sei beccato linkoptimizer, con hijackthis fissa queste voci:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {8467922B-9146-77D0-473F-C11B70FDA4CF} - C:\WINDOWS\mjoua1.dll (file missing)

Poi apri il registro di sistema, segui questo percorso:
HKLM
Software
Microsoft
Windows NT
CurrentVersion
Image file execution options
cerca tra le sottovoci dell'ultima se è presente la sottochiave
explorer.exe
se sì, verifica che cosa trovi al suo interno

di **giu7400** » 26/06/07 15:15

Scusa per l'intempestività della ri-risposta.

Ho fissato le 4 chiavi da te indicate, poi ho chiuso hjt ed ho aperto (tutto ciò in promp dos come ho già spiegato) il registro e sul percorso HKLM....\explorer.exe è indicato:

(Predefinito) (valore non impostato)
Debugger “c:\windows\system32\tmptbesm.tmp”

Dopo ho riavviato in mod. normale, i sintomi sono sempre gli stessi, il registro a HKLM....\explorer.exe riporta anche gli stessi dati.

Grazie mille....ciao

di **Luke57** » 26/06/07 15:36

Ciao, segui questa procedura, magari stampa la pagina.
Scarica AVGPfix da qui (è un cleaner puro):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
(mettilo sul desktop)

2)apri il taskmanager (ctrl+alt+canc), premi il tab.Processi, evidenzia explorer.exe, premi Termina processo. A questo punto il desktop scomparirà, sempre dal taskmanager vai su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Image File Execution Options
explorer.exe

click tasto dx su explorer.exe>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e In lettura>OK. A questo punto, click tasto dx sulla voce e scegli Elimina.
Chiudi il registro

3)Sempre dal task manager , vai su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop.

verifica di aver effettivamente tolto la voce explorer.exe, riavviando il computer e controllando nel registro.

4)avvii Avgpfix
(premi start, individui il file:
c:\windows\system32\tmptbesm.tmp
premi OK per eliminare il file).

Poi fai anche questi controlli, sempre nel registro di sistema:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
RFC1156Agent
se trovi la voce che ti indico in neretto click tasto dx e scegli Elimina

2)HKEY_LOCAL_MACHINE
SOFTWARE
Macromedia
ShockPlayer32
se trovi la voce in neretto click tasto dx e scegli Elimina

3)HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Internet Explorer
AdvancedOptions
sotto l'ultima voce in neretto, se trovi sottochiavi con nome causale con 5 lettere (che possono variare e possono essere più di uno, in questo caso se hai dei dubbi, prima di cancellare informa nel forum),

Cerca ed elimina le stesse voci , se presenti, sotto la chiave iniziale di registro:
1)HKEY_CURRENT_USER
SOFTWARE
Microsoft
Internet Explorer
AdvancedOptions
Nome causale con 5 lettere

2)HKEY_CURRENT_USER
SOFTWARE
Macromedia
ShockPlayer32

3)HKEY_CURRENT_USER
SOFTWARE
Microsoft
RFC1156Agent

di **giu7400** » 27/06/07 07:38

Ciao a tutti. Sotto la chiave HKEY_LOCAL_MACHINE\........ AdvancedOptions, l'unica sottochiave il cui nome è di sole 5 lettere è: PRINT. Cosa intendi per causale? Se è un errore di battitura ed intendi "casuale", PRINT nome casuale di certo non è, quindi non la cancello?

......pendo dalle tue...(vostre) labbra o meglio keyboards....

Ciao e grazie

di **giu7400** » 27/06/07 10:19

Buon giorno a tutti.
Volevo comunicare a chiunque malauguratamente dovesse ritrovarsi infettato da questo malware linkoptimizer, che pur seguendo la procedura indicata da Luke57, l’avvio di Avgfix, almeno nel mio caso, deve essere necessariamente fatta dal prompt dos della modalità provvisoria con explorer.exe disattivato da taskmanager, in quanto, se explorer risulta attivo (modalità normale o provvisoria) Avgfix, avvisa che non puo procedere alla cancellazione: “access violation at andress…….” di tmptbesm.tmp.

Ora vengo al dunque rivolgendomi a Luke57.
Prima di aspettare una risposta alla mia domanda (post precedente) preso dalla curiosità ma soprattutto dalla foga, ho proceduto come da te indicato ma….chiaramente ho lasciato inalterato, nel registro, il nome causale (?) PRINT. In pratica ho eliminato soloRFC1156Agent da HKLM (in HKCU non c’era) Inoltre ShockPlayer32 non c’era: in Macromedia, le voci più vicine sono: Flash; Flashplayer; Shockwave 10

Effetti della cura per ora limitati (ma per me è già una grande cosa):
- HJT adesso si apre anche in modalità di XP normale;
- il messaggio di errore di service.exe, che dopo poco riavviava, non è ancora uscito (speriamo bene)
Ma:
- continua a dare errore se apro taskmanager sia dall’esegui che con la tastiera;
- continua il problema che quando avvio internet dall’icona, ci mette una vita per aprire la pagina e, una volta aperta, sui link siamo punto e daccapo a meno che ad esempio, da Risorse del computer ci appiccico l’indirizzo sulla barra e parte come un razzo.

Altro non ho avuto ancora tempo di verificarlo, comunque ti riallego il log di HJT lanciato in modalità di XP normale, successivo all’intervento. Come vedi manca la lista del process running.

Un cordiale e riconoscente saluto a tutti

Logfile of HijackThis v1.99.1
Scan saved at 10.06.11, on 27/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.it/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {8467922B-9146-77D0-473F-C11B70FDA4CF} - C:\WINDOWS\mjoua1.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Diagnostica SpeedTouch USB] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programmi\Adobe\Suite\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Suite\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A04AC540-967F-43AD-8BCB-5FFB490999BD}: NameServer = 213.205.36.70 213.205.32.70
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programmi\Adobe\Suite\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

di **Luke57** » 27/06/07 10:35

Ciao, Print va bene, la chiave explorer.exe l'hai eliminata?

Inoltre, scarica questi due tools:

prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://securityresponse.symantec.com/av ... inkopt.exe

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)
Invia anche questo rapporto.

Se non ti riuscisse accedere ai link, li trovi qui:
http://www.sendmefile.com/00548618

Perchè il mio firewall si prende paura????

Perchè il mio firewall si prende paura????

R:Perchè il mio firewall si prende paura??

Topic correlati a "Perchè il mio firewall si prende paura????":

Chi c’è in linea