Condividi:        

Attacco di virus

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Attacco di virus

Postdi vairouge84 » 25/10/05 18:19

Ciao a tutti , ho bisogno di un aiuto in quanto oggi pomeriggio il mio pc ha iniziato ad andar fuor di testa e secondo me ha qualche virus abbastanza serio …

Stavo guardando un dvd e all’improvviso si iniziano ad aprire una serie di pagine di internet automaticamente, a quel punto ho riavviato il pc e subito mi ha aperto dei programmi che io non ho mai installato e non ho mai visto, tipo Power scan …

Fatto sta che faccio una scansione con AntiVir e mi segnala alcuni file infetti dei quali a sua volta alcuni me li elimina altri no … (a.zip – a.tmp sono alcuni file che mi ricordo che nn ha eliminato)
Dopo di chè faccio una scansione con SpyBot Search & Destroy e mi da dei virus dei quali alcuni non me li elimina .

Provo a fare un ripristino sistema che faccio sempre quando c’è qualche anomalia e di solito risolve il problema ma niente …

Dopo di che provo a fare una scansione con hijackthis e noto che ci sono molte più voci rispetto a prima … vado sulla pagina del vostro sito in cui si incolla il file log e faccio una analisi e mi dice di eliminare alcune voci … alcune si eliminano altre no tra cui questa:
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYXRvcgAA\command.exe

Ho provato diverse volte ed ho pure provato ad eliminare il file a mano ma nulla … mi dice che il file potrebbe essere in uso …

Comunque fatto sta che adesso mi trovo con il PC che si riavvia ogni tanto da solo, con la barra degli strumenti che non ha le classiche icone dopo lo start (quelle per andare sul dekstop, quella di windows media e di msn …) e inoltre andando su internet si aprono delle immagini in automatico e sotto la barra degli indirizzi in alto si sono aggiunti alcuni comandi che non ho mai visto ….

Non so cosa fare e soprattutto non so come possa essere successa una cosa simile in pochissimo tempo …
Spero di essere stato chiaro nella spiegazione e di avervi dato tutte le informazioni + importanti …
Vi incollo il log dell’ultima scansione con Hijackthis se può essere utile …

Spero mi possiate aiutare, grazie per l’attenzione a presto !

Logfile of HijackThis v1.99.1
Scan saved at 19.17.28, on 25/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVSCHED32.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\BearShare\BearShare.exe
C:\Programmi\BearShare\BearShare.exe
C:\WINDOWS\etb\pokapoka78.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\QWRtaW5pc3RyYXRvcgAA\command.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1.COM\IMPOST~1\Temp\Rar$EX00.485\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search123forme.com/sp2.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmi\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Win32 Info] windowsnfo.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [aGRphuBx] C:\WINDOWS\vhvnidm.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [System service78] C:\WINDOWS\etb\pokapoka78.exe
O4 - HKLM\..\RunServices: [Win32 Info] windowsnfo.exe
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKCU\..\Run: [Win32 Info] windowsnfo.exe
O4 - HKCU\..\RunServices: [Win32 Info] windowsnfo.exe
O4 - Startup: WATCH.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Alice - {1989F22F-323B-4887-8B35-7646B0413EE2} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\j80slid7180.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYXRvcgAA\command.exe
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Sponsor
 

Postdi Dylan666 » 25/10/05 18:28

O4 - HKLM\..\Run: [Win32 Info] windowsnfo.exe
O4 - HKLM\..\Run: [aGRphuBx] C:\WINDOWS\vhvnidm.exe
O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O4 - HKLM\..\Run: [System service78] C:\WINDOWS\etb\pokapoka78.exe
O4 - HKLM\..\RunServices: [Win32 Info] windowsnfo.exe
O4 - HKCU\..\Run: [Win32 Info] windowsnfo.exe
O4 - HKCU\..\RunServices: [Win32 Info] windowsnfo.exe
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\j80slid7180.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYXRvcgAA\command.exe


Vai in modalità provvisoria e leva tutta quella roba. Poi resetta e facci vedere un nuovo log.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vairouge84 » 25/10/05 19:35

fatto ... ecco il nuovo log :

Logfile of HijackThis v1.99.1
Scan saved at 20.23.03, on 25/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVSCHED32.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\BearShare\BearShare.exe
C:\Programmi\BearShare\BearShare.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Symantec\LiveUpdate\AUpdate.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1.COM\IMPOST~1\Temp\Rar$EX00.531\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearchspace.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yoursearchspace.com/sp2.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmi\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - Startup: WATCH.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Alice - {1989F22F-323B-4887-8B35-7646B0413EE2} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\o6pqlg7516.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYXRvcgAA\command.exe (file missing)

L'ultima voce sembra che non si sia cancellata anche se sono riuscito ad eliminare a mano il file command.exe ... però rimane sempre la cartella in cui il file era inserito , nominata QWRtaW5pc3RyYXRvcgAA , non so se è normale che c'è ne sia una con questo strano nome ...

cmq la barra strana degli strumenti strana situata sotto quella degli indirizzi è sparita ... di pagine su intenet se ne è aperta solo una automaticamente .... prima erano molto di più, qundi qualcosa è migliorato ...

c'è qualcosa da eliminare ancora ??
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi Dylan666 » 25/10/05 19:44

Probabilmente devi riuscire a togliere questo e relativo file...
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\o6pqlg7516.dll

..per riuscire a togliere questo senza che riappaia:
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYXRvcgAA\command.exe (file missing)

Prova sempre da modalità provvisoria a poi fai il nuovo log da quella normale (senza che lo posti tutto, dimmi solo se le due voci sono scomparse e non ne sono apparse di simili)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vairouge84 » 25/10/05 20:37

fatto ... la voce del command.exe c'è sempre ...
po l'altra sembra non esserci più ma è comparsa questa :

O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\u8ruli9918.dll

tra l'altro prima mi è capitato mentre scrivevo il mess che il pc si riavviasse da solo ..?!?
e ogni tanto si apre qualche finestra in automatico diretta verso siti quali ebay o siti per scaricare le emoticons e altro ...

centrano forse queste voci :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yoursearchspace.com/sp2.php

mi sembrano un pò strane ....
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi Dylan666 » 25/10/05 21:24

Evidentemente hai ancora qualcosa da eliminare.
Prima di tutto la DLL, poi ogni volta incolla il log qui e vedi cosa c'è di sospetto tra le voci in giallo:

http://hijackthis.de/index.php?langselect=italian
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vairouge84 » 25/10/05 22:21

boh nn ci sto capendo più nulla ....

se faccio la scansione in modalità provvisoria elimino la voce ma alla scansione successiva me la ritrova di nuovo ...

se faccio una scansione in modalità normale non me la dà più ma me ne dà una simile con il file dll diverso sempre situato in windows/system32 ...

ho provato ad incollare il log sulla pagine del link che mi hai dato e altre alle due voci che mi hai detto in giallo mi segnala come sconosciute una voce riguardante l'adsl e uno allo scanner che nn penso vadano cancellate ...

boh ... se qualcuno ha idea mi faccia sapere ....

grazie lo stesso
ciao
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 25/10/05 23:43

Ciao se non elimini i file difficilmente riuscirai
Avvia il pc in modalità provvisoria

Start>pannello di controllo>opzioni cartelle
-Portati sulla scheda visualizzazione
-Metti la spunta nella casella "Visualizza file e cartelle nascoste"
-TOGLI la spunta dalla casella "Nascondi file di sistema(consigliato)
-Applica
-Rispondi Si al messaggio
-OK

Start>accessori>esplora risorse
Aiutandoti con il pannello di sinistra elimina i files in rosso
C:\WINDOWS\vhvnidm.exe
C:\windows\msresearch.exe
C:\windows\sp2update00.exe
C:\WINDOWS\system32\j80slid7180.dll

Elimina le cartelle in rosso
C:\WINDOWS\etb
C:\WINDOWS\QWRtaW5pc3RyYXRvcgAA

Start>cerca
sotto trovi un pannellino "Altre opzioni avanzate" metti le spunte solo in queste caselle
"Cerca nelle cartelle di sistema"
"Ceca nei file e nelle cartelle Nascoste"
"Cerca nelle sottocartelle"

Inserisci questo file(rosso)e se c'è eliminalo
windowsnfo.exe
SVUOTA IL CESTINO

Apri il block notes e copia e incolla il contenuto di citazione
@ECHO OFF
cd\windows
sc config cmdService start= disabled
sc stop cmdService
sc delete cmdService
attrib -s -r -h command.exe
del command.exe
exit


File>salva con nome(desktop)>salvalo come tutti i file>e chiamalo rservice.bat>salva
Vai sul desktop doppio click su rservice.bat

Apri hijack ed elimina questa voce se è presente
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYXRvcgAA\command.exe (file missing)

-Riavvia il PC in modalità normale
-Rendi nuovamente nascosti i file e le cartelle(opzioni cartelle)
-Risposta un log aggiornato e vedi se hai risolto

ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 13:10

ho seguito le istruzioni passaggio per passaggio ...
una volta in modalità provvisoria ho cercato i file e le cartelle che mi hai segnalato in rosso ma non c'erano a parte la cartella "etb" che ho eliminato ;
Poi sono andato su cerca e seguendo le tue istruzioni ho cercato il file windowsnfo.exe ...
me ne ha trovati diversi situati su documents and setting , mi sembra, ma con estensione exe c'è ne era solo uno che aveva tra l'altro l'icona di Internet Explorer ... io l'ho eliminato lo stesso e dopo di che ho creato il file rservice.exe , che è ancora sul dekstop ...

Ho riavviato il pc e ho fatto una nuova scansione, la voce che mi hai detto di controllare non esiste però quellla del Winlogon c'è ancora ...
ti copio il file di log così magari mi dici se c'è qualche anomalia perchè le finestre su internet si aprono ancora ...

Logfile of HijackThis v1.99.1
Scan saved at 13.57.09, on 26/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AVPersonal\AVSCHED32.EXE
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\BearShare\BearShare.exe
C:\Programmi\BearShare\BearShare.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1.COM\IMPOST~1\Temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.yoursearchspace.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearchspace.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;127.0.0.1;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programmi\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - Startup: WATCH.lnk = C:\Programmi\Mustek 1200 UB Plus\Driver\WATCH.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Alice - {1989F22F-323B-4887-8B35-7646B0413EE2} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\mvl6l93s1.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMMI\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE

fammi sapere, grazie per l'attenzione, ciao

PS : del file che ho creato sul dekstop che ne faccio? lo elimino o lo lascio?
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi Dylan666 » 26/10/05 13:16

Proviamo così: apri HijackThis e premi il quarto tasto dall'altro (Open Misc Tools section) e poi vai su "Delete a file on reboot". Lo premi e gli indichi il file C:\WINDOWS\system32\mvl6l93s1.dll. Riavvia e vedi se si ricrea.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vairouge84 » 26/10/05 13:36

fatto e si ricrea dinuovo la voce del winlogon con un'altra dll , ecco la voce :

O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\l42s0ef7eh2.dll

Sembra ci sia un qualcosa che crei queste dll a catena ogni volta che ne fai fuori una con hijack ....
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi Dylan666 » 26/10/05 13:45

Allora non resta che allrgare i sospetti. Ad esempio, io la mano sul fuoco a Bearshare non ce la metterei... ma magari sbaglio

Poi dai una letta qui dove usa L2mfix (non conosco il programma, segui le istruzioni):
http://forums.tomcoyote.org/index.php?showtopic=36823
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vairouge84 » 26/10/05 14:22

L'inglese non è il mio forte ... ho scaricato il programma ma nn ho idea di come si usi quindi preferisco non toccare ...

Io più che di bearshare non mi fiderei di Emule... è lui che di solito mi scarica cose che io non ho mai richiesto...
ma solitamente vado nella cartella Incoming e cancello tutto senza aprire i file ...

Faccio presente alcune cose... ieri ho scaricato adware e mi ha trovato un pò di cose che io ho cancellato... inoltre ora quando lo apro mi dà un messaggio in inglese dove da quanto ho capito mi dice che ci sono dei file infetti ....

Facendo scansione con AntiVir mi da un solo virus nominato a.zip che nn sono riuscito a capire dove è situato (ho trovato solo un argomento su un forum con google ma nn si era risolto nulla) e cmq non me lo elimina ... la denominazioe del virus è WORM/acrla.b mi sembra ...

altra cosa, le finestre che mi apre in automatico su internet,subito all'inizio non me le segnala come icone sulla barra degli strumenti ... è normale? sembra che siano inviate da qualche software ... io ultimamente avevo solo tentato di scaricare alcuni programmi con bearshare che mi permettessero di creare delle gif ma una volta accortomi che nn funzionavano li avevo subito eliminati ...
giuro ultima cosa, andando su pannello di controllo>installazione applicazioni trovo alcuni rpogrammi che mi sembrano sospetti, mi potete dire se sono regolari o da rimuovere ?
-answerworks runtime
-Command (questo se vado su rimuovi mi dice che nn trova il file, probabilmente perchè ho eliminato la cartella in cui vi era il file command.exe)
-EA.com Matchup
-Image web server plugin 1,7,1,43
-SFR
-SFR2

spero di essere stato chiaro e non troppo confusionario, fatemi sapere se vi viene in mente qualcosa ....
se non riesco ad eliminare formatto tutto, tanto una mezza idea c'è l'avevo già ...
grazie , ciao :-?
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi Dylan666 » 26/10/05 14:34

vairouge84 ha scritto:Io più che di bearshare non mi fiderei di Emule... è lui che di solito mi scarica cose che io non ho mai richiesto...


No no e ancora no, se Emule è quello del sito ufficiale allora è pulito al 200% da spyware

Prima di tutto aggiona Ad-aware e AntiVir e usali per una scansione completa da modalità provvisoria. Prima però prova a disinstallare Bearhare, poi ti consiglio un programma quivalente.

altra cosa, le finestre che mi apre in automatico su internet,subito all'inizio non me le segnala come icone sulla barra degli strumenti ... è normale?


Potrebbe essere colpa del servizio di messaggeria instantanea:
http://www.pc-facile.com/forum/viewtopi ... enger+spam
http://www.pc-facile.com/forum/viewtopi ... +messenger

avevo solo tentato di scaricare alcuni programmi con bearshare che mi permettessero di creare delle gif ma una volta accortomi che nn funzionavano li avevo subito eliminati ...


Ti auguro non fossero software commerciali, altrimenti la Immagine Netiquette ti vieta di parlarne qui. Ad ogni modo, quando prendi un qualisasi EXE da un programma di condivisione, lo doppioclicchi e pare non essere successo nula al 90% ti sei preso un virus.

giuro ultima cosa, andando su pannello di controllo>installazione applicazioni trovo alcuni rpogrammi che mi sembrano sospetti, mi potete dire se sono regolari o da rimuovere ?


Non li concosco, documentati su Google. Se la voce nel pannello di disinstallazione è l'unica traccia di quei programmi che sono già stati rimossi fai così:

http://www.pc-facile.com/forum/viewtopi ... 594#228594
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi toni84 » 26/10/05 14:58

ciao il programma lo conosco io serve per rimuovere un tipo di malware

1-Scarica il programma l2mfix
http://www.atribune.org/downloads/l2mfix.exe
2-Salvalo sul desktop,doppio click sul file l2mfix.exe,clicca su Install
3-Finita l'installazione si creerà una nuova cartella sul desktop
4-Apri la cartella e clicca su l2mfix.bat
5-Ti si apre una finestra prompt,dove lampeggia il cursore digita 1 e dai l'invio
Immagine
6-copia e incolla nel forum il risultato che avrai in formato txt

CIAO CIAO
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi vairouge84 » 26/10/05 14:59

ok ... faccio un aggioramento e poi faccio la scansione in modalità provvisoria come ultimo tentativo ...

per quanto riguarda i programmi per creazione gif non penso siano software commerciali e in ogni caso allora in base a quello che hai detto io in questi il doppio click l'ho fatto e il programma nn si è avviato quindi probabilmente i virus li ho beccati lì ... provo la scansione come ultima cosa se no formatto ...

ultima curiosità, quando si aprono questi messaggi utomaticamente c'è il rischio che ci si connette con dialer o a numeri speciali a pagamento?
io ho l'adsl e inoltre ho un servizio con telecom per la disattiazione dei numeri speciali quindi in teoria non dovrei avere rischi vero?
grazie...
vi faccio sapere se ho risolto il problema,
ciao
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 15:03

AH il programma è in inglese :D
quella è una mia traduzione :D
ciao ciao ;)

PS:Se lo vuoi in italiano te lo carico su un server ;)
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi Dylan666 » 26/10/05 15:09

vairouge84 ha scritto: provo la scansione come ultima cosa se no formatto ...

[..]

ultima curiosità, quando si aprono questi messaggi utomaticamente c'è il rischio che ci si connette con dialer o a numeri speciali a pagamento?


Mamma mia quanta fretta di formattare! Apetta ancora un po'...
I messaggi che ti appaiono (per i quali ti ho scritto 2 link su come disattivarli) non sono di per se portatori di dialer ma certo hanno link che mirano a farteli installare. Tu avendo l'ADSL sei immune dalla composizione telefonica.
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi vairouge84 » 26/10/05 15:09

eh eh c'è l'ho fatta lo stesso !! penso ...
ecco il log ...

L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Controls Folder]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\l42s0ef7eh2.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(NI) ALLOW Full access NT AUTHORITY\SYSTEM
(IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-NI) ALLOW Read BUILTIN\Users
(ID-IO) ALLOW Read BUILTIN\Users
(ID-NI) ALLOW Read BUILTIN\Power Users
(ID-IO) ALLOW Read BUILTIN\Power Users
(ID-NI) ALLOW Full access BUILTIN\Administrators
(ID-IO) ALLOW Full access BUILTIN\Administrators
(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM
(ID-IO) ALLOW Full access CREATOR OWNER


**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{563E4E62-5615-0C64-6363-326A9E7B661F}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Propriet… dei file Multimedia"
"{176d6597-26d3-11d1-b350-080036a75b03}"="Gestore scanner ICM"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Pagina di protezione NTFS"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Pagina di propriet… di Docfile OLE"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Estensioni shell per la condivisione"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Estensione scheda video del Pannello di controllo"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Estensione monitor del Pannello di controllo"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Estensione panoramica video del Pannello di controllo"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Pagina di protezione DS"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Pagina compatibilit…"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Gestore dati dei ritagli di shell"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Estensione copia dischi"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Estensioni shell per oggetti Rete Microsoft Windows"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Gestore monitor ICM"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Gestore stampante ICM"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Estensioni shell per la compressione dei file"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Estensione shell per la stampante Web"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Menu di scelta rapida di crittografia"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Sincronia file"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Estensione di icona di HyperTerminal"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Tipi di carattere"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Profilo ICC"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Pagina di protezione della stampante"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Estensioni shell per la condivisione"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Estensione Crypto PKO"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Estensione firma crittografata"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Connessioni di rete"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Connessioni di rete"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner e fotocamere digitali"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner e fotocamere digitali"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner e fotocamere digitali"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner e fotocamere digitali"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner e fotocamere digitali"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Estensione finestra propriet… di aggiornamento automatico"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Estensione shell per Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Data Link"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Operazioni pianificate"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barra delle applicazioni e menu di avvio"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Cerca"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Guida in linea e supporto tecnico"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Guida in linea e supporto tecnico"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Esegui..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Posta elettronica"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Tipi di carattere"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Strumenti di amministrazione"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barra degli strumenti Microsoft Internet"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Stato del download"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Shell Folder accresciuto"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Shell Folder 2 accresciuto"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="SearchBand"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Ricerca all'interno"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Ricerca Web"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilit… opzioni della struttura del Registro di sistema"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Indirizzo"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Completamento automatico Microsoft"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="Elenco di Completamento automatico MRU"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Elenco di Completamento automatico MRU personalizzato"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessibile"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Indicatore di avanzamento popup"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Parser della barra degli indirizzi"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Elenco di Completamento automatico della Cronologia di Microsoft"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Elenco di Completamento automatico di Shell Folder di Microsoft"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Contenitore dell'elenco di Completamento automatico multiplo Microsoft"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Assistenza utente"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Impostazioni cartella globale"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Servizio Cronologia Url Microsoft"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Cronologia"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="File temporanei Internet"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="File temporanei Internet"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Hook per la ricerca di URL Microsoft"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Schermata iniziale applicazioni Internet Explorer 4"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="Cartella cache ActiveX"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Cartella Subscription"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Gestione applicazioni shell"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Enumeratore applicazioni installate"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI + programma di estrazione file in anteprima"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Programma di estrazione pagine HTML in anteprima"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Pubblicazione guidata sul Web"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Ordinazione di stampe tramite Web"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Oggetto Pubblicazione guidata sul Web"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Creazione guidata profilo Passport"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Account utente"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="File del canale"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Collegamento al canale"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Cartella file non in linea"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Contatti..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Cartelle Web"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension"
"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"="Eudora's Shell Extension"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{D59E806F-D460-4521-BE05-ED909F47384E}"=""
"{471B7295-18B7-43C7-B93F-24FFC71AE313}"=""
"{B5B2A64E-EAED-4075-B832-E46493BC3593}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{D59E806F-D460-4521-BE05-ED909F47384E}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D59E806F-D460-4521-BE05-ED909F47384E}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D59E806F-D460-4521-BE05-ED909F47384E}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D59E806F-D460-4521-BE05-ED909F47384E}\InprocServer32]
@="C:\\WINDOWS\\system32\\uql.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{471B7295-18B7-43C7-B93F-24FFC71AE313}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{471B7295-18B7-43C7-B93F-24FFC71AE313}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{471B7295-18B7-43C7-B93F-24FFC71AE313}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{471B7295-18B7-43C7-B93F-24FFC71AE313}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{B5B2A64E-EAED-4075-B832-E46493BC3593}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B5B2A64E-EAED-4075-B832-E46493BC3593}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B5B2A64E-EAED-4075-B832-E46493BC3593}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B5B2A64E-EAED-4075-B832-E46493BC3593}\InprocServer32]
@="C:\\WINDOWS\\system32\\tad32.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
atmtd.dll Tue 25 Oct 2005 14.10.36 A.... 687.592 671,48 K
cjmocx.dll Wed 26 Oct 2005 13.02.48 ..S.R 235.984 230,45 K
divx.dll Wed 28 Sep 2005 23.29.14 A.... 693.248 677,00 K
divx_x~1.dll Wed 28 Sep 2005 23.29.12 A.... 688.128 672,00 K
divx_x~2.dll Wed 28 Sep 2005 23.29.12 A.... 688.128 672,00 K
divx_x~3.dll Wed 28 Sep 2005 23.29.12 A.... 671.744 656,00 K
g422le~1.dll Tue 25 Oct 2005 21.19.30 ..S.R 236.852 231,30 K
hr0q05~1.dll Tue 25 Oct 2005 14.47.28 ..S.R 236.860 231,31 K
l42s0e~1.dll Wed 26 Oct 2005 13.53.18 ..... 233.610 228,13 K
l46o0e~1.dll Tue 25 Oct 2005 18.39.46 ..S.R 236.469 230,93 K
luwmf10n.dll Tue 25 Oct 2005 20.01.44 ..S.R 233.766 228,29 K
lv4o09~1.dll Tue 25 Oct 2005 18.15.44 ..S.R 236.860 231,31 K
lv8409~1.dll Tue 25 Oct 2005 20.21.48 ..S.R 236.117 230,58 K
mbc40u.dll Tue 25 Oct 2005 20.08.40 ..S.R 235.663 230,14 K
mcawt.dll Tue 25 Oct 2005 20.49.06 ..S.R 235.628 230,11 K
meco30.dll Tue 25 Oct 2005 14.20.42 ..S.R 236.105 230,57 K
mv48l9~1.dll Wed 26 Oct 2005 14.27.18 ..S.R 237.227 231,66 K
nitapi32.dll Tue 25 Oct 2005 14.48.10 ..S.R 236.105 230,57 K
rxrv1032.dll Tue 25 Oct 2005 21.57.20 ..S.R 235.628 230,11 K
sirenacm.dll Sat 13 Aug 2005 21.41.12 A.... 118.784 116,00 K
tad32.dll Wed 26 Oct 2005 14.28.00 ..S.R 233.610 228,13 K
uql.dll Tue 25 Oct 2005 14.23.28 ..S.R 236.860 231,31 K
wpnipsec.dll Tue 25 Oct 2005 20.11.48 ..S.R 236.293 230,75 K
w_madr~1.dll Thu 13 Oct 2005 0.20.14 A.... 23 0,02 K

24 items found: 24 files (16 H/S), 0 directories.
Total of file sizes: 7.557.284 bytes 7,21 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F42E-CF1B

Directory di C:\WINDOWS\System32

26/10/2005 14.57 <DIR> ..
26/10/2005 14.57 <DIR> .
26/10/2005 14.27 233.610 tad32.dll
26/10/2005 14.27 237.227 mv48l9hu1.dll
26/10/2005 13.02 235.984 cJmocx.dll
25/10/2005 21.57 235.628 rXrv1032.DLL
25/10/2005 21.19 236.852 g422lefo1h2c.dll
25/10/2005 20.49 235.628 mcawt.dll
25/10/2005 20.21 236.117 lv8409lqe.dll
25/10/2005 20.11 236.293 wpnipsec.dll
25/10/2005 20.08 235.663 mbc40u.dll
25/10/2005 20.01 233.766 Luwmf10n.dll
25/10/2005 18.39 236.469 l46o0ej3eho.dll
25/10/2005 18.15 236.860 lv4o09h3e.dll
25/10/2005 14.48 236.105 nitapi32.dll
25/10/2005 14.47 236.860 hr0q05d5e.dll
25/10/2005 14.23 236.860 uql.dll
25/10/2005 14.20 236.105 MECO30.DLL
16/10/2005 23.58 56 34337D368A.sys
24/07/2005 15.18 <DIR> dllcache
06/11/2004 07.24 0 gbbkf.log
15/01/2004 18.39 <DIR> Microsoft
18 File 3.776.083 byte
4 Directory 17.084.743.680 byte disponibili
vairouge84
Utente Senior
 
Post: 124
Iscritto il: 10/10/04 14:24

Postdi toni84 » 26/10/05 15:16

OK,adesso devi fare tutto disconnesso e in modalita provvisoria
Apri la cartella e clicca su l2mfix.bat
Adesso scrivi 2 apposta di 1 e dai l'invio
Finito il tool,riavvia in modalità normale e risposta il log di hijack con quello del fix appena fatto ciao ciao
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Attacco di virus":


Chi c’è in linea

Visitano il forum: Nessuno e 45 ospiti