Condividi:        

ctwo3.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

ctwo3.exe

Postdi fasteno » 25/08/06 10:06

ciao, da quasi un mese ho un dialer che mi disconnette da internet cercando di connettersi ad un altro numero e ci sono altri piccoli problemi tipo la creazione di icone "e1xplorer" e "winmovieplugin" sul desktop.
ho seguito le istruzioni del sito usando hijackthis e spybot che trovano sempre voci sospette che io cancello, ma, ogni volta che riavvio il computer, il file ctwo3.exe c'è sempre, l'ho anche cercato su google ma senza risultato.

alleggo il log file di hijackthis dopo aver fatto pulizia con spybot e ringrazio chiunque voglia darmi una mano.


Logfile of HijackThis v1.99.1
Scan saved at 10.00.07, on 25/08/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SymTray.exe
C:\Programmi\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\Temp\ctwo3.exe
C:\Documents and Settings\user\Documenti\Stefano\Varie\Antivirus\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [AcctMgr] C:\Programmi\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ctwo3.exe] C:\WINNT\Temp\ctwo3.exe
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtrdr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: http://www.hastalavista.it
O15 - Trusted Zone: http://www.linkautomatici.com
O15 - Trusted Zone: http://www.pornoaccesso.com
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programmi\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmi\AutoCAD 2002\AcPreview.ocx
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: WMDM PMSP Service - Unknown owner - C:\WINNT\System32\MsPMSPSv.exe (file missing)
fasteno
Newbie
 
Post: 6
Iscritto il: 25/08/06 09:51
Località: Druento (TO)

Sponsor
 

Postdi andorra24 » 25/08/06 10:18

Ciao, apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce indicata sotto e premi ''kill process'' :

C:\WINNT\Temp\ctwo3.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

O4 - HKLM\..\Run: [ctwo3.exe] C:\WINNT\Temp\ctwo3.exe
O15 - Trusted Zone: http://www.hastalavista.it
O15 - Trusted Zone: http://www.linkautomatici.com
O15 - Trusted Zone: http://www.pornoaccesso.com
O23 - Service: WMDM PMSP Service - Unknown owner - C:\WINNT\System32\MsPMSPSv.exe (file missing)

Scarica ATF Cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(per eliminare file temporanei di windows e IE)
Avvia ATF cleaner, clicca sul menu "main" e poi seleziona la casella "Select All". Adesso clicca sul pulsante "Empty selected" e aspetta il messaggio "Done Cleaning!"

Elimina (se presente) il seguente file:
C:\WINNT\Temp\ctwo3.exe

Fai una scansione con VirIT (dopo averlo aggiornato) :
http://www.tgsoft.it/files/vnlt6109.exe
ed eventualmente anche con ewido:
http://www.grisoft.cz/softw/70/filedir/ ... 0.172c.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi fasteno » 27/08/06 10:42

Ciao grazie per l'aiuto, ho seguito ciò che mi hai detto e il pc è stabile (non cerca più di connettersi ad altri numeri).
Ho scaricato Virit e l'ho aggiornato, mi ha trovato una ventina di file infetti che ha rimosso, poi se ora faccio la scansione non trova nulla, ma, mentre la sta facendo, l'antivirus che ho installato (Antivir) trova qualche file infetto da "TR.Agent.VP.4" e "Tr/Dialer.QV.1" che metto in quarantena, ma che poi ricompaiono alla scansione successiva.
Anche quando scansiono con hijackthis non trova nulla se non una cosa sospetta che ho cancellato:

O17 - HKLM\System\CCS\Services\Tcpip\..\{546E3957-BFA0-430F-8603-2A5DFC3AE9FF}: NameServer = 195.130.224.18 195.130.225.129

allego il logfile se hai voglia di dargli un'occhiata, ti ringrazio ancora, ciao.


Logfile of HijackThis v1.99.1
Scan saved at 11.28.10, on 27/08/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\VEXPLITE\viritsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SymTray.exe
C:\Programmi\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\user\Documenti\Stefano\Varie\Antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [AcctMgr] C:\Programmi\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\Symtrdr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programmi\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmi\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{546E3957-BFA0-430F-8603-2A5DFC3AE9FF}: NameServer = 195.130.224.18 195.130.225.129
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
fasteno
Newbie
 
Post: 6
Iscritto il: 25/08/06 09:51
Località: Druento (TO)

Postdi andorra24 » 27/08/06 10:51

Ciao, il log di hijackthis adesso e' pulito e non emerge nulla di strano. La voce O17 e' legittima. Si tratta dei DNS di tiscali (che suppongo sia il tuo provider). Se vuoi puoi fare un' ulteriore scansione di controllo:
http://www.bitdefender.com/scan/license.php
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi fasteno » 30/08/06 18:23

ancora GRAZIE,
infatti bitdefender ha trovato un'e-mail infetta e poi mi è venuto in mente che Avira Antivir non scansiona l'e-mail (o sbaglio?).

Saluti
fasteno
Newbie
 
Post: 6
Iscritto il: 25/08/06 09:51
Località: Druento (TO)

Postdi andorra24 » 30/08/06 18:30

fasteno ha scritto:ancora GRAZIE,
infatti bitdefender ha trovato un'e-mail infetta e poi mi è venuto in mente che Avira Antivir non scansiona l'e-mail (o sbaglio?).

Saluti

Esatto, antivir nella sua versione free non ha lo scanner POP3.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi fasteno » 02/09/06 17:14

Ciao,
chissà se hai ancora un po' di pazienza...
Il PC va bene (non ha problemi evidenti) ma, dall'altroieri, facendo la scansione con VIRIT mi dice:

VIRUS ATTIVO IN MEMORIA: Trojan.Win32.RootKit.E

poi non trova nessun file infetto.
Faccio la scansione con Antivir e non trova nulla a parte qualche file che non può essere aperto, ma mi è sempre successo.
Ho letto sul forum che questo virus Antivir lo trova (ed è aggiornato), qualche consiglio...
fasteno
Newbie
 
Post: 6
Iscritto il: 25/08/06 09:51
Località: Druento (TO)

Postdi andorra24 » 02/09/06 22:34

Fai una scansione con questo tool di rimozione:

http://www.prevx.com/gromozon.asp

al termine della scansione posta il report dello scan.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi fasteno » 03/09/06 13:49

ho fatto partire l'eseguibile scaricato, riavviato il PC è partito il tool e contemporaneamente Virit che ha trovato un file infetto da Trojan.Win32.RootKit.E e lo ha rimosso, quindi è finita anche la scansione del tool che ha detto di aver rimosso il virus ma non c'è modo di avere un report.
posto quello di Virit:


03/09/2006 - 11:57:21

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\:zapoter.bmp:$DATA Infetto da Trojan.Win32.RootKit.E
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 74087.
Files Totali: 74087.
Chiavi Registro rimosse: 0.
Virus Rimossi: 1.

[SCANSIONE DELLA MEMORIA]
OK


In conclusione (lo spero) con Antivir e Spybot installati sempre aggiornati (Virit finisce tra 20 giorni) posso stare tranquillo?
fasteno
Newbie
 
Post: 6
Iscritto il: 25/08/06 09:51
Località: Druento (TO)

Postdi andorra24 » 03/09/06 13:57

Adesso sei a posto. L'infezione e' stata rimossa.

Per quanto riguarda l'accoppiata antivir+ spybot va bene. Antivir e' un buon antivirus. Magari potresti aggiungere eventualmente ewido antispyware oppure superantispyware.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi fasteno » 03/09/06 14:08

ancora 1000 grazie,
l'aiuto che mi hai dato è stato davvero immenso.
tanti complimenti per le tue conoscenze e per la tua disponibilità!
ciao
fasteno
Newbie
 
Post: 6
Iscritto il: 25/08/06 09:51
Località: Druento (TO)

Postdi andorra24 » 03/09/06 14:22

fasteno ha scritto:ancora 1000 grazie,
l'aiuto che mi hai dato è stato davvero immenso.
tanti complimenti per le tue conoscenze e per la tua disponibilità!
ciao

Lieta di esserti stata di aiuto. ;)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo


Torna a Sicurezza e Privacy

Chi c’è in linea

Visitano il forum: Nessuno e 40 ospiti