Condividi:        

Problemi con IstantAccess

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Problemi con IstantAccess

Postdi AND64 » 23/04/07 15:23

HO INSTALLATO E LANCIATO DA "C" IL PROGRAMMA HIJACK MA DOPO AVER FATTO "DO A SISTEMSCAN AND SAVE A LOGFILE" NON MI HA DATO "SALVA".
AD OGNI MODO ECCO IL MIO LOG... GRAZIE PER LA COLLABORAZIONE.

Logfile of HijackThis v1.99.1
Scan saved at 22.39.33, on 22/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRAMMI\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRAMMI\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRAMMI\Digisoft AntiDialer\AntiDialer.exe
C:\PROGRAMMI\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\wuauclt.exe
c:\programmi\internet explorer\iexplore.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\PROGRAMMI\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.creval.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMMI\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [E07IXLRD_1004406] "C:\PROGRAMMI\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE" -m
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\PROGRAMMI\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Barra delle applicazioni di ATI CATALYST.lnk = C:\PROGRAMMI\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\PROGRAMMI\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{949ED803-C4F5-4E1F-BB24-BE4CC7D052BA}: NameServer = 193.70.152.15,193.70.152.25
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\PROGRAMMI\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\PROGRAMMI\CyberLink\Shared files\RichVideo.exe

[/list]
AND64
Newbie
 
Post: 3
Iscritto il: 23/04/07 15:12

Sponsor
 

Risposta

Postdi Opensource » 24/04/07 13:41

se non sbaglio l'istantaccess non è visibile con hijackthis
devi usare FindAwf
http://noahdfear.geekstogo.com/FindAWF.exe
il quale rilascerà un report che dovrai postare qui sul forum

poi qualcuno ti aiuterà ;)
Avatar utente
Opensource
Utente Senior
 
Post: 684
Iscritto il: 02/11/06 20:45

PROBLEMI CON INSTANT ACCESS.

Postdi AND64 » 27/04/07 10:00

SALVE. AVEVO CHIESTO AIUTO PER UN PROBLEMA CON INSTANT ACCESS MA AVEVO SBAGLIATO LA PROCEDURA PER PLUBLICARE SUL SITO IL MIO REPORT. L'HO FATTO CON FINDAWF; SPERO CHE
ADESSO VADA BENE. GRAZIE PER LA COLLABORAZIONE.

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2CE9-25C2

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
25/09/2005 20.11 155.648 NeroCheck.exe
2 File 171.008 byte
2 Directory 31.167.504.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2CE9-25C2

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

15/01/2007 19.28 108.160 ashDisp.exe
1 File 108.160 byte
2 Directory 31.167.504.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2CE9-25C2

Directory di C:\PROGRA~1\ATITEC~1\ATI.ACE\BAK

22/09/2005 01.55 57.344 cli.exe
1 File 57.344 byte
2 Directory 31.167.500.288 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2CE9-25C2

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

07/12/2005 23.57 30.208 PDVDServ.exe
1 File 30.208 byte
2 Directory 31.167.500.288 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2CE9-25C2

Directory di C:\PROGRA~1\MICROS~4\MICROS~2\BAK

13/06/2006 03.01 351.000 EDICT.EXE
1 File 351.000 byte
2 Directory 31.167.500.288 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2CE9-25C2

Directory di C:\PROGRA~1\VIA\RAID\BAK

26/04/2005 05.22 589.824 raid_tool.exe
1 File 589.824 byte
2 Directory 31.167.500.288 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2CE9-25C2

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\LANGUAGE\BAK

13/04/2006 12.09 49.152 Language.exe
1 File 49.152 byte
2 Directory 31.167.500.288 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2CE9-25C2

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~1\121128~1.546\BAK

19/02/2007 20.16 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 31.167.500.288 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2CE9-25C2

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

02/02/2005 06.00 98.304 E_FATIADE.EXE
1 File 98.304 byte
2 Directory 31.167.500.288 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
24076 19 Apr 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 25 Sep 2005 "C:\WINDOWS\system32\bak\NeroCheck.exe"
108160 15 Jan 2007 "C:\PROGRAMMI\Alwil Software\Avast4\ashDisp.exe"
108160 15 Jan 2007 "C:\PROGRAMMI\Alwil Software\Avast4\bak\ashDisp.exe"
108160 15 Jan 2007 "D:\PROGRAMMI\Alwil Software\Avast4\ashDisp.exe"
24076 19 Apr 2007 "C:\PROGRAMMI\ATI Technologies\ATI.ACE\cli.exe"
57344 22 Sep 2005 "C:\PROGRAMMI\ATI Technologies\ATI.ACE\bak\cli.exe"
24076 19 Apr 2007 "C:\PROGRAMMI\CyberLink\PowerDVD\PDVDServ.exe"
30208 7 Dec 2005 "C:\PROGRAMMI\CyberLink\PowerDVD\bak\PDVDServ.exe"
30208 7 Dec 2005 "D:\PROGRAMMI\CyberLink\PowerDVD\PDVDServ.exe"
24076 19 Apr 2007 "C:\PROGRAMMI\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE"
351000 13 Jun 2006 "C:\PROGRAMMI\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\bak\EDICT.EXE"
589824 26 Apr 2005 "C:\PROGRAMMI\VIA\RAID\raid_tool.exe1177001370"
589824 26 Apr 2005 "C:\PROGRAMMI\VIA\RAID\bak\raid_tool.exe"
24076 19 Apr 2007 "C:\PROGRAMMI\CyberLink\PowerDVD\Language\Language.exe"
49152 13 Apr 2006 "C:\PROGRAMMI\CyberLink\PowerDVD\Language\bak\Language.exe"
49152 13 Apr 2006 "D:\PROGRAMMI\CyberLink\PowerDVD\Language\Language.exe"
52272 19 Feb 2007 "C:\PROGRAMMI\Google\googletoolbar3user.exe"
138168 19 Feb 2007 "C:\PROGRAMMI\Google\Common\Google Updater\GoogleUpdaterService.exe"
24076 19 Apr 2007 "C:\PROGRAMMI\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe"
171448 19 Feb 2007 "C:\PROGRAMMI\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
24076 19 Apr 2007 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIADE.EXE"
98304 2 Feb 2005 "C:\WINDOWS\system32\spool\drivers\w32x86\epsonstylus_dx480043bf\E_FATIADE.EXE"
98304 2 Feb 2005 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIADE.EXE"


end of report
AND64
Newbie
 
Post: 3
Iscritto il: 23/04/07 15:12

Postdi Luke57 » 27/04/07 12:23

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\PROGRAMMI\Alwil Software\Avast4\bak\ashDisp.exe | C:\PROGRAMMI\Alwil Software\Avast4\ashDisp.exe
C:\PROGRAMMI\ATI Technologies\ATI.ACE\bak\cli.exe | C:\PROGRAMMI\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRAMMI\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\PROGRAMMI\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRAMMI\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\bak\EDICT.EXE | C:\PROGRAMMI\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE
C:\PROGRAMMI\VIA\RAID\bak\raid_tool.exe | C:\PROGRAMMI\VIA\RAID\raid_tool.exe
C:\PROGRAMMI\CyberLink\PowerDVD\Language\bak\Language.exe | C:\PROGRAMMI\CyberLink\PowerDVD\Language\Language.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_FATIADE.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIADE.EXE





Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Opensource » 27/04/07 13:31

ma oltre a muovere i files, non si dovrebbero anche cancellarli?
cioè nello script di avenger non dovrebbe esserci qualcosa di simile?

files to delete:
......
.....
Avatar utente
Opensource
Utente Senior
 
Post: 684
Iscritto il: 02/11/06 20:45

Postdi Luke57 » 27/04/07 14:26

Opensource ha scritto:ma oltre a muovere i files, non si dovrebbero anche cancellarli?
cioè nello script di avenger non dovrebbe esserci qualcosa di simile?

files to delete:
......
.....

Ciao, è sufficiente spostare il file sano che sostituisce quello infetto, in pratica sovrascrivendolo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "Problemi con IstantAccess":


Chi c’è in linea

Visitano il forum: Nessuno e 79 ospiti