Condividi:        

Hotinfolink ... o altro

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi brianmay » 30/05/07 12:36

Ciao Luke57,
ecco i log di Stinger, Gromozon e FixLinkoptimizer



McAfee® Stinger Version 3.4.9 built on Apr 20 2007
Copyright © 2007 McAfee, Inc. All Rights Reserved.
Virus data file v1000 created on Apr 20 2007.
Ready to scan for 187 viruses, trojans and variants.

Scan initiated on Wed May 30 10:28:41 2007
C:\WINDOWS\system32\i
Found the W32/Sdbot.worm!ftp virus !!!
C:\WINDOWS\system32\i has been deleted.
Number of clean files: 156078
Number of infected files: 1
Number of files deleted: 1






Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.







Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer.
brianmay
Utente Junior
 
Post: 16
Iscritto il: 18/05/07 14:19

Sponsor
 

Postdi brianmay » 30/05/07 12:40

Ecco anche Hijackthis.
Continuo a non riuscire ad accedere a windows update, mi da "Impossibile visualizzare la pagina".
Secondo te, Luke, se disinstallassi e reinstallassi IE cambierebbe qualcosa?
Ciao


Logfile of HijackThis v1.99.1
Scan saved at 13.37.49, on 30/05/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programmi\QuickTime\bak\qttask.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Eraser\eraser.exe
C:\Programmi\WinAgenda\WinAgenda.exe
C:\Corel\Graphics8\programs\MFIndexer.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\MSI\PC Alert III\alert.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
c:\programmi\internet explorer\iexplore.exe
C:\Programmi\Adobe\Acrobat Reader 7.0.9\Reader\AcroRd32.exe
C:\Documents and Settings\essevi\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/adsl/01.adsl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat Reader 7.0.9\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Programmi\Google\Google Desktop Search\GoogleDesktopIE.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\u.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [RunAlert] C:\Programmi\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [Eraser] C:\Programmi\Eraser\bak\eraser.exe -hide
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [Office Monitor Word Exel R] C:\WINDOWS\System32\u.exe
O4 - HKCU\..\Run: [Win-Agenda] C:\Programmi\WinAgenda\WinAgenda.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat Reader 7.0.9\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: PC Alert III.lnk = C:\Programmi\MSI\PC Alert III\alert.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Umail - {9C69A311-7375-4FD7-8BC7-45B14ADF3014} - http://umail.virgilio.it (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/adsl/01.adsl
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0EB7858-F561-44FB-BBB9-B7D203F869E2}: NameServer = 62.211.69.150 212.48.4.15
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
brianmay
Utente Junior
 
Post: 16
Iscritto il: 18/05/07 14:19

Postdi Luke57 » 30/05/07 12:44

Ciao, vai qui:
http://www.suspectfile.com/forum/viewtopic.php?t=466
scarica systemscan .
Dopo averlo scaricato , decomprimilo sul desktop (nel senso che estrai il file seguibile), chiudi le applicazioni e programmi aperti e utilizzalo come spiegato (spunta tutte le opzioni e premi scan now).
Al termine della scansione sarà rilasciato il file report.txt nella cartella C:\suspectfile.
E' troppo lungo per copiarlo e incollarlo in un post, per cui vai su :
http://www.easy-share.com/
premi sfoglia, individui il file report.tx, premi Upload e carica il file sul sito.
Incolla, in un successivo post, il link per poterlo vedere (sarà il primo di quelli che ti saranno forniti).
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi brianmay » 30/05/07 14:01

ciao,
ecco il report. txt di suspectfile
http://w13.easy-share.com/1140897.html
brianmay
Utente Junior
 
Post: 16
Iscritto il: 18/05/07 14:19

Postdi Luke57 » 30/05/07 15:03

brianmay ha scritto:ciao,
ecco il report. txt di suspectfile
http://w13.easy-share.com/1140897.html

Ciao, mi dispiace è illeggibile con tutti le lettere alla rinfusa, verifca se nella cartella C:\suspectfile non ci sia una cartella zippata con all'interno il file report. Inserisce quella nel sito di easyshare.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi brianmay » 30/05/07 15:25

ho szippato il file .zip
per sicurezza ti mando lo zip (ma non so se lo leggi) e il txt szippato
ciao


file.zip
http://w13.easy-share.com/1141236.html

file.txt
http://w13.easy-share.com/1141238.html
brianmay
Utente Junior
 
Post: 16
Iscritto il: 18/05/07 14:19

Postdi Luke57 » 30/05/07 16:54

Ciao, scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Files to delete:
C:\WINDOWS\system32\qh.exe
C:\WINDOWS\system32\zd.exe
C:\WINDOWS\system32\he.exe


Files to move:
C:\Programmi\Eraser\bak\default.ers | C:\Programmi\Eraser\default.ers
C:\Programmi\Eraser\bak\eraser.exe | C:\Programmi\Eraser\eraser.exe
C:\Programmi\Eraser\bak\schedlog.txt | C:\Programmi\Eraser\schedlog.txt
C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe | C:\Programmi\Grisoft\AVG Free\avgcc.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe | C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe | C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\SUPERAntiSpyware\bak\SUPERAntiSpyware.exe | C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmi\WinAgenda\bak\Config.ini | C:\Programmi\WinAgenda\Config.ini
C:\Programmi\WinAgenda\bak\WinAgenda.exe | C:\Programmi\WinAgenda\WinAgenda.exe

Registry values to delete:
HKLM\Software\Microsoft\Windows NT\CurrentVersion Winlogon\SpecialAccounts\UserList | gnMiOHseKBsWelT

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC}



Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.

Poi da start>esegui>control userpasswords2 (lo digiti nello spazio)>OK
Se fra le utenze trovi
nMiOHseKBsWelT
la evidenzi e la rimuovi.

Apri regedit( start>esegui>regedit>OK)
Cliccando sul segno + accanto alle single voci segui questo percorso:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run, click sulla cartella Run e se sulla parte destra trovi queste voci, click tasto dx e scegli elimina:
"Service Update"="C:\WINDOWS\System32\alggg.exe"
"Windows Security Centers"="C:\WINDOWS\System32\wimnini.exe"
"Network Security"="C:\WINDOWS\System32\NSecurity.exe"
"Windows Service Update"="C:\WINDOWS\System32\mswsgs.exe"

Click tasto dx su ognuno di essi e scegli elimina.

Poi scarica deldomains da qui:
http://www.mvps.org/winhelp2002/DelDomains.inf
lo metti sul desktop, click tasto dx sul file .inf e scegli Installa.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi brianmay » 31/05/07 15:58

ciao luke57,
come da tue indicazioni invio il log di Avenger
appena prima di fare le operazioni con Avenger sono riuscito a connettermi con Windows Update ... miracolo, ho installato gli aggiornamenti. In ogni caso dopo un po' di connessione si bloccava il sistema
ho, comunque, eseguito i tuoi consigli e fra le utenze ho trovato gnMIOHseKBsWeIT e l'ho rimosso.
Non c'e' traccia, invece, delle quattro voci .exe
ho installato deldomains.inf (ma cos'e?)
Adesso provo ad usare un po' il computer e poi ti faccio sapere
Se hai, nel frattempo, ancora qualche consiglio da darmi accetto volentieri ;-))
Mille grazie


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\uxgpdxmu

*******************

Script file located at: \??\C:\WINDOWS\System32\codldoqa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\qh.exe deleted successfully.
File C:\WINDOWS\system32\zd.exe deleted successfully.
File C:\WINDOWS\system32\he.exe deleted successfully.
File move operation C:\Programmi\Eraser\bak\default.ers|C:\Programmi\Eraser\default.ers completed successfully.
File move operation C:\Programmi\Eraser\bak\eraser.exe|C:\Programmi\Eraser\eraser.exe completed successfully.
File move operation C:\Programmi\Eraser\bak\schedlog.txt|C:\Programmi\Eraser\schedlog.txt completed successfully.
File move operation C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe|C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe completed successfully.
File move operation C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe|C:\Programmi\Grisoft\AVG Free\avgcc.exe completed successfully.
File move operation C:\Programmi\Hewlett-Packard\HP Share-to-Web\bak\hpgs2wnd.exe|C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe completed successfully.
File move operation C:\Programmi\Java\jre1.5.0_11\bin\bak\jusched.exe|C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe completed successfully.
File move operation C:\Programmi\QuickTime\bak\qttask.exe|C:\Programmi\QuickTime\qttask.exe completed successfully.
File move operation C:\Programmi\SUPERAntiSpyware\bak\SUPERAntiSpyware.exe|C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe completed successfully.
File move operation C:\Programmi\WinAgenda\bak\Config.ini|C:\Programmi\WinAgenda\Config.ini completed successfully.
File move operation C:\Programmi\WinAgenda\bak\WinAgenda.exe|C:\Programmi\WinAgenda\WinAgenda.exe completed successfully.


Could not delete registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion Winlogon\SpecialAccounts\UserList|gnMiOHseKBsWelT
Deletion of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion Winlogon\SpecialAccounts\UserList|gnMiOHseKBsWelT failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DA39029C-D291-A968-3FF4-D0990D5CB5FC} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
brianmay
Utente Junior
 
Post: 16
Iscritto il: 18/05/07 14:19

Postdi Luke57 » 31/05/07 16:14

Ciao, deldomains serve a eliminare la voce 015 (restricted zone) di hijackthis, nel tuo caso questa:
O15 - Trusted Zone: *.whataboutarabit.com
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi brianmay » 07/06/07 17:32

Ciao Luke57,
Dall'ultimo contatto il computer appare piu' stabile ma ho sempre il problema relativo alla connessione, mi spiego.
Ogni volta che mi connetto ad Internet, dopo circa 5-10 minuti di connessione mi si blocca il sistema, anche il comando ctrl-alt-canc non da segni di vita e, per poter di nuovo lavorare, mi tocca riavviare il sistema.
Ti segnalo che ora mi e' possibile l'accesso a windows update e che ho gia' fatto gli aggiornamenti.
Quale puo' essere il problema? Consigli?
ti faccio un altro system scan?
Grazie
brianmay
Utente Junior
 
Post: 16
Iscritto il: 18/05/07 14:19

Postdi Luke57 » 07/06/07 19:58

Ciao, buona idea (intendo systemscan ;) )
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi brianmay » 12/06/07 15:31

ciao Luke57,
ecco il link al log di systemscan aggiornato
grazie

http://w13.easy-share.com/1194728.html
brianmay
Utente Junior
 
Post: 16
Iscritto il: 18/05/07 14:19

Postdi Luke57 » 12/06/07 16:08

Ciao, utilizza avenger nel solito modo, inserendo lo script in neretto:


files to delete:
C:\WINDOWS\system32\u.exe
C:\WINDOWS\system32\a.exe


Files to move:
C:\Programmi\ahead\Nero Toolkit\bak\DRIVES~1.EXE | C:\Programmi\ahead\Nero Toolkit\\DRIVES~1.EXE




Inoltregn da start>esegui>regedit (lo digiti nello spazio)>OK

Segui questo percorso ciccando sul segno + accanto alle seguenti voci:
HKEY_CURRENT_USER
Software
Micosoft
Windows
CurrentVersion
Run,
Click su Run e sulla parte destra, se trovi
Office Monitor Word Exe
Click tasto dx e scegli Elimina.

Inoltre da start>esegui>control userpasswords2 >OK
Apri la cartella Utenti e cancelli l’utenza.
gnMiOHseKBsWelT
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "Hotinfolink ... o altro":


Chi c’è in linea

Visitano il forum: Nessuno e 66 ospiti