View Full Version : virus variante win32/adware.agent
ciao a tutti
appena avvio il pc, NOD32 mi rileva un virus e non riesco a cancallarlo.
Esce scritto su NOD32:
FILE:
C:\WINDOWS\system32\xxyxutt.dll
VIRUS:
probabilmente una variante di Win32/Adware.Agent applicazione
COMMENTO:
questo file può essere cancellato. Assicurati di aver salvato i tuoi dati prima di cancellarlo. Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\Explorer.EXE
Purtroppo non si cancella, cosa posso fare?
Bugs Bunny
12-10-2007, 16:00
log di hijackthis
come si fa?
scarica HiJackThis dalla mia firma (qua sotto) mettilo in una cartella sul desktop o in programmi. Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note) e copia e incolla INTERAMENTE qui.
:D
Chill-Out
12-10-2007, 16:14
Scarica HijackThis da qui: http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip
decomprimi il file compresso, lancia l'eseguibile, clicca su Do a sytem scan and save log file, copia e incolla qui il contenuto del file di testo generato.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.18.59, on 12/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Utente\Desktop\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8156A70A-E462-4170-9BB1-00B41DE7B851} - C:\WINDOWS\system32\mljgf.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\system32\ysylgnyl.dll
O2 - BHO: (no name) - {9370EFDE-C0DA-42C9-B609-41C87B462011} - C:\WINDOWS\system32\xxyxutt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TQ566808] "F:\Setup.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\abpmwvpo.dll",sitypnow
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS2\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O20 - Winlogon Notify: xxyxutt - C:\WINDOWS\SYSTEM32\xxyxutt.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 6634 bytes
juninho85
12-10-2007, 16:24
O2 - BHO: (no name) - {8156A70A-E462-4170-9BB1-00B41DE7B851} - C:\WINDOWS\system32\mljgf.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\system32\ysylgnyl.dll
O2 - BHO: (no name) - {9370EFDE-C0DA-42C9-B609-41C87B462011} - C:\WINDOWS\system32\xxyxutt.dll
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\abpmwvpo.dll",sitypnow
O20 - Winlogon Notify: xxyxutt - C:\WINDOWS\SYSTEM32\xxyxutt.dll
se potresti zippare questi file e inviarmeli via mail te ne sarei molto grato ;):)
fatto questo ora puoi anch e fixarli con hijackthis :D
Adesso, se lo hai attivo, disabilita il ripristino di configurazione di sistema (start – programmi – accessori – utilità di sistema – ripristino di configurazione di sistema).
Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.
Ecco le voci da fissare:
O2 - BHO: (no name) - {8156A70A-E462-4170-9BB1-00B41DE7B851} - C:\WINDOWS\system32\mljgf.dll
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\system32\ysylgnyl.dll
O2 - BHO: (no name) - {9370EFDE-C0DA-42C9-B609-41C87B462011} - C:\WINDOWS\system32\xxyxutt.dll
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\abpmwvpo.dll",sitypnow
O20 - Winlogon Notify: xxyxutt - C:\WINDOWS\SYSTEM32\xxyxutt.dll
Ora devi cercare in C:\WINDOWS\system32\xirwmeex.dll",sitypnow questa voce e cancellarla. (prima però passala a juihno)
ora usa ESET AGVPFIX: clicca qui per il download (http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua, rimuove e eventuali Win32/Agent.VP trojan
poi fai pulizia con CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui
Alla fine usa la versione NUOVA di HJT scaricandola dalla mia firma e posta un nuovo log
Chill-Out
12-10-2007, 16:37
Dopo fai girare questi tool
1 http://www.atribune.org/public-beta/VundoFix.exe
lancialo metti la spunta su "Run VundoFix as a task" ti darà un messaggio che vundofix si chiuderà e riaprirà in un minuto o meno, quando il programma si riaprirà clicca OK clicca su "Scan for Vundo" quando ha finito di fare la scansione clicca su "Remove vundo" clicca YES alla domanda se vuoi rimuovere i files,quindi inizierà a rimuovere le dll del vundo ,quando ha finito ti dirà che dovrà riavviare il pc clicca OK, posta il log che troverai in C:\vundofix.txt....
2 http://securityresponse.symantec.com...r/FixVundo.exe
3 http://secured2k.home.comcast.net/to...undoBeGone.exe da modalità provvisoria F8
juninho85
12-10-2007, 16:39
esatto...forse senza tanti ravanamenti è meglio eseguire il vundofix senza passare per hijackthis :D
esatto...forse senza tanti ravanamenti è meglio eseguire il vundofix senza passare per hijackthis :D
col calma gli avrei fatto fare anche vundofix, il pc è bene tenerlo pulito :D
Chill-Out
12-10-2007, 17:00
Poi sempre con calma, quindi dopo aver laciato i tool per rimuovere Vundo fai girare questo:
ELISTARTA TOOL
http://www.zonavirus.com/datos/descargas/78/elistara.asp
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita
questo è il nuovo log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.05.28, on 12/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Utente\Desktop\HiJackThis_v2.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TQ566808] "F:\Setup.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\abpmwvpo.dll",sitypnow
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 5354 bytes
come ti ho già detto prima devi fixare di nuovo questa voce:
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\abpmwvpo.dll",sitypnow
e cercare il percorso in neretto e cancellarlo (possibilmente da modalità provvisoria)
per il resto è apposto... prosegui con le istruzioni date da Chill-Out :D
Fri Oct 12 18:32:29 2007
EliStartPage v14.82 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\XXYXUTT] -> C:\WINDOWS\SYSTEM32\xxyxutt.dll
[WinLogon\Notify\XXYXUTT]
Acceso Denegado al fichero
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL
Por favor, envienos una muestra del fichero
que podra copiar arrancando en Consola de Recuperación.
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL --> Acceso Denegado.
Eliminada Class, "{9370EFDE-C0DA-42C9-B609-41C87B462011}" -> C:\WINDOWS\system32\xxyxutt.dll
Linea Eliminada del HOSTS --> 127.0.0.1 localmachine # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.errorprotector.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.systemdoctor.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.utils.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.win-virus-pro.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispam.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispy.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.winantiviruspro.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.windrivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.windrivesafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.winfixer2006.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 www.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 2005-search.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 600pics.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 a1.interclick.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 absolutepics.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 ad.yieldmanager.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 alex.fileburst.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 all-tgp.org # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 apps.deskwizz.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 barteros.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 best4all.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 best-targeted-traffic.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 bins.elitemediagroup.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 bn.i-ru.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 brazauskas.info # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 bundleware.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 burnsrecyclinginc.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 campaigns.interclick.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 centralgate.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 clickfast.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 code.jcash.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 code.trasferimento.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 command.adservs.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 content.dollarrevenue.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 content.exetraffic.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 content2.dollarrevenue.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 cumhereteens.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 cyber-search.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 ddh24.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 dnv-counter.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 download.abetterinternet.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 download.accessmedia.tv # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 download.jupitersatellites.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 exeloads.info # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 faccesborrate.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 forlink.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 freevideo24.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 fullbizzone.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 game4all.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 get-access.host.sk # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 go-pic.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 greatgoodsex.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 heretofind.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 hqthumbz.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 it.online-more.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 its.justcount.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 krovalidajop.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 l.mezzicodec.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 lust-mature.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 mikos.paraisoasiatico.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 mmm.elitemediagroup.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 morteen.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 moviecsodecs.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 ms-counter.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 msmn.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 musah.info # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 netincap.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 newsh.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 niuqennaois.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 nnew-adult.info # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 nude-teen-bodies.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 onlyhotlinks.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 on-search.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 picshunter.us # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 picslab.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 prevedtraf.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 promo.dollarrevenue.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 redirect.msupdate.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 rogalik.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 search4www.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 search-biz.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 searchforit.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 sex-pics.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 sexyfaceplace.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 snow410.info # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 software.topinstalls.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 sp2admin.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 teadis.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 teen-biz.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 teenygirlshome.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 traff5all.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 traffbest.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 traffbucks.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 traffmoney.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 ukstories.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 ultra-search.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 uniq-soft.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 wearehosters.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.600pics.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.abetterstart.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.all-tgp.org # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.axmediaproject.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.best4all.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.burnsrecyclinginc.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.hqthumbz.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.jtreeproperties.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.lattefresco.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.lust-mature.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.mikos.paraisoasiatico.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.msnwm.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.newsh.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.onli-ne.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.onlyhotlinks.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.picshunter.us # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.picslab.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.procounter.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.sex-pics.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.spamcatchero.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.traff4ppc.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.ufixer.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.voghp.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.wearehosters.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.ysbweb.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.zgallery.us # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 ybbwxlxytz.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 yepjnddqpq.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 yhvoo.eseconsult.info # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 yougoodheer.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 ysbweb.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 z-advertise.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 zchxsikpgz.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 zgallery.us # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.searchforit.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 zonebest.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 all-websearch.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.nude-teens-bodies.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 teen-fantazi.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.bundleware.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 bailefunk.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.on-search.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.msmn.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.search4www.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.teen-biz.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 searchx.cc # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.all-websearch.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 more-pages.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 surubanet.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.teen-fantazi.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 flavinha.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 granjerascachondas.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.bailefunk.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 dedmazai.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 vivisexy.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.zonebest.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 0websearch.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.sp2admin.biz # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.heretofind.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 www.teenygirlshome.com # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 besthardcore.net # ***Inserted By STOPzilla***
Linea Eliminada del HOSTS --> 127.0.0.1 coolwebsearch.com # ***Inserted By STOPzilla***
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Oct 12 18:34:15 2007
EliStartPage v14.82 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Games\Supreme\HMG_LEGACY.DLL --> Eliminado, SrchRedir
C:\Programmi\File comuni\Microsoft Shared\Database Replication\WZCNFLCT.EXE --> Eliminado, AutoRun.IZ
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)
nonostante tutto mi esce ancora il virus se che nel commento mi dice:
Questo file può essere cancellato. Assicurati di aver salvato i tuoi dati prima di cancellarlo. Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: \??\C:\WINDOWS\system32\winlogon.exe.
Chill-Out
12-10-2007, 17:52
EliStart ha fatto il suo dovere, ma devi far girare i tool al post 9
http://www.hwupgrade.it/forum/showpost.php?p=19122175&postcount=9
questo è vundofix.txt:
VundoFix V6.5.9
Checking Java version...
Sun Java not detected
Scan started at 16.00.42 12/10/2007
Listing files found while scanning....
C:\windows\system32\fgjlm.bak1
C:\windows\system32\fgjlm.bak2
C:\windows\system32\fgjlm.ini
C:\windows\system32\fgjlm.ini2
C:\windows\system32\fgjlm.tmp
C:\windows\system32\mljgf.dll
C:\WINDOWS\system32\qihuixyr.dll
C:\windows\system32\sbuqnuie.dll
C:\WINDOWS\system32\wovuetkj.dll
Beginning removal...
Attempting to delete C:\windows\system32\fgjlm.bak1
C:\windows\system32\fgjlm.bak1 Has been deleted!
Attempting to delete C:\windows\system32\fgjlm.bak2
C:\windows\system32\fgjlm.bak2 Has been deleted!
Attempting to delete C:\windows\system32\fgjlm.ini
C:\windows\system32\fgjlm.ini Has been deleted!
Attempting to delete C:\windows\system32\fgjlm.ini2
C:\windows\system32\fgjlm.ini2 Has been deleted!
Attempting to delete C:\windows\system32\fgjlm.tmp
C:\windows\system32\fgjlm.tmp Has been deleted!
Attempting to delete C:\windows\system32\mljgf.dll
C:\windows\system32\mljgf.dll Could not be deleted.
Attempting to delete C:\WINDOWS\system32\qihuixyr.dll
C:\WINDOWS\system32\qihuixyr.dll Could not be deleted.
Attempting to delete C:\windows\system32\sbuqnuie.dll
C:\windows\system32\sbuqnuie.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\wovuetkj.dll
C:\WINDOWS\system32\wovuetkj.dll Has been deleted!
Performing Repairs to the registry.
Done!
Beginning removal...
Attempting to delete C:\windows\system32\fgjlm.ini
C:\windows\system32\fgjlm.ini Has been deleted!
Attempting to delete C:\windows\system32\fgjlm.ini2
C:\windows\system32\fgjlm.ini2 Has been deleted!
Attempting to delete C:\windows\system32\mljgf.dll
C:\windows\system32\mljgf.dll Could not be deleted.
Attempting to delete C:\WINDOWS\system32\qihuixyr.dll
C:\WINDOWS\system32\qihuixyr.dll Has been deleted!
Performing Repairs to the registry.
Done!
VundoFix V6.5.9
Checking Java version...
Sun Java not detected
Scan started at 16.09.37 12/10/2007
Listing files found while scanning....
C:\windows\system32\fgjlm.ini
C:\windows\system32\mljgf.dll
C:\WINDOWS\system32\ysylgnyl.dll
VundoFix V6.5.9
Checking Java version...
Sun Java not detected
Scan started at 18.08.22 12/10/2007
Listing files found while scanning....
C:\WINDOWS\system32\abpmwvpo.dll
C:\windows\system32\fgjlm.ini
C:\windows\system32\mljgf.dll
C:\WINDOWS\system32\opvwmpba.ini
Beginning removal...
Attempting to delete C:\WINDOWS\system32\abpmwvpo.dll
C:\WINDOWS\system32\abpmwvpo.dll Could not be deleted.
Attempting to delete C:\windows\system32\fgjlm.ini
C:\windows\system32\fgjlm.ini Has been deleted!
Attempting to delete C:\windows\system32\mljgf.dll
C:\windows\system32\mljgf.dll Could not be deleted.
Attempting to delete C:\WINDOWS\system32\opvwmpba.ini
C:\WINDOWS\system32\opvwmpba.ini Has been deleted!
Performing Repairs to the registry.
Done!
VundoFix V6.5.9
Checking Java version...
Sun Java not detected
Scan started at 18.52.12 12/10/2007
Listing files found while scanning....
C:\windows\system32\fgjlm.ini
C:\windows\system32\fgjlm.tmp
C:\windows\system32\mljgf.dll
VundoFix V6.5.9
Checking Java version...
Sun Java not detected
Scan started at 19.04.10 12/10/2007
Listing files found while scanning....
C:\windows\system32\fgjlm.ini2
C:\windows\system32\fgjlm.tmp
C:\windows\system32\mljgf.dll
Beginning removal...
Attempting to delete C:\windows\system32\fgjlm.ini2
C:\windows\system32\fgjlm.ini2 Has been deleted!
Attempting to delete C:\windows\system32\fgjlm.tmp
C:\windows\system32\fgjlm.tmp Has been deleted!
Attempting to delete C:\windows\system32\mljgf.dll
C:\windows\system32\mljgf.dll Could not be deleted.
Performing Repairs to the registry.
Done!
per i punti 2 e 3 al post 9 cosa devo fare?
Chill-Out
12-10-2007, 18:24
per i punti 2 e 3 al post 9 cosa devo fare?
Punto 2 - scarichi il file lanci l'eseguibile
Punto 3 - scarichi il file lanci l'eseguibile ma da modalità provvisoria F8
al termine riposta log di HijackThis
al punto 2 mi dice: impossibile visualizzare la pagina
non riesco a cancellarlo ancora! aiutatemi
Chill-Out
12-10-2007, 20:58
non riesco a cancellarlo ancora! aiutatemi
punto 2 http://www.symantec.com/content/it/it/global/removal_tool/threat_writeups/FixVundo.exe
punto 3 http://secured2k.home.comcast.net/to...undoBeGone.exe da modalità provvisoria F8
poi ci sono altre cose da sistemare tipo aggiornamento SO, aggiornamento IE, firewall......
lancetta
12-10-2007, 21:58
in realtà stavolta elistara ha solo cancellato le voci aggiunte nel file host che erano messe lì apposta per non incappare nei siti in questione (puntavano in locale 127.0.0.1),il tool in questione riporta il file host allo stato originario senza distinzione....:rolleyes:
Al contrario invece ha localizzato la dll malefica ma non è riuscito ad averci accesso....A questo punto prova in questi 2 modi....riscansione con elistara ma da provvisoria.. eppoi rifai gli scan con i vari vundofix ecc..
oppure scarica Avenger da qua AVENGER (http://swandog46.geekstogo.com/avenger.zip)
Scompattalo, avvialo, seleziona "Input script manually" e clicca sulla lente d'ingrandimento. Nella nuova finestra, incolla questo script:
Files to delete:
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL
C:\WINDOWS\system32\xxyxutt.dll
clicca sul pulsante "Done",clicca sull'icona di semaforo verde rispondi "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialo manualmente. e posta il log che ti rilascia in C:
Chill-Out
12-10-2007, 22:17
in realtà stavolta elistara ha solo cancellato le voci aggiunte nel file host
sei sicuro?
juninho85
12-10-2007, 22:24
senti quanto ne vuoi per questo zip?!:D
lancetta
12-10-2007, 22:57
sei sicuro?
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\XXYXUTT] -> C:\WINDOWS\SYSTEM32\xxyxutt.dll
[WinLogon\Notify\XXYXUTT]
Acceso Denegado al fichero
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL
Por favor, envienos una muestra del fichero
que podra copiar arrancando en Consola de Recuperación.
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\XXYXUTT.DLL --> Acceso Denegado
Questa è la parte del mancato accesso.......
Linea Eliminada del HOSTS --> 127.0.0.1 localmachine # ***Inserted By STOPzilla*** ecc....
e qui da quello che vedo punta al 127.0.0.1 in locale.....
Chill-Out
12-10-2007, 23:39
Mi riferivo solo a questa parte
Originariamente inviato da fox18
Linea Eliminada del HOSTS --> 127.0.0.1 localmachine # ***Inserted By STOPzilla***
erano dove non dovevano essere?
questo è il risultato dopo aver usato AVENGER:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mgxwlfoa
*******************
Script file located at: \??\C:\mnsphvqi.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\SYSTEM32\XXYXUTT.DLL deleted successfully.
File C:\WINDOWS\system32\xxyxutt.dll not found!
Deletion of file C:\WINDOWS\system32\xxyxutt.dll failed!
Could not process line:
C:\WINDOWS\system32\xxyxutt.dll
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
comunque dopo il riavvio il virus non mi esce più. Qualcos'altro devo fare?
Riverside
13-10-2007, 16:08
comunque dopo il riavvio il virus non mi esce più. Qualcos'altro devo fare?
Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
Scarica questi software e tool per eseguire una pulizia:
CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui
PANDA ANTIROOTKIT: clicca qui per il download (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva)
ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.
ESET ADS REVEALER: clicca qui per il download (http://www.nod32.it/getfile.php?tool=adsr)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua, rimuove ed esporta gli Alternate Data Streams (ADS) presenti su file system NTFS (solo se la partizione è NTFS, se fosse FAT32, non serve)
Al termine, posta un nuovo log di Hthis
lancetta
13-10-2007, 17:45
Mi riferivo solo a questa parte
erano dove non dovevano essere?
Al contrario..diciamo che erano dove dovevano essere....mi spiego:
Se nel file host aggiungi il nome a dominio di hwupgrade ad esempio,e lo fai puntare all'indirizzo ip locale del pc (127.0.01) succederà che il forum diventerà irrangiugibile,questo perchè la ricerca quando digiti un indirizzo nel browser avviene prima nel file host che funziona come una specie di rubrica e se non lo trova lì in seguito in rete.Però trovando il nome di dominio che cerchi e puntando all'indirizzo locale,il browser crederà di aver raggiunto il sito,ma in realta si è solo collegato al pc stesso....questa la spiegazione in soldoni....e semplificata al massimo.
Di norma e default però il file host non contiene indirizzi a meno chè non li aggiungiamo noi.....ed ecco perchè elistara ha cancellato tutto senza distinguere se puntavano in locale o all'esterno....
comunque dopo il riavvio il virus non mi esce più. Qualcos'altro devo fare?
Con avenger abbiamo sradicato la dll responsabile del riformarsi del malware...oltre gli ottimi consigli del socio...Riverside,ti consiglierei comunque di rifare le scansioni che ti diceva Chill-Out prima,ovvero i tool vundofix e compagnia bella..per essere sicuri che non ci sia traccia rimasta ed anche un altro giro con Elistara.......alla fine di tutto un nuovo log di hijackthis.
Saluti :cool:
grazie per l'aiuto. Ho un altro problema però: ogni tanto quando sono collegato a internet mi appaiono pagine pubblicitarie, come posso toglierle?
lancetta
13-10-2007, 18:45
grazie per l'aiuto. Ho un altro problema però: ogni tanto quando sono collegato a internet mi appaiono pagine pubblicitarie, come posso toglierle?
hai rifatto le scansioni....???:mbe: perchè dovresti ripostare i log
piccolo ot:
quando river dice di svuotare prefecth intende anche il file "layout.ini"?
grazie:)
fine ot
xcdegasp
13-10-2007, 19:50
piccolo ot:
quando river dice di svuotare prefecth intende anche il file "layout.ini"?
grazie:)
fine ot
tutto tutto,nessuno escluso!
nella prefetch non c'è nulla di utile e usato. :)
Riverside
13-10-2007, 19:51
quando river dice di svuotare prefecth intende anche il file "layout.ini"?
Teoricamente sarebbe consigliabile non rimuoverlo; in realtà, una volta rimosso, si ricrea da solo.
In ogni caso, per ripristinare il layout.ini:
● Start
● Esegui
● nella finestra di comando copia e incolla: Rundll32.exe advapi32.dll,ProcessIdleTasks
● Ok
Inoltre, il Prefetch si può modificare o disattivare accedendo al Registro di sistema, seguendo questo percorso:
● Hkey Local Machine
● System
● Current Control Set
● Control
● Session Manager
● Memory Management
Prefetch Parameters
lo stato è rilevabile alla voce Enable Prefetcher ed i valori possibili da applicare sono:
0 funzione inattiva
1 Prefetch solo per applicazioni
2 Prefetch solo per il boot
3 Prefetch per le applicazioni e per il boot
grazie per l'info picciotti:D
Chill-Out
13-10-2007, 20:49
Al contrario..diciamo che erano dove dovevano essere....mi spiego:
Se nel file host aggiungi il nome a dominio di hwupgrade ad esempio,e lo fai puntare all'indirizzo ip locale del pc (127.0.01) succederà che il forum diventerà irrangiugibile,questo perchè la ricerca quando digiti un indirizzo nel browser avviene prima nel file host che funziona come una specie di rubrica e se non lo trova lì in seguito in rete.Però trovando il nome di dominio che cerchi e puntando all'indirizzo locale,il browser crederà di aver raggiunto il sito,ma in realta si è solo collegato al pc stesso....questa la spiegazione in soldoni....e semplificata al massimo.
Di norma e default però il file host non contiene indirizzi a meno chè non li aggiungiamo noi.....ed ecco perchè elistara ha cancellato tutto senza distinguere se puntavano in locale o all'esterno....
Con avenger abbiamo sradicato la dll responsabile del riformarsi del malware...oltre gli ottimi consigli del socio...Riverside,ti consiglierei comunque di rifare le scansioni che ti diceva Chill-Out prima,ovvero i tool vundofix e compagnia bella..per essere sicuri che non ci sia traccia rimasta ed anche un altro giro con Elistara.......alla fine di tutto un nuovo log di hijackthis.
Saluti :cool:
scusa se ti ho fatto perdere tempo nella spiegazione, pensavo dicessi l'esatto contrario ;), comunque visto che siamo in argomento io non sono un sostenitore della modifica al file Hosts, perchè piu si gonfia più si impalla la navigazione IMHO, preferisco usare altri metodi (firewall....)
Riverside
13-10-2007, 21:36
Di norma e default però il file host non contiene indirizzi a meno chè non li aggiungiamo noi.....ed ecco perchè elistara ha cancellato tutto senza distinguere se puntavano in locale o all'esterno....
Ciao socio, se no sbaglio di questo avevamo parlato quando avevi scovato e testato il tool.
Se non ricordo male, proprio uno dei primi log che abbiamo avuto modo di analizzare, nella discussione relativa al virus MSN Messenger, si era presentato in quel modo ed avevamo raggiunto il convincimento che il tool, operando in profondità, avrebbe potuto, anche, ripulire il file hosts nella maniera in cui abbiamo, poi, visto più volte.
Secondo me, che il tool non faccia alcuna distinzione, alla fine è un bene; tra l'altro, credo siano davvero pochi gli utenti che, editano, manulamente, il file hosts per bloccare un sito web.
Al limite, quando consigliamo l'utilizzo del tool, potremmo, in via del tutto preventiva, rendere questa informazione (anche se potrebbe generare confusione).
scusa se ti ho fatto perdere tempo nella spiegazione ......... preferisco usare altri metodi ... firewall ....
Infatti, credo che in realtà la questione si presenti, soprattutto, per gli utenti che utilizzano il firewall integrato di Windows.
Chill-Out
13-10-2007, 21:39
(anche se potrebbe generare confusione).
come non darti ragione
Riverside
13-10-2007, 21:47
come non darti ragione
Chill, non era certo riferito a te; tra l'altro la tua osservazione era più che leggitima e meritava di essere chiarita.
Si può discutere sul fatto che il tool operi in quel modo; meno sulla sua affidabilità: è indubbio che la pulizia che esegue è piuttosto mirata e precisa.
Chill-Out
13-10-2007, 21:51
Chill, non era certo riferito a te; tra l'altro la tua osservazione era più che leggitima e meritava di essere chiarita.
Si può discutere sul fatto che il tool operi in quel modo; meno sulla sua affidabilità: è indubbio che la pulizia che esegue è piuttosto mirata e precisa.
sono stato conciso e forse mi hai frainteso, nel senso che sono assolutamente daccordo con te. ;)
Riverside
13-10-2007, 22:16
sono stato conciso e forse mi hai frainteso, nel senso che sono assolutamente daccordo con te. ;)
Chill, nessun fraintendimento .... avevo capito ;)
Mi interessava chiarire come, la tua, fosse una giusta osservazione (rispondere era anche doveroso e tenendo conto che gli utenti leggono, è bene non lasciare, in casi come questi, dubbi).
Per il resto, sinceramente, non ho molta voglia di rendere una info del genere perchè sono sicuro che, appena resa, l'utente di turno ci inonderebbe di domande inutili che ci farebbero perdere solo del tempo in spiegazioni altrettanto inutili.
Chill-Out
13-10-2007, 22:37
Chill, nessun fraintendimento .... avevo capito ;)
Mi interessava chiarire come, la tua, fosse una giusta osservazione (rispondere era anche doveroso e tenendo conto che gli utenti leggono, è bene non lasciare, in casi come questi, dubbi).
Per il resto, sinceramente, non ho molta voglia di rendere una info del genere perchè sono sicuro che, appena resa, l'utente di turno ci inonderebbe di domande inutili che ci farebbero perdere solo del tempo in spiegazioni altrettanto inutili.
quoto ;)
lancetta
14-10-2007, 02:02
soci:D ...la spiegazione è più a beneficio e info per chi legge che per 2 scafati come voi;) .....effettivamente elistara si è rivelato un tool molto potente ed efficace nella maggior parte dei casi..però nel caso del file host non distinguendo ma portandolo allo stato originario,per chi lo edita di proposito potrebbe essere un piccolo inconveniente....però meglio un host ripulito che i virus..poi non credo che chi usi il suddetto metodo faccia tutto a mano,ma in rete esistono liste preapprontate apposta.Quindi si tratterebbe solo di perdere 5 minuti per rieditare il tutto:) .............
Saluti :cool:
juninho85
14-10-2007, 10:34
scusate ma non è possibile,prima di effettuare la scansione,deselezionare una qualche opzione che eviti di editare il file host(metodo di infezione che ormai mi pare non venga nemmeno più utilizzato)?
come posso togliere le pagine pubblicitarie? principalmente si apre una pagina pubblicitaria ke deriva da www.brandarama.com
Chill-Out
27-10-2007, 10:51
come posso togliere le pagine pubblicitarie? principalmente si apre una pagina pubblicitaria ke deriva da www.brandarama.com
log di HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.45.06, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programmi\eMule\emule.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TQ566808] "F:\Setup.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [a0f76c2f] rundll32.exe "C:\WINDOWS\system32\ocrnrwxg.dll",b
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: *.otherchance.com
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00809BC.dat
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 6902 bytes
Riverside
27-10-2007, 18:55
e adesso cosa devo fare
Ci sono alcuni problemi:
Disabilita il Ripristino configurazione di sistema ed inzia con il seguire, esattamente, la procedura indicata in questa Guida
http://www.hwupgrade.it/forum/showpost.php?p=18603006&postcount=1
I log che sono richiesti, pubblicali in questa discussione.
ECCO I LOG DOPO PRIMA E SECONDA PARTE:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.54.20, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\HThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TQ566808] "F:\Setup.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [a0f76c2f] rundll32.exe "C:\WINDOWS\system32\ocrnrwxg.dll",b
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00A0A94.dat
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 5793 bytes
MSNFix 1.555
C:\Documents and Settings\Utente\Desktop\Nuova cartella\MSNFix
Fix effettuato il 27/10/2007 - 21.30.35,18 By Utente
modalità normale
************************ Cercare i files presenti
... C:\WINDOWS\cookies.ini
************************ MSNCHK ***** /!\ beta test /!\
************************ Ricerca le cartelle presenti
Nessuna cartella trovata
************************ Eliminazione dei files
.. OK ... C:\WINDOWS\cookies.ini
************************ Pulizia del Registro
************************ Files sospetti
/!\ questi files necessitano di un parere esperto prima di qualsiasi intervento
[C:\1rsd.exe] 59D573EA2D62E68564B036D5C7BC54DE
==> Vi saremo grati se vorrete inviare il file C:\DOCUME~1\Utente\Desktop\Upload_Me.zip su http://upload.changelog.fr
I files e le chiavi di registro eliminati sono stati salvati nel file 27102007_21.32.0839.zip
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
C:\WINDOWS\system32\EMYMOAED.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\GGLLHPOP.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\HSIOGRDM.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\HWJJNNIK.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\JBOLCNXO.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\LCXGUCSW.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\MPHSLNTX.DLL --> Eliminado, JuanSearch(BHO)
C:\WINDOWS\system32\OFYQBHGO.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\OJRFJQJH.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\OQYARFRS.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\SBLEKJJK.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\SPFKYTPA.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\UXWMSWLH.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\VVVBFPBM.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\WSUAWXDJ.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\WYJQHGIL.DLL --> Eliminado, Vundo(sityp)
C:\WINDOWS\system32\YSYLGNYL.DLL --> Eliminado, JuanSearch(BHO)
Nº Total de Directorios: 5204
Nº Total de Ficheros: 38725
Nº de Ficheros Analizados: 10587
Nº de Ficheros Infectados: 19
Nº de Ficheros Limpiados: 19
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)
POSSO PASSARE ALLA TERZA PARTE?
CAVOLO!! HO ESEGUITO LA SECONDA PARTE CONNESSO A INTERNET. LA DEVO RIFARE?
Chill-Out
27-10-2007, 21:06
Prosegui
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.46.22, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\HThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TQ566808] "F:\Setup.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [a0f76c2f] rundll32.exe "C:\WINDOWS\system32\esqunqeq.dll",b
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00A0A94.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 6017 bytes
Chill-Out
27-10-2007, 22:01
hai fatto tutto sei arrivato alla fine della procedura?
si ho seguito la procedura. ma ogni tanto escono ancora delle pagine pubblicitarie
Chill-Out
27-10-2007, 22:09
Da fixare:
O4 - HKLM\..\Run: [a0f76c2f] rundll32.exe "C:\WINDOWS\system32\esqunqeq.dll",b
Fai girare i seguenti tool sei ancora alle prese con Vundo
http://www.atribune.org/content/view/24/2/
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe in modalità provvisoria F8
poi vediamo di mettere in sicurezza il tuo PC
per fixare quel file cosa devo fare? e per quanto riguarda quei siti, servono solo per scaricare vundofix? o per altre operazioni?
Chill-Out
27-10-2007, 22:23
Rilancia HijackThis metti il segno di spunta nella casella bianca di fianco alla voce che ti ho indicato nel post precedente
Scarichi i tool, doppio clic sul file e segui le istruzioni dovresti averlo già fatto.
rifacendo il log, al posto del file ke mi hai indicato tu cè:
O4 - HKLM\..\Run: [a0f76c2f] rundll32.exe "C:\WINDOWS\system32\ewtdhiht.dll",b
lo devo spuntare?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.26.54, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\HThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TQ566808] "F:\Setup.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [a0f76c2f] rundll32.exe "C:\WINDOWS\system32\ewtdhiht.dll",b
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D5DFC.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 6061 bytes
Chill-Out
27-10-2007, 22:29
rifacendo il log, al posto del file ke mi hai indicato tu cè:
O4 - HKLM\..\Run: [a0f76c2f] rundll32.exe "C:\WINDOWS\system32\ewtdhiht.dll",b
lo devo spuntare?
è lo stesso che ti ho indicato io, comunque è quello.
vedi post http://www.hwupgrade.it/forum/showpost.php?p=19349663&postcount=62
questo è il nuovo log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.33.09, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\HThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TQ566808] "F:\Setup.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D5DFC.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 5981 bytes
e adesso ke faccio?
Chill-Out
27-10-2007, 22:37
Te lo già detto qui: http://www.hwupgrade.it/forum/showpost.php?p=19349663&postcount=62
ok ho eseguito Vundofix, e adesso?
Chill-Out
27-10-2007, 22:54
ok ho eseguito Vundofix, e adesso?
i tool da eseguire erano 3, non è che mentre io mi dedico a te per la risoluzione del tuo problema tu smessaggi con messenger :mbe:
assolutamente. ma per i 3 tool cosa devo fare? nn ho capito proprio
se non sbaglio i primi 2 tool permettono di scaricare vundofix, mentre per il 3 cosa devo fare?
Chill-Out
27-10-2007, 23:01
ok ho eseguito Vundofix, e adesso?
mi dici cha hai eseguito VundoFix
assolutamente. ma per i 3 tool cosa devo fare? nn ho capito proprio
qui mi chiedi cosa devi fare, capisci anche da solo che c'è qualcosa che non và
detto questo riproviamo, scarichi gli eseguibili cliccando sui link che ti ho indicato, dippio clic sull'eseguibile segui le istruzioni, l'unica raccomandazione che il 3 tool lo devi lanciare in mod.provvisoria F8
posta il log che i tool rilasciano
ho scaricato gli eseguibili ma una volta andato in modalità provvisoria nn mi so muovere
Chill-Out
27-10-2007, 23:16
ho scaricato gli eseguibili ma una volta andato in modalità provvisoria nn mi so muovere
solo il terzo tool è da lanciare in mod.provvisoria, quindi lancia i primi due da modalità normale, poi vediamo.
lancetta
28-10-2007, 00:48
ok fatto.
i log per favore ..........:muro:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.09.00, on 28/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TQ566808] "F:\Setup.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [a0f76c2f] rundll32.exe "C:\WINDOWS\system32\gesvtpnw.dll",b
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00EF15C.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 5837 bytes
juninho85
28-10-2007, 10:28
O4 - HKLM\..\Run: [TQ566808] "F:\Setup.exe"
O4 - HKLM\..\Run: [a0f76c2f] rundll32.exe "C:\WINDOWS\system32\gesvtpnw.dll",b
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00EF15C.dat
prova ad eliminare questi
Chill-Out
28-10-2007, 10:34
oltre a fixare le voci suggerite da juninho85, devi postare i log relativi ai tool per rimuovere vundo e ferma quel dannato Emule.
VundoFix V6.5.11
Checking Java version...
Sun Java not detected
Scan started at 11.45.36 28/10/2007
Listing files found while scanning....
C:\windows\system32\acxdeeuo.dll
C:\windows\system32\annyvwbh.ini
C:\windows\system32\asbdqrro.dll
C:\windows\system32\asinktjl.dll
C:\windows\system32\bjdvrfpp.ini
C:\windows\system32\bleiruuj.dll
C:\WINDOWS\system32\coewqtea.dll
C:\windows\system32\cvlmqdth.dll
C:\windows\system32\dbftdhxu.ini
C:\windows\system32\doioipkh.dll
C:\windows\system32\erjgtoto.ini
C:\windows\system32\fdvyylei.dll
C:\windows\system32\fgjlm.bak2
C:\windows\system32\fgjlm.ini
C:\windows\system32\hbwvynna.dll
C:\windows\system32\hdufrwvv.ini
C:\windows\system32\hkpioiod.ini
C:\windows\system32\hsrcmrwx.ini
C:\windows\system32\htdqmlvc.ini
C:\windows\system32\ielyyvdf.ini
C:\windows\system32\iukwpbwr.dll
C:\windows\system32\ixkokqek.ini
C:\windows\system32\jiqmbpom.ini
C:\windows\system32\juurielb.ini
C:\windows\system32\keqkokxi.dll
C:\windows\system32\khbotkiv.dll
C:\windows\system32\ksncsniw.dll
C:\windows\system32\ljtknisa.ini
C:\windows\system32\loyfsuis.ini
C:\windows\system32\lvgjfcdq.dll
C:\windows\system32\mljgf.dll
C:\windows\system32\mopbmqij.dll
C:\windows\system32\oeyeihes.dll
C:\windows\system32\orrqdbsa.ini
C:\windows\system32\oshaxlyw.dll
C:\windows\system32\otnixdky.dll
C:\windows\system32\ototgjre.dll
C:\windows\system32\oueedxca.ini
C:\windows\system32\ppfrvdjb.dll
C:\windows\system32\qdcfjgvl.ini
C:\windows\system32\rwbpwkui.ini
C:\windows\system32\sehieyeo.ini
C:\windows\system32\senkqrlu.ini
C:\windows\system32\siusfyol.dll
C:\windows\system32\tkscqquy.dll
C:\windows\system32\ulrqknes.dll
C:\windows\system32\uxhdtfbd.dll
C:\windows\system32\viktobhk.ini
C:\windows\system32\vvwrfudh.dll
C:\windows\system32\vwvrjevx.dll
C:\windows\system32\winscnsk.ini
C:\windows\system32\wylxahso.ini
C:\windows\system32\xvejrvwv.ini
C:\windows\system32\xwrmcrsh.dll
C:\windows\system32\ykdxinto.ini
C:\windows\system32\yuqqcskt.ini
Beginning removal...
Attempting to delete C:\windows\system32\acxdeeuo.dll
C:\windows\system32\acxdeeuo.dll Has been deleted!
Attempting to delete C:\windows\system32\annyvwbh.ini
C:\windows\system32\annyvwbh.ini Has been deleted!
Attempting to delete C:\windows\system32\asbdqrro.dll
C:\windows\system32\asbdqrro.dll Has been deleted!
Attempting to delete C:\windows\system32\asinktjl.dll
C:\windows\system32\asinktjl.dll Has been deleted!
Attempting to delete C:\windows\system32\bjdvrfpp.ini
C:\windows\system32\bjdvrfpp.ini Has been deleted!
Attempting to delete C:\windows\system32\bleiruuj.dll
C:\windows\system32\bleiruuj.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\coewqtea.dll
C:\WINDOWS\system32\coewqtea.dll Has been deleted!
Attempting to delete C:\windows\system32\cvlmqdth.dll
C:\windows\system32\cvlmqdth.dll Has been deleted!
Attempting to delete C:\windows\system32\dbftdhxu.ini
C:\windows\system32\dbftdhxu.ini Has been deleted!
Attempting to delete C:\windows\system32\doioipkh.dll
C:\windows\system32\doioipkh.dll Has been deleted!
Attempting to delete C:\windows\system32\erjgtoto.ini
C:\windows\system32\erjgtoto.ini Has been deleted!
Attempting to delete C:\windows\system32\fdvyylei.dll
C:\windows\system32\fdvyylei.dll Has been deleted!
Attempting to delete C:\windows\system32\fgjlm.bak2
C:\windows\system32\fgjlm.bak2 Has been deleted!
Attempting to delete C:\windows\system32\fgjlm.ini
C:\windows\system32\fgjlm.ini Has been deleted!
Attempting to delete C:\windows\system32\hbwvynna.dll
C:\windows\system32\hbwvynna.dll Has been deleted!
Attempting to delete C:\windows\system32\hdufrwvv.ini
C:\windows\system32\hdufrwvv.ini Has been deleted!
Attempting to delete C:\windows\system32\hkpioiod.ini
C:\windows\system32\hkpioiod.ini Has been deleted!
Attempting to delete C:\windows\system32\hsrcmrwx.ini
C:\windows\system32\hsrcmrwx.ini Has been deleted!
Attempting to delete C:\windows\system32\htdqmlvc.ini
C:\windows\system32\htdqmlvc.ini Has been deleted!
Attempting to delete C:\windows\system32\ielyyvdf.ini
C:\windows\system32\ielyyvdf.ini Has been deleted!
Attempting to delete C:\windows\system32\iukwpbwr.dll
C:\windows\system32\iukwpbwr.dll Has been deleted!
Attempting to delete C:\windows\system32\ixkokqek.ini
C:\windows\system32\ixkokqek.ini Has been deleted!
Attempting to delete C:\windows\system32\jiqmbpom.ini
C:\windows\system32\jiqmbpom.ini Has been deleted!
Attempting to delete C:\windows\system32\juurielb.ini
C:\windows\system32\juurielb.ini Has been deleted!
Attempting to delete C:\windows\system32\keqkokxi.dll
C:\windows\system32\keqkokxi.dll Has been deleted!
Attempting to delete C:\windows\system32\khbotkiv.dll
C:\windows\system32\khbotkiv.dll Has been deleted!
Attempting to delete C:\windows\system32\ksncsniw.dll
C:\windows\system32\ksncsniw.dll Has been deleted!
Attempting to delete C:\windows\system32\ljtknisa.ini
C:\windows\system32\ljtknisa.ini Has been deleted!
Attempting to delete C:\windows\system32\loyfsuis.ini
C:\windows\system32\loyfsuis.ini Has been deleted!
Attempting to delete C:\windows\system32\lvgjfcdq.dll
C:\windows\system32\lvgjfcdq.dll Has been deleted!
Attempting to delete C:\windows\system32\mljgf.dll
C:\windows\system32\mljgf.dll Has been deleted!
Attempting to delete C:\windows\system32\mopbmqij.dll
C:\windows\system32\mopbmqij.dll Has been deleted!
Attempting to delete C:\windows\system32\oeyeihes.dll
C:\windows\system32\oeyeihes.dll Has been deleted!
Attempting to delete C:\windows\system32\orrqdbsa.ini
C:\windows\system32\orrqdbsa.ini Has been deleted!
Attempting to delete C:\windows\system32\oshaxlyw.dll
C:\windows\system32\oshaxlyw.dll Has been deleted!
Attempting to delete C:\windows\system32\otnixdky.dll
C:\windows\system32\otnixdky.dll Has been deleted!
Attempting to delete C:\windows\system32\ototgjre.dll
C:\windows\system32\ototgjre.dll Has been deleted!
Attempting to delete C:\windows\system32\oueedxca.ini
C:\windows\system32\oueedxca.ini Has been deleted!
Attempting to delete C:\windows\system32\ppfrvdjb.dll
C:\windows\system32\ppfrvdjb.dll Has been deleted!
Attempting to delete C:\windows\system32\qdcfjgvl.ini
C:\windows\system32\qdcfjgvl.ini Has been deleted!
Attempting to delete C:\windows\system32\rwbpwkui.ini
C:\windows\system32\rwbpwkui.ini Has been deleted!
Attempting to delete C:\windows\system32\sehieyeo.ini
C:\windows\system32\sehieyeo.ini Has been deleted!
Attempting to delete C:\windows\system32\senkqrlu.ini
C:\windows\system32\senkqrlu.ini Has been deleted!
Attempting to delete C:\windows\system32\siusfyol.dll
C:\windows\system32\siusfyol.dll Has been deleted!
Attempting to delete C:\windows\system32\tkscqquy.dll
C:\windows\system32\tkscqquy.dll Has been deleted!
Attempting to delete C:\windows\system32\ulrqknes.dll
C:\windows\system32\ulrqknes.dll Has been deleted!
Attempting to delete C:\windows\system32\uxhdtfbd.dll
C:\windows\system32\uxhdtfbd.dll Has been deleted!
Attempting to delete C:\windows\system32\viktobhk.ini
C:\windows\system32\viktobhk.ini Has been deleted!
Attempting to delete C:\windows\system32\vvwrfudh.dll
C:\windows\system32\vvwrfudh.dll Has been deleted!
Attempting to delete C:\windows\system32\vwvrjevx.dll
C:\windows\system32\vwvrjevx.dll Has been deleted!
Attempting to delete C:\windows\system32\winscnsk.ini
C:\windows\system32\winscnsk.ini Has been deleted!
Attempting to delete C:\windows\system32\wylxahso.ini
C:\windows\system32\wylxahso.ini Has been deleted!
Attempting to delete C:\windows\system32\xvejrvwv.ini
C:\windows\system32\xvejrvwv.ini Has been deleted!
Attempting to delete C:\windows\system32\xwrmcrsh.dll
C:\windows\system32\xwrmcrsh.dll Has been deleted!
Attempting to delete C:\windows\system32\ykdxinto.ini
C:\windows\system32\ykdxinto.ini Has been deleted!
Attempting to delete C:\windows\system32\yuqqcskt.ini
C:\windows\system32\yuqqcskt.ini Has been deleted!
Performing Repairs to the registry.
Done!
juninho85
28-10-2007, 11:10
sticazzi! :asd:
Symantec Trojan.Vundo Removal Tool 1.5.0
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\francy0986@hotmail.it\SharingMetadata\deeplyrose@hotmail.it\DFSR\Staging\CS{29AF4EEB-177C-903E-5AA0-CB5CC618255E}\01\11-{29AF4EEB-177C-903E-5AA0-CB5CC618255E}-v1-{A5F8A908-5AB2-4A45-9F37-7359760131CE}-v11-Downloaded.frx (WARNING: not scanned, path to long)
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\francy0986@hotmail.it\SharingMetadata\minafig@hotmail.it\DFSR\Staging\CS{D400075C-C0AD-6E4E-88DE-84C7B078DB6A}\01\14-{D400075C-C0AD-6E4E-88DE-84C7B078DB6A}-v1-{A5F8A908-5AB2-4A45-9F37-7359760131CE}-v14-Downloaded.frx (WARNING: not scanned, path to long)
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\Microsoft\Messenger\pier-11@hotmail.it\SharingMetadata\avrillinaa@hotmail.it\DFSR\Staging\CS{3EE4115C-CD3B-EFA0-B705-683F77F59067}\01\332-{3EE4115C-CD3B-EFA0-B705-683F77F59067}-v1-{15009245-DB76-4FCF-B28B-3BEAB08AACD9}-v332-Downloaded.frx (WARNING: not scanned, path to long)
C:\System Volume Information: (not scanned)
Trojan.Vundo has not been found on your computer.
come ho detto il 3 tool nn lo so fare
Chill-Out
28-10-2007, 20:59
Spegni il Pc, riavvilo premendo ripetutamente F8 ti apparirà una schermata con sfondo nero e diciture bianche
Utilizzare i tasti di direzione (le frecce) per evidenziare l'opzione di modalità provvisoria e quindi premi INVIO
verrà caricato il sistema operativo, vedrai il desktop leggermente diverso dal punto di vista grafico a questro punto lancio il terzo tool, al termine raivvia il Pc in modalità normale
Scarica CCleaner per la pulizia dei file temporanei da qui: http://www.filehippo.com/download/836aab53c0dfd8723b25ba68ecc6b540/download/
installalo senza la toolbar di Yahoo, lancialo, clicca su opzione, avanzate, spunta la casella "Cancella file Windows Temp solo se più vecchi di 48 ore" e avvia la pulizia.
Scarica Prevx CSI da qui: http://majorgeeks.com/downloadget.php?id=5785&file=1&evp=ba534a281306e4410a015c2f61531e45
e fagli scansionare il sistema rimuovi eventuali malware trovati
posta i log del terzo tool e di Prevx CSI
Riverside
28-10-2007, 22:14
E, visto che ci sei, oltre a quello che che ti hanno suggerito Juni e Chill (sta roba la devi fare in modalità provvisoria, sempre con il Ripristino configurazione di sistema disabiliato):
SYSCLEAN TRENDMICRO: clicca qui per il download (http://it.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com)
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, individua e rimuove gli eventuali virus worm e malware presenti nella memoria del P.C., nel file di registro di Windows, nelle cartelle di sistema e in qualsiasi altra ubicazione del disco locale.
● devi creare, una apposita cartella sul Desktop e, al suo interno, inserisci Sysclean
● scarica le definizioni dei virus (vengono aggiornate, quotidianamente): clicca qui per il download (http://it.trendmicro-europe.com/enterprise/support/pattern.php)
● scompatta, all’interno della cartella creata, il file zippato contenente le definizioni
● disabilita in Ripristino configurazione di sistema
● riavvia il P.C., in modalità provvisoria
● esegui Sysclean attendi il responso finale
● pubblica, il log che verrà rilasciato
avrei un'altro problema. ad esempio al posto del punto interrogativo, quando premo il tasto mi esce il trattino. al posto della o accentata mi esce il punto e virgola e cosi' anke per gli altri tasti ke si trovano sopra i numeri. cosa e' successo?
come mai non mi corrispodono i tasti della puneggiatura ogni volta ke scrivo?
● pubblica, il log che verrà rilasciato
Ti è stato richiesto il log di questa scansione,per favore allegalo!
Inoltre per la tastiera prova a prememere CONTEMPORANEAMENTE il tasto SHIFT SINISTRO + ALT e vedrai che torna tutto normale. Altrimenti riavvia e tornerà normale ugualmente.
Ciao, per favore modifica il precedente post secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984) per quanto riguarda i log:
Quando vi viene richiesto di inserire nel thread i log dei vari tool di disinfezione siete pregati di allegarli con la funzione "Gestisci Allegati" o altrimenti tra i tag (code)(/code);
se il log che vorreste postare risultasse estremamente lungo si consiglia l'upload su uno spazio disco remoto gratuito come www.zshare.net e inserire nel forum il solo link;
Altrimenti nessuno potrà darti assistenza.
Grazie per la collaborazione. :D
scusami adesso lo invio tramite file allegati
Riverside
18-12-2007, 11:07
Roba da non credere.
Ma imparate a leggere, per favore.
Riedita il post dove hai pubblicato il Log e, soprattutto, riedita quello dove hai pubblicato il link TOGLIENDO il link.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.32.47, on 18/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Video Add-on\icthis.exe
C:\Programmi\Video Add-on\icmntr.exe
C:\Programmi\Video Add-on\isfmntr.exe
C:\Programmi\Video Add-on\isfmm.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Eset\nod32.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Utente\Documenti\AntivirusVari\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0C722558-A363-4ABD-A032-955B7FDE1EAF} - (no file)
O2 - BHO: (no name) - {2D337981-5935-4E69-BC77-B3B91FACCB0D} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {69B98C68-D2B8-4A4E-9CB7-E85B6F3A7014} - C:\Programmi\Video Add-on\isfmdl.dll
O2 - BHO: (no name) - {74332DC0-690B-425A-9748-54CEF4CBC6C4} - C:\WINDOWS\system32\mljgf.dll (file missing)
O2 - BHO: (no name) - {83EE6ACD-3DFF-41AF-A7FE-83BE6F8CEC2F} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B5B54E71-AE80-472F-A700-429573C98114} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programmi\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programmi\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programmi\Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{4983B07C-C30F-4602-8126-7A3995B6D7A9}: NameServer = 85.37.17.49 85.38.28.91
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00EF15C.dat
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: cariniana - {5c770fbc-cc2f-4acd-93e8-e6f0594307fd} - C:\WINDOWS\system32\gnjsjc.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 8218 bytes
Senti, clicca su questi due link e in basso a destra clicca su MODIFICA e metti apposto come ti è stato detto.
http://www.hwupgrade.it/forum/showpost.php?p=20164463&postcount=91
http://www.hwupgrade.it/forum/showpost.php?p=20164741&postcount=93
quidi dovrei cliccare su CODE e inserire il log. poi devo fare la stessa cosa per i sito che ho scritto?
sulla barra delle applicazioni in basso a destra. cè un icona rossa simile agli aggiornamenti di windows. però se clicco sopra mi riporta al sito ke ho scritto in precedenza
Ma come te lo dobbiamo dire che devi togliere quell'indirizzo e poi devi anche editare il post:
http://www.hwupgrade.it/forum/showpost.php?p=20164463&postcount=91
Prima ho sbagliato anch'io a scriverti di usare i tag code, per favore usa la funzione Gestisci Allegati o carica i log su www.zshare.net. Intanto controllo il log.
Chill-Out
18-12-2007, 11:31
c'è di tutto compreso Zlob :doh:
Questa è la terza volta (e ultima, poi mi arrendo) che te lo dico: devi cliccare su MODIFICA, lo trovi in basso a destra per ognuno dei tuoi messaggi.
Riverside
18-12-2007, 11:47
quidi dovrei cliccare su CODE e inserire il log. poi devo fare la stessa cosa per i sito che ho scritto?
No, quel link lo devi proprio cancellare:muro:
ecco il link : hijackthis.log - 0.01MB (http://www.zshare.net/download/5718413d800909/)
Riverside
18-12-2007, 11:49
Questa è la terza volta (e ultima, poi mi arrendo):sbonk: :ops2:
ecco ho cancellato gli interventi dove avevo scritto il link. sto facendo bene?
murack83pa
18-12-2007, 12:18
il log nn va: c sono molte voci da fixare...
ma cosa è questo video add-on?
l'hai scaricato tu?
aspettiamo che dicono i dottori
ps: ma hai seguito la procedura indicata da chill (http://www.hwupgrade.it/forum/showpost.php?p=19363229&postcount=86) e da river (http://www.hwupgrade.it/forum/showpost.php?p=19364257&postcount=87) ?
essi da quando ho istallato quel programma che è apparso il virus.
murack83pa
18-12-2007, 12:36
essi da quando ho istallato quel programma che è apparso il virus.
:eek: :eek: :eek: :eek: :eek:
scusa, io nn ho letto i log precedenti: ma nessuno ti ha detto di rimuovere quel programma? cosa c aspetti a rimuoverlo???
poi nn so....chiedo sempre conferma agli esperti
Io propongo di usare anche in questo caso Avenger.
Prima apri HiJackThis e fixa:
O2 - BHO: (no name) - {0C722558-A363-4ABD-A032-955B7FDE1EAF} - (no file)
O2 - BHO: (no name) - {2D337981-5935-4E69-BC77-B3B91FACCB0D} - (no file)
O2 - BHO: (no name) - {69B98C68-D2B8-4A4E-9CB7-E85B6F3A7014} - C:\Programmi\Video Add-on\isfmdl.dll
O2 - BHO: (no name) - {74332DC0-690B-425A-9748-54CEF4CBC6C4} - C:\WINDOWS\system32\mljgf.dll (file missing)
O2 - BHO: (no name) - {83EE6ACD-3DFF-41AF-A7FE-83BE6F8CEC2F} - (no file)
O2 - BHO: (no name) - {B5B54E71-AE80-472F-A700-429573C98114} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programmi\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programmi\Video Add-on\isfmntr.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00EF15C.dat
O22 - SharedTaskScheduler: cariniana - {5c770fbc-cc2f-4acd-93e8-e6f0594307fd} - C:\WINDOWS\system32\gnjsjc.dll
Poi scarica Avenger (http://swandog46.geekstogo.com/avenger.zip). Eseguilo e seleziona Input Script Manually, clicca sulla lente e inserisci:
Files to delete:
C:\WINDOWS\system32\mljgf.dll
C:\WINDOWS\system32\__c00EF15C.dat
C:\WINDOWS\system32\gnjsjc.dll
Folders to delete:
C:\Programmi\Video Add-on
Clicca sul semaforo, accetta e riavvia quando richiesto.
Poi allega il log che trovi in c:\avenger.txt
P.S. Scusa il ritardo ma ho avuto a che fare con una BSOD.
ecco il log di avenger: avenger.txt - 0.00MB (http://www.zshare.net/download/5719442fa73c6c/)
cmq dopo il riavvio nn esce + niente. grazie mille
murack83pa
18-12-2007, 13:02
cmq dopo il riavvio nn esce + niente. grazie mille
asp
calma
che avenger nn è riuscito ad eliminare niente, mi pare di aver letto
vediamo cosa dice nuz
Aspetta a gioire, perchè c'è la variante dello Zlob che pare non sia stato eliminato. Fai un nuovo log di HiJackThis e anche un log di PrevxCSI.
hijackthis.log - 0.01MB (http://www.zshare.net/download/571961719dcc15/)
PrevxCSI nn mi rilascia nessun log. Effettua una specie di scanzione, nella quale ha trovato solo good file e nessun bad file
Stai usando Internet Explorer vero? Quando hai fixato le voci con HJT avevi il browser aperto? Se si, allora chiudilo, poi apri HiJackThis e fixa le voci O2 che ti ho elencato prima.
O2 - BHO: (no name) - {0C722558-A363-4ABD-A032-955B7FDE1EAF} - (no file)
O2 - BHO: (no name) - {2D337981-5935-4E69-BC77-B3B91FACCB0D} - (no file)
O2 - BHO: (no name) - {69B98C68-D2B8-4A4E-9CB7-E85B6F3A7014} -
O2 - BHO: (no name) - {74332DC0-690B-425A-9748-54CEF4CBC6C4} -
O2 - BHO: (no name) - {83EE6ACD-3DFF-41AF-A7FE-83BE6F8CEC2F} - (no file)
O2 - BHO: (no name) - {B5B54E71-AE80-472F-A700-429573C98114} - (no file)
Poi allega un nuovo log di HiJackThis.
hijackthis.log - 0.01MB (http://www.zshare.net/download/5719828d3f1827/)
Ora il log sembra Ok. Esegui anche una scansione con A-squared free e una con gmer. Per quest'ultimo il log serve solo se ci sono delle righe rosse.
Riverside
18-12-2007, 13:56
Ora il log sembra Ok. Esegui anche una scansione con A-squared free e una con gmer. Per quest'ultimo il log serve solo se ci sono delle righe rosse.
Nuz, (scusa ma sto lavorando e seguo quello che accade tra i tempi morti), dopo aver controllato il log di Gmer fategli fixare quel mare di robaccia che è inutile.
Deve aggiornare Adobe Acrobat Reader.
Suggerirei, inoltre, l'installazione di JavaSun, la pulizia della Cartella Prefecth e poi, giusto per sicurezza, una scansione in modalità provvisoria con SysClean (da allegare il Report).
Poi, I.E. è aggiornato alla versione 7??
Tutte quelle toolbar a cosa servono?.
Hai ragione, oggi sono un po' impegnato e mi sono lasciato sfuggire queste cose. :doh: Grazie per averlo ricordato.
Riverside
18-12-2007, 14:10
Hai ragione, oggi sono un po' impegnato e mi sono lasciato sfuggire queste cose. :doh: Grazie per averlo ricordato.
Ma scherzi? non era una osservazione .... ti ho visto seguire la discussione e non pensavo fossi, anche tu, nelle curve con il lavoro.
Vorrà dire che Fox aspetterà un attimo.
Chill-Out
18-12-2007, 14:36
PrevxCSI nn mi rilascia nessun log. Effettua una specie di scanzione, nella quale ha trovato solo good file e nessun bad file
sarebbe opportuno che tu riuscissi ad allegare il log
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.