Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Software XSoftspy - feedback?

Software XSoftspy - feedback? Opzioni
Topic Precedente · Topic Sucessivo
c.nardo
Inviato: Tuesday, July 01, 2008 2:24:04 PM

Rank: Member

Iscritto dal : 4/27/2004
Posts: 23
Ho "casualmente" fatto uno scan con la demo di Xsoftspy (purtroppo è a pagamento), e questo mi ha rilevato deglle intrusioni che non mi rilevano altri programmi che uso abitualmente: AdAwareSE, SpyBot, A-squared Free.
Uso il PC per lavoro e "sto molto attento" (forse eccessivamente...)
Tra le intrusioni rilevate da Xsofspy, ad esempio, c'è "orean 32" ed altre in Windows!
Devo "preoccuparmi" ed acquistare Xsoftspy? Qualcuno l'ha in uso o mi può indicare una recensione credibile?
Grazie
Torna in alto
 
Sponsor
Inviato: Tuesday, July 01, 2008 2:24:04 PM

 
Torna in alto
 
antonpaco
Inviato: Tuesday, July 01, 2008 4:24:07 PM
Rank: AiutAmico

Iscritto dal : 11/7/2006
Posts: 1,180
mi sa tanto di falso positivo, pero' aspettiamo qualche esperto che possa darti qualche risposta certa.
Torna in alto
 
giza
Inviato: Tuesday, July 01, 2008 4:56:53 PM

Rank: AiutAmico

Iscritto dal : 10/27/2006
Posts: 9,591
è logico che se provi dei programmi a pagamento trovino qualcosa ad oc per fartelo comperare.
ma tutti i virus malware ecc che ci sono chi pensi che li abbia inventati?
le case produttrici di anti... fanno a gara ad inventare schifezze che solo i loro programmi riescono a trovare
Torna in alto
 
monsee
Inviato: Tuesday, July 01, 2008 5:42:02 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Non conosco affatto questo programma, ma so che ne esiste anche una versione gratuita, la quale (ed è questa la sua "limitazione") anche se scova dei malwares, si limita a segnalar la cosa e poi si rifiuta di intervenir sul problema.
http://download.html.it/software/sh/3041/xsoftspy/
Se hai dei soldi e li vuoi spendere, acquista pure (in Rete non si dice molto di questo programma, ma quel poco che se ne dice è positivo). Tuttavia, tieni presente che il malware che hai qui segnalato ("orean 32") non sembra proprio esista (né come malware né come file "buono")...
Torna in alto
 
c.nardo
Inviato: Wednesday, July 02, 2008 6:48:26 PM

Rank: Member

Iscritto dal : 4/27/2004
Posts: 23
Ringrazio tutti gli interlocutori.
Ho provato Xsoftspy su consiglio di un produttore del gestionale che uso abitualmente (non pensate male.. il produttore non lo vende).
Da qui la mia prova con le "sorprese". Ho nuovamente scannerizzato con Ad-aware e square-free e spy-bot, senza esito. Ho rilanciato Ssoftspy ed eccovi il log delle intrusioni:
Backdoor Rbot ELB Trojart Registry Key SevereRisk system\currentcontrolset\services\oreans32
Batkdoor Rbot EL6 Trojan Registriy Key Severe Risk system\controlset002\services\oreans32
Warezov ET Worm Registry Key Severe Risk software\smartline vision
Downloader Zlob OLY Tfojan Registry Key Severe Hisk sofware\microsoft\windows nt\currentversion\windows\run
Internet Washer Pro Registry Value Low Risk software\intemet washer\uid
WhenUSave RegistIy Value Low Risk software\microsoft\jntemet explorer\toòlbar\webbrowser\[e67c 74f4-a00a-4f2c-Sfec-fd9dc004a67F}
cgi-bin cookie File Low Risk c:\Documents and Settings\daudio\Cookies\daudio@cgi-bin[2].txt
Accoona Toolbar File Severe Rìsk c:\WINDOWS\acc 1.txt
TopSearch File Severe Risk c:\WINDOWS\Fonts\acrsec.fon
TopSearch File Severe Risk c:\WINDOWS\Fonts\acrsecB.fon
TopSearch File' Severe Risk c:\WINDOWS\Fonts\acrsecl.fon
BackdoorRbot ELB Trojan File Severe Hisk c:\WINDOWS\system32\drivers\oreans32.sys
Adware.LinkMaker File High Risk c:\WlNDOWS\system32\Uninst.log

Mosso dal dubbio di giza ho lanciato la versione prova di Spyware Doctor: non vi dico cosa è saltato fuori!
Possibile che la medicina peggiori la malattia???
Il PC funziona comunque bene, non noto cose particolari, non si aprono strane finestre ed ho installato Norton Internet Security 2008.
Posso stare tranquillo? O tra le righe del log precedente c'è qualcosa che non va...
Grazie per la preziosa cortesia che mi accordate
Torna in alto
 
monsee
Inviato: Wednesday, July 02, 2008 7:37:54 PM
Rank: AiutAmico

Iscritto dal : 4/5/2005
Posts: 22,971
Almeno per quello che riguarla l'oreans, il quale -di per sé- è solo un innocente driver... è abbastanza facile che si tratti di un vecchio (risale, infatti, all'anno scorso) falso-positivo. Ti posto un link (la discussione è in lingua inglese) al forum di Spybot nel quale, all'epoca, se ne discusse:
http://forums.spybot.info/archive/index.php/t-10762.html
Esiste comunque anche l'eventualità (magari, sei un tipo particolarmente fortunato!) che, invece, nel caso specifico tuo, si tratti per davvero di un malware. Per cui, aggiungo un altro link dove potrai leggere in dettaglio quel che di codesto malware afferma XoftSpySE...
http://www.paretologic.com/resources/definitions.aspx?remove=Backdoor%20Rbot%20ELB%20Trojan
Il punto comunque interessante (e decisivo, a parer mio) è che codesto malware è ben presente anche nel database di Emsisoft (A-squared), sicché... dovrebbe esser sufficiente andar sul sito di Emsisoft e fare una bella scansione online (del tutto gratuita, ovviamente) per renderti conto se il malware ce l'hai per davvero a bordo oppure no. Cliccando sul link sottostante, andai nella pagina Web dalla quale è possibile far la scansione online di Emsisoft (devi cliccar sul pulsante "Scan your PC now!"):
http://www.emsisoft.it/it/software/ax/
Varie altre voci da te riportate si riferiscono al Registro e -specificamente- a malware che hai, in passato, rimosso e eliminato con successo (insomma, a "infezioni passate", ormai superate, delle quali son tuttavia rimaste sparute tracce nel Registro di Sistema). Alcune voci da te qui segnalate non sono nemmeno questo, bensì puri e semplici files di testo (l'Accoona Toolbar, per esempio, è una toolbar [una delle tante] che cela dentro sé un adware: http://www.spywaredata.com/spyware/threat_list/ACCOONA%20TOOLBAR/result.php, ma nel caso tuo in questione NON è la toolbar, né l'adware in essa contenuto, che crea tanto allarme, ma... un puro e semplice file di testo [presumo, un innoquo "avanzo" di una -giusta!- disinstallazione da te già operata chissà quando).
In quanto alla segnalazione relativa all'Internet Washer Pro (programma che hai evidentemente installato, nella sua versione trial, per un periodo), è noto che tale programma, nella versione trial, contiene un adware e -tanto per non far mancare niente ai propri "potenziali Clienti"- anche un paio di spiritosi "parassiti,accessori"... che vien poi eliminato soltanto acquistando (e pagando) in effetti il Programma... (eccoti, per completezza, maggiori notizie [inclusa la modalità di eventuale rimozione "a mano"] http://www.spyany.com/program/article_spy_rm_Internetwasher.html)...
Infine, eccoti notizie (in italiano, per fortuna) di fonte Symantec sul TopSearch (un adware collegato al programma Kazaa):
http://www.symantec.com/security_response/writeup.jsp?docid=2003-080415-0053-99&tabid=1
Cliccando su "Tecnical details" potrai vederne le caratteristiche tecniche. Cliccando su "Removal" potrai leggere con si fa a rimuoverlo.
Torna in alto
 
r16
Inviato: Wednesday, July 02, 2008 11:31:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Che strano......ci sono dei veri e propri "falsi positivi" (oreans32.sys ) e dei file infetti(C: \ WINDOWS \ Fonts \ acrsecB.fon + questo che puzza da Worms :oreans32 (notare la piccola differenza con il driver "sano"oreans32.sys )

) Poi, sempre secondo quel programma,saresti infettato dal Troyan:Downloader Zlob .
E se fosse vero, non è uno scherzetto eliminarlo.
Puoi postare un log di HijackThis ,potremmo capirne di più.
Torna in alto
 
c.nardo
Inviato: Thursday, July 03, 2008 5:49:43 PM

Rank: Member

Iscritto dal : 4/27/2004
Posts: 23
Grandioso, Monsee!
Che altro aggiungere ai tuoi suggerimenti?
Ho eseguito tutto. GRAZIE

Approffitto anche del contributo prezioso di r16: usico il log rilevato dopo la pulitura:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.43.11, on 03/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware2008\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\a-squared free\a2service.exe
C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\E_SDA102.EXE
C:\Programmi\SiteAdvisor\6253\SiteAdv.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\DeskSlide\DeskSlide.exe
C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\FILECO~1\MICROS~1\Msinfo\OFFPROV.EXE
C:\Programmi\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://it.rd.yahoo.com/customize/ycomp/defaults/sb/*http://it.yahoo.com/search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FILECO~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programmi\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\6253\SiteAdv.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programmi\Xi\NetXfer\NXToolBar.dll
O3 - Toolbar: Mostra Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [ES_AGENT2] C:\WINDOWS\System32\E_SDA102.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmi\SiteAdvisor\6253\SiteAdv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [DeskSlide] C:\Programmi\DeskSlide\DeskSlide.exe -logon -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: -
O4 - Global Startup: -
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Local Website Archive - C:\Documents and Settings\claudio\Dati applicazioni\aignes\Local Website Archive\config\iearc.htm
O8 - Extra context menu item: Salva oggetto con NetXfer - C:\Programmi\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con NetXfer - C:\Programmi\Xi\NetXfer\NXAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Fit-width Print - {3C34EBD2-038D-4d4f-B081-16D99D8BE2B4} - C:\WINDOWS\Downloaded Program Files\IEPrint.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {5B389903-5BC5-4976-B9CF-F27DCD9422BC} - C:\Programmi\Local Website Archive\wsarc_add.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add to Local Website Archive - {5B389903-5BC5-4976-B9CF-F27DCD9422BC} - C:\Programmi\Local Website Archive\wsarc_add.exe (HKCU)
O9 - Extra button: Start Local Website Archive - {99A58962-58C5-424D-8601-ADE31DD00F7C} - C:\Programmi\Local Website Archive\wsarc.exe (HKCU)
O9 - Extra button: Add to Local Website Archive - {E63A22CF-CFD2-4B11-8CF3-F44BD3EAFD3D} - C:\Programmi\Local Website Archive\wsarc_add.exe (HKCU)
O16 - DPF: IEPrint - http://www.visiontech.ltd.uk/software/download/IEPrint.CAB
O16 - DPF: symsupportutil -
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} -
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ControlInstaller Class) -
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.5.cab
O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} (PrinterHelpEtcActiveX Control) - http://www.samsungdp.com/printerhelp/ActiveX/DrPrinter.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.10.0007/OCI/setup.exe
O16 - DPF: {53D602E4-66ED-4B03-A5B8-19E4F4F6F18F} - http://netphone.tiscali.it/netphone/ocx/tiphone.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/21286a61fce8ad275b18/netzip/RdxIE601_it.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://fastfoto.fotopixel.it/uploader/ImageUploader4.cab
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} - http://netphone.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} - http://cs7b.instantservice.com/jars/customerxsigned34.cab
O16 - DPF: {ACBCC6AF-9704-4E5D-8649-26F10E38ABAE} - http://www.exhibits.it/exhibits/install/Installer.exe
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} - http://cv.fiat.com/autopricer/ocx/configuratoreauto.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} -
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} -
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} -
O16 - DPF: {EF3C5077-2040-400D-91F7-86603AF00F80} - http://www.quattroruote.it/auto/servizi/quattroruotealerts/download/QuattroruoteDownloader.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA3D1D5B-AF6A-46B4-BC78-01C1AD8E424B}: NameServer = 212.131.30.42,195.130.225.129
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programmi\a-squared free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware2008\aawservice.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: EpsonBidirectionalAgent - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\eEBAPI\eEBAgent.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec RemoteAssist - Symantec, Inc. - C:\Programmi\File comuni\Symantec Shared\Support Controls\ssrc.exe
O24 - Desktop Component 0: (no name) - http://images.google.it/images?q=tbn:BhkF9nm7QWAJ:www.bassnet.biz/img/foto/uol.jpg
O24 - Desktop Component 1: (no name) - http://www.mitsubishi-auto.it/images/sfondi/spacestar/spacestar_800_3.jpg

--
End of file - 11868 bytes

E' tutto "pulito"?

Siete insostituibil!
Torna in alto
 
r16
Inviato: Thursday, July 03, 2008 11:19:11 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Ehm.... proprio pulito non direi....

Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Se non sai "fixare"le voci,segui questa guida dettagliata: http://www.aiutaamici.com/software?ID=11175

Avvia in modalità provvisoria http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O4 - Startup: -
O4 - Global Startup: -
O16 - DPF: symsupportutil
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} -
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ControlInstaller Class) -
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.5.cab
O16 - DPF: {4D054067-DE3A-48F9-B19B-BCD229B9AE8D} (PrinterHelpEtcActiveX Control) - http://www.samsungdp.com/printerhelp/ActiveX/DrPrinter.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.10.0007/OCI/setup.exe
O16 - DPF: {53D602E4-66ED-4B03-A5B8-19E4F4F6F18F} - http://netphone.tiscali.it/netphone/ocx/tiphone.cab
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} - http://netphone.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} - http://cs7b.instantservice.com/jars/customerxsigned34.cab
O16 - DPF: {ACBCC6AF-9704-4E5D-8649-26F10E38ABAE} - http://www.exhibits.it/exhibits/install/Installer.exe
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} - http://cv.fiat.com/autopricer/ocx/configuratoreauto.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} -
O16 - DPF: {EF3C5077-2040-400D-91F7-86603AF00F80} - http://www.quattroruote.it/auto/servizi/quattroruotealerts/download/Quattroruote Downloader.ocx

Scarica VIRIT :
http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e lo fai girare in Modalità Provvisoria (è molto importante).

Riavvia il pc

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1, premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.
ComboFix non funziona in modalità provvisoria
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Torna in alto
 
c.nardo
Inviato: Saturday, July 05, 2008 3:14:59 PM

Rank: Member

Iscritto dal : 4/27/2004
Posts: 23
Grazie R16. Ho eseguito i passaggi indicati ed ho avuto altre "sorprese"...
Eccoti il log di VIRIT
VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
04/07/2008 - 22:55:44

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\00\Lupo\Lupo PenSuite\Apps\Universal Extractor\bin\EXTRACT.EXE Possibile variante da Trojan.Win32.Syncro.C
C:\00\Lupo\Lupo PenSuite\Apps\Universal Extractor\bin\tee.exe Possibile variante da TrojanProxy.Win32.Small.A
C:\00\Lupo\Lupo PenSuite\Apps\VLC Plus\App\VLC\plugins\libvobsub_plugin.dll Possibile variante da Trojan.Win32.OnLineGames.W
C:\Programmi\Easy PDF Convertor\epdf01.dat Infetto da Backdoor.RBot.JV
* * * RIMOSSO * * *
C:\Programmi\Easy PDF Convertor\epdf05.dat Infetto da Backdoor.RBot.PZ
* * * RIMOSSO * * *
C:\Programmi\TreeSize Professional\TSizepro.exe Possibile variante da Trojan.Win32.Small.SC
C:\Programmi\WinRAR\Uninstall.Exe Infetto da Backdoor.PoeBot.D
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 7.
Files Sospetti: 0.
Files Analizzati: 98873.
Files Totali: 98873.
Chiavi Registro rimosse: 0.
Virus Rimossi: 3.

[SCANSIONE DELLA MEMORIA]
OK
05/07/2008 - 00:27:17

[SCANSIONE DEL REGISTRO]
OK

Ho disinstallato Lupo (scaricato dai software Aiutamici...) e Treesize Professional.
I programmi Easy PDF Converter e Winrar mi "servono"; mi consigli di disinstallarli e fare un nuovo download? O devo intervenire in altro modo?

Ho quindi avviato COMBOFIX; ecco il log risultante:
ComboFix 08-07-04.5 - claudio 2008-07-05 13.55.05.1 - NTFSx86
Eseguito da: C:\Documents and Settings\claudio\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sys.txt

.
((((((((((((((((((((((((( Files Creati Da 2008-06-05 al 2008-07-05 )))))))))))))))))))))))))))))))))))
.

2008-07-04 22:50 . 2008-07-05 00:27 <DIR> d-------- C:\VEXPLITE
2008-07-04 22:50 . 2008-03-17 19:23 39,808 --a------ C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-07-03 13:58 . 2008-07-03 14:15 <DIR> d-------- C:\Programmi\RegCure
2008-06-30 13:27 . 2008-07-03 14:08 <DIR> d-------- C:\Programmi\XoftSpySE
2008-06-30 12:32 . 2008-06-30 12:32 <DIR> d-------- C:\Documents and Settings\claudio\Dati applicazioni\SupportSoft
2008-06-16 22:08 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-06-14 18:13 . 2008-05-07 07:10 1,293,312 -----c--- C:\WINDOWS\system32\dllcache\quartz.dll
2008-06-14 18:04 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-14 17:17 . 2008-06-14 19:32 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-13 14:45 . 2008-06-13 14:45 579,464 --a------ C:\WINDOWS\system32\SymNeti.dll
2008-06-13 14:45 . 2008-06-13 14:45 207,240 --a------ C:\WINDOWS\system32\SymRedir.dll
2008-06-13 14:14 . 2008-06-13 14:14 31,280 --a------ C:\WINDOWS\system32\drivers\SymIM.sys
2008-06-13 14:14 . 2008-06-13 14:14 13,093 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
2008-06-13 14:14 . 2008-06-13 14:14 1,611 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
2008-06-13 14:13 . 2008-06-13 14:13 184,240 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2008-06-13 14:13 . 2008-06-13 14:13 96,432 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2008-06-13 14:13 . 2008-06-13 14:13 41,008 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
2008-06-13 14:13 . 2008-06-13 14:13 38,576 --a------ C:\WINDOWS\system32\drivers\symids.sys
2008-06-13 14:13 . 2008-06-13 14:13 37,424 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2008-06-13 14:13 . 2008-06-13 14:13 22,320 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2008-06-13 14:13 . 2008-06-13 14:13 13,616 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2008-06-10 18:35 . 2008-06-10 18:35 <DIR> d-------- C:\Programmi\PC LiveTV
2008-06-10 18:35 . 2008-06-10 18:35 <DIR> d-------- C:\Documents and Settings\claudio\Dati applicazioni\PCLiveTV

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-05 11:49 --------- d-----w C:\Programmi\File comuni\Symantec Shared
2008-07-05 11:41 --------- d-----w C:\Programmi\BiblosME
2008-07-05 08:56 --------- d-----w C:\Documents and Settings\claudio\Dati applicazioni\JAM Software
2008-07-05 07:03 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Symantec
2008-07-04 21:21 --------- d-----w C:\Programmi\Easy PDF Convertor
2008-07-04 20:05 --------- d-----w C:\Programmi\CCleaner
2008-07-02 20:10 7,453 ----a-w C:\idsuite_run.bat
2008-07-02 17:59 --------- d---a-w C:\Documents and Settings\All Users\Dati applicazioni\TEMP
2008-07-02 11:16 --------- d-----w C:\Programmi\FastStone Capture
2008-07-01 14:15 --------- d-----w C:\Documents and Settings\claudio\Dati applicazioni\SiteAdvisor
2008-06-30 20:30 --------- d-----w C:\Programmi\AdunanzA
2008-06-30 15:46 --------- d-----w C:\Programmi\a-squared Free
2008-06-28 07:51 --------- d-----w C:\Programmi\Adsen FavIcon
2008-06-28 07:42 --------- d-----w C:\Programmi\Camtech
2008-06-28 07:38 --------- d-----w C:\Programmi\Cobian Backup 9
2008-06-24 11:05 --------- d-----w C:\Programmi\Local Website Archive
2008-06-14 17:32 272,768 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-03 09:41 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-03 09:41 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-03 09:41 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-03 09:41 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-03 09:41 --------- d-----w C:\Programmi\Symantec
2008-06-02 13:25 --------- d-----w C:\Programmi\DIGITAL GRAPH
2008-05-30 15:07 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\nView_Profiles
2008-05-29 08:01 --------- d-----w C:\Programmi\Lavasoft
2008-05-29 07:50 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-05-29 07:50 15,648 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2008-05-29 07:50 12,960 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
2008-05-29 07:49 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Lavasoft
2008-05-29 07:41 --------- d-----w C:\Programmi\File comuni\Wise Installation Wizard
2008-05-24 18:17 --------- d-----w C:\Programmi\Index.dat Suite
2008-05-24 17:32 --------- d-----w C:\Programmi\AoA Audio Extractor
2008-05-24 10:50 25,992 ----a-w C:\WINDOWS\system32\pgdfgsvc.exe
2008-05-23 10:53 --------- d-----w C:\Programmi\File comuni\Adobe
2008-05-22 17:26 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\FLEXnet
2008-05-22 14:29 --------- d-----w C:\Documents and Settings\claudio\Dati applicazioni\Download Manager
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:10 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-06 10:41 --------- d-----w C:\Programmi\Logitech
2008-05-05 19:23 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-04-22 10:37 691,545 ----a-w C:\WINDOWS\unins000.exe
2008-04-21 06:43 668,672 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-17 19:02 290,816 ----a-w C:\WINDOWS\Setup1.exe
2008-04-17 18:58 286,720 ----a-w C:\WINDOWS\iun506.exe
2008-04-13 17:27 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-13 17:16 331,776 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-13 17:13 99,840 ----a-w C:\WINDOWS\system32\loadperf.dll
2008-04-13 17:12 9,344 ----a-w C:\WINDOWS\system32\framebuf.dll
2008-04-13 17:11 539,648 ----a-w C:\WINDOWS\system32\comuid.dll
2008-04-13 17:11 285,696 ----a-w C:\WINDOWS\system32\atmfd.dll
2008-04-13 17:11 16,896 ----a-w C:\WINDOWS\system32\cfgmgr32.dll
2008-04-13 16:55 2,192,768 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-13 16:55 2,069,632 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-13 16:54 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
2008-04-13 16:53 92,672 ----a-w C:\WINDOWS\system32\msxml6r.dll
2008-04-13 16:52 80,896 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-13 16:51 566,272 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-13 16:51 51,200 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-13 16:50 1,845,632 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-13 16:49 68,608 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-13 16:49 57,344 ----a-w C:\WINDOWS\system32\mshtmler.dll
2008-04-13 16:49 10,240 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-13 09:45 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys
2008-04-13 09:43 9,728 ----a-w C:\WINDOWS\system32\comsdupd.exe
2008-04-13 09:43 12,800 ----a-w C:\WINDOWS\system32\spiisupd.exe
2008-04-13 09:40 449,024 ----a-w C:\WINDOWS\system32\xpob2res.dll
2008-04-13 09:37 2,962,432 ----a-w C:\WINDOWS\system32\xpsp2res.dll
2008-04-13 09:35 195,072 ----a-w C:\WINDOWS\system32\xpsp1res.dll
2008-04-13 09:31 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll
2008-04-13 09:30 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll
2008-04-13 08:37 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll
2008-04-13 08:37 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll
2008-04-13 08:26 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll
2008-04-13 08:26 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll
2008-04-13 08:21 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll
2008-04-13 07:48 1,647,616 ----a-w C:\WINDOWS\system32\winbrand.dll
2008-04-13 07:45 216,064 ----a-w C:\WINDOWS\system32\moricons.dll
2008-04-13 07:23 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll
2008-04-13 06:39 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll
2008-01-05 15:01 357,768 ----a-w C:\Documents and Settings\claudio\SymXPep2.dll
2007-12-28 10:48 15,251 ----a-w C:\Programmi\settings.dat
2007-05-26 19:43 87,608 ----a-w C:\Documents and Settings\claudio\Dati applicazioni\ezpinst.exe
2007-05-26 19:43 47,360 ----a-w C:\Documents and Settings\claudio\Dati applicazioni\pcouffin.sys
2005-05-18 20:01 683 ----a-w C:\Documents and Settings\claudio\index.bat
2002-06-01 12:31 42 -csha-w C:\WINDOWS\dedir.dat
2002-12-02 20:58 32 -csha-w C:\WINDOWS\{065658C5-FD46-4946-B8C5-D2060088C9D5}.dat
2002-12-02 20:56 32 -csha-w C:\WINDOWS\{42A8CFE0-70A4-4770-A1A5-DDCAA6ED496E}.dat
2003-06-27 12:04 32 -csha-w C:\WINDOWS\{451C78EC-8523-497D-9664-5865FB9EFFAC}.dat
2003-06-27 12:06 32 -csha-w C:\WINDOWS\{4F473CEC-1E7F-4432-8EE0-AF0CAE3943F3}.dat
2002-12-02 20:53 32 -csha-w C:\WINDOWS\{5FFC4EDF-A0D1-41A5-8BFE-90DEE4679515}.dat
2002-12-02 20:56 32 -csha-w C:\WINDOWS\{625BED14-E9F8-4302-9CAB-DC4EB6FCCB28}.dat
2002-12-02 20:59 32 -csha-w C:\WINDOWS\{B2FB7393-1952-4271-92E1-01A7BA0F0C0B}.dat
2002-12-02 20:56 32 -csha-w C:\WINDOWS\{D6026766-7FF4-48CE-A000-871C4DA90B83}.dat
2002-12-02 21:00 32 -csha-w C:\WINDOWS\{F67BAF0F-306A-41C4-AC50-B3E418689413}.dat
2003-06-27 12:06 32 --sha-w C:\WINDOWS\system32\{2535F681-6DCF-4977-91A7-137FDEC33D21}.dat
2002-12-02 20:56 32 --sha-w C:\WINDOWS\system32\{3219873A-ABAA-4C0C-9F9C-088DCFC94013}.dat
2003-06-27 12:04 32 --sha-w C:\WINDOWS\system32\{45874599-715C-48F5-9135-47B0391990F8}.dat
2002-12-02 20:59 32 --sha-w C:\WINDOWS\system32\{5ABD240A-9299-4169-9C0A-7FA753D71D12}.dat
2002-12-02 21:00 32 --sha-w C:\WINDOWS\system32\{5C1C637E-3DC9-45ED-A830-C92F0162EE59}.dat
2002-12-02 20:56 32 --sha-w C:\WINDOWS\system32\{85A379E7-48AB-4BDB-84CE-AF63AC6BD813}.dat
2002-12-02 20:56 32 --sha-w C:\WINDOWS\system32\{BCE693CC-104F-4413-93D6-4EA6C0A55852}.dat
2002-12-02 20:58 32 --sha-w C:\WINDOWS\system32\{DA9FF799-045E-46BF-9818-8C164BB86343}.dat
2002-12-02 20:53 32 --sha-w C:\WINDOWS\system32\{F24CDF18-C7C4-4D9E-8071-162A577CCD62}.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DeskSlide"="C:\Programmi\DeskSlide\DeskSlide.exe" [2006-08-31 00:33 774144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ES_AGENT2"="C:\WINDOWS\System32\E_SDA102.EXE" [2002-02-02 18:01 122880]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 15:49 7286784]
"SiteAdvisor"="C:\Programmi\SiteAdvisor\6253\SiteAdv.exe" [2007-01-16 19:38 36904]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2006-10-23 02:48 40048]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe" [2006-05-04 15:38 507904]
"ccApp"="C:\Programmi\File comuni\Symantec Shared\ccApp.exe" [2008-01-31 14:15 51048]
"osCheck"="C:\Programmi\Norton Internet Security\osCheck.exe" [2007-08-24 22:53 714608]
"VIRIT LITE MONITOR"="C:\VEXPLITE\MONLITE.EXE" [2008-07-04 22:51 245760]
"nwiz"="nwiz.exe" [2005-10-10 15:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2005-10-10 15:49 86016 C:\WINDOWS\system32\nvmctray.dll]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 90112 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 19:14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\Xi\\NetXfer\\NetTransport.exe"=

R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\system32\drivers\VIRAGTLT.SYS [2008-03-17 19:23]
R2 LiveUpdate Notice;LiveUpdate Notice;C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe [2008-01-31 14:15]
R2 rvsport;RVS Virtual COM Port;C:\WINDOWS\system32\drivers\rvsport.sys [1998-04-05 00:00]
R2 viritsvclite;Virit eXplorer Lite;C:\VEXPLITE\viritsvc.exe [2008-07-04 22:51]
S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys []
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 22:32]
S3 DCamUSBGrandTek;SmartCam PC Camera;C:\WINDOWS\system32\Drivers\stcamx1.SYS []
S3 GT890x;SmartCam DSC;C:\WINDOWS\system32\Drivers\stcamx0.SYS []
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\184.tmp []
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []
S3 SIWIO;SIW low-level I/O driver;C:\WINDOWS\TEMP\SiwIo.sys []
S3 SNXPCARD;Sunix PCI Multi I/O Card Driver;C:\WINDOWS\system32\DRIVERS\snxpcard.sys [2001-03-07 23:51]
S3 SNXPPAL;Sunix PCI Multi I/O Parallel Port Driver;C:\WINDOWS\system32\DRIVERS\snxppal.sys [2001-03-07 23:51]

*Newly Created Service* - CATCHME
.
Contenuto della cartella 'Scheduled Tasks'
"2008-07-05 11:40:19 C:\WINDOWS\Tasks\Norton Internet Security - Scansione completa sistema - claudio.job"
- C:\Programmi\Norton Internet Security\Norton AntiVirus\Navw32.exe
"2008-07-05 07:06:13 C:\WINDOWS\Tasks\RegCure Program Check.job"
- C:\Programmi\RegCure\RegCure.exe
"2008-07-03 11:58:17 C:\WINDOWS\Tasks\RegCure.job"
- C:\Programmi\RegCure\RegCure.exe
"2008-07-05 07:06:20 C:\WINDOWS\Tasks\XoftSpySE 2.job"
- C:\Programmi\XoftSpySE\XoftSpy.exe
"2008-06-30 11:27:33 C:\WINDOWS\Tasks\XoftSpySE.job"
- C:\Programmi\XoftSpySE\XoftSpy.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-05 14:01:26
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\184.tmp"
.
Ora fine scansione: 2008-07-05 14.04.13
ComboFix-quarantined-files.txt 2008-07-05 12:03:43

23 Directory 11,656,260,608 byte disponibili
29 Directory 11,700,535,808 byte disponibili

221 --- E O F --- 2008-06-25 08:16:00


Devo procedere con altri "interventi"?

Poichè io ho installato NIS 2008, mi consigli di disinstallare ora VirIT, anche considerato che in versione Trial scade tra un mese?
Non vorrei che i due programmi entrassero in conflitto, e comunque all'accension del PC i due, sovrapponendosi, rallendano l'avvio.

Commento "ad alta voce": possibile che NIS, Ad-awere, a-square, Regseeker (li uso tutti!!!) non avessero rilevato niente di quanto risultao con i passaggi consigliati da Monsee e tu?
Per fortuna ci siete voi... INSOSTITUIBILI!!!

Da ultimo, non vorrei approffittare della tua paziente cortesi: da anni "foraggio" Norton con N.I.S. tutti ne dicono peste e corna, ma io non riesco a trovare alternative sicure (anche a pagamento...);
Qual è il tuo consiglio per sostituire alla scadenza del contratto Norton Internet Security?
Lavorando con il PC in ADSL Fastweb, sono permanentemente connesso con alcuni fornitori, verifico conti bancari, ho un gestionale "importante".

Ancora grazie, anche per le descrizioni precise e chiare
Torna in alto
 
r16
Inviato: Saturday, July 05, 2008 3:54:08 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao
Aspetta un attimino a disistallare Virit.
Per non farlo partire all'avvio di Windows fai cosi:
nella schermata iniziale, clicca sulla sesta icona (scheduler ) e Togli la spunta All'Avvio.
Vorrei sapere se conosci questa cartella :C:\WINDOWS\dedir.dat
Hai un sacco di valori .dat che si trovano in C:\WINDOWS\system32. che io trovo strani.

Hai fatto bene a disistallare Lupo,(può essere un falso positivo,ma è meglio non rischiare)
Non vedo perchè devi disistallare WinRAR, visto che Virit,lo ha rimosso il file infetto.(Uninstall.Exe )
Però se non vuoi rischiare niente .........disistallalo.
Purtroppo,neanch'io ti posso parlare bene del Norton,(c'è poco da fare......è un mediocre).
Alternative a pagamento (con il lavoro che fai ti Sconsiglio antivirus Free) ce ne sono ,e valide:
Kaspersky, Virit, Nod32. sono i migliori,a mio avviso, ultimamente è migliorato tantissimo anche AVG8.(sempre a pagamento).
Posta un nuovo log di hijackthis,ricordati di dirmi di quella cartella:C:\WINDOWS\dedir.dat
Torna in alto
 
c.nardo
Inviato: Saturday, July 05, 2008 4:19:54 PM

Rank: Member

Iscritto dal : 4/27/2004
Posts: 23
C:\WINDOWS\dedir.dat
E' un file residente o devo produrlo io? io l'ho cercato, ma non l'ho trovato...
Perchè mi dici che ci sono valori .dat "strani"? Possonoe ssere residui e quindi da eliminare? Solitamente io uso Index.dat; hai alternative? O mi consigli di agire manualmente?
Grazie
Torna in alto
 
r16
Inviato: Saturday, July 05, 2008 4:54:35 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
c.nardo ha scritto:
C:\WINDOWS\dedir.dat
E' un file residente o devo produrlo io? io l'ho cercato, ma non l'ho trovato...
Perchè mi dici che ci sono valori .dat "strani"? Possonoe ssere residui e quindi da eliminare? Solitamente io uso Index.dat; hai alternative? O mi consigli di agire manualmente?
Grazie


Prova a visualizzare i file nascosti:
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema
A desso dovresti vederla , e vedere cosa contiene.
Mi manca un nuovo log di hijackthis
Torna in alto
 
c.nardo
Inviato: Saturday, July 05, 2008 5:28:37 PM

Rank: Member

Iscritto dal : 4/27/2004
Posts: 23
Ho rilevato C:\WINDOWS\dedir.dat (1kb) - contiene:
claudio  Ò í dolo ,Í Ðù SKC ©“G

Riguardo C:\WINDOWS\system32 - effettivamente ci sono valori "doppi" della stampante Samsung SCX-5530FN.
Qual è la procedura per eliminarli? E' possibile fare un log della ricerca .dat (e sttoportelo?...)

Ecco, infine, il log Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.15.52, on 05/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware2008\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\a-squared free\a2service.exe
C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\E_SDA102.EXE
C:\Programmi\SiteAdvisor\6253\SiteAdv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\DeskSlide\DeskSlide.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmi\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programmi\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FILECO~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programmi\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmi\SiteAdvisor\6253\SiteAdv.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programmi\Xi\NetXfer\NXToolBar.dll
O3 - Toolbar: Mostra Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [ES_AGENT2] C:\WINDOWS\System32\E_SDA102.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmi\SiteAdvisor\6253\SiteAdv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [DeskSlide] C:\Programmi\DeskSlide\DeskSlide.exe -logon -hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Local Website Archive - C:\Documents and Settings\claudio\Dati applicazioni\aignes\Local Website Archive\config\iearc.htm
O8 - Extra context menu item: Salva oggetto con NetXfer - C:\Programmi\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con NetXfer - C:\Programmi\Xi\NetXfer\NXAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Fit-width Print - {3C34EBD2-038D-4d4f-B081-16D99D8BE2B4} - C:\WINDOWS\Downloaded Program Files\IEPrint.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {5B389903-5BC5-4976-B9CF-F27DCD9422BC} - C:\Programmi\Local Website Archive\wsarc_add.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add to Local Website Archive - {5B389903-5BC5-4976-B9CF-F27DCD9422BC} - C:\Programmi\Local Website Archive\wsarc_add.exe (HKCU)
O9 - Extra button: Start Local Website Archive - {99A58962-58C5-424D-8601-ADE31DD00F7C} - C:\Programmi\Local Website Archive\wsarc.exe (HKCU)
O9 - Extra button: Add to Local Website Archive - {E63A22CF-CFD2-4B11-8CF3-F44BD3EAFD3D} - C:\Programmi\Local Website Archive\wsarc_add.exe (HKCU)
O16 - DPF: IEPrint - http://www.visiontech.ltd.uk/software/download/IEPrint.CAB
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/21286a61fce8ad275b18/netzip/RdxIE601_it.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/it/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://fastfoto.fotopixel.it/uploader/ImageUploader4.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} -
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA3D1D5B-AF6A-46B4-BC78-01C1AD8E424B}: NameServer = 212.131.30.42,195.130.225.129
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programmi\a-squared free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware2008\aawservice.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: EpsonBidirectionalAgent - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\eEBAPI\eEBAgent.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec RemoteAssist - Symantec, Inc. - C:\Programmi\File comuni\Symantec Shared\Support Controls\ssrc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O24 - Desktop Component 0: (no name) - http://images.google.it/images?q=tbn:BhkF9nm7QWAJ:www.bassnet.biz/img/foto/uol.jpg
O24 - Desktop Component 1: (no name) - http://www.mitsubishi-auto.it/images/sfondi/spacestar/spacestar_800_3.jpg

--
End of file - 10542 bytes


grazie
Torna in alto
 
r16
Inviato: Saturday, July 05, 2008 7:25:17 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao .
Allora io penso che quei file,non siano pericolosi.
Lasciamoli tranquillamente dove si trovano.
D'altronte,sia il Virit che Combofix e HijackThis non li reputano pericolosi.
Non facciamo il passo più lungo della gamba.......
Trovo più utile se esegui queste operazioni:
Puliamo gli ADS (Alternate Data Streams).
lancia Hijackthis
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
lascia la spunta alla voce Ignore safe system info streams
togli la spunta alla voce Calculate md5 checksum of streams
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
Terminata la scansione, devi riavviare il sistema.


Provvediamo a svuotare del suo contenuto la cartella Prefetch :

Start
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
SVUOTA IL CESTINO.
disinstalla combofix in questo modo:
Start
Esegui
nella finestra di dialogo, digita (oppure, copia ed incolla) questo comando: combofix /u e premi invio poi cancella le cartelle in "C" di combofix (qoobox)
Per disistallare Virit,ha il suo Unistall in :Start\Tutti Programmi.
Ricordati di rinascondere le cartelle di sistema;
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
Se hai domande o dubbi,non ti fare problemi.
Torna in alto
 
c.nardo
Inviato: Saturday, July 12, 2008 2:13:35 PM

Rank: Member

Iscritto dal : 4/27/2004
Posts: 23
Fatoo! Non ho rilevato tacce strane di ADS ed ho completato la roedura che mi hai indicato.
Grazie ancora e... alla prossima
Torna in alto
 
r16
Inviato: Saturday, July 12, 2008 2:57:04 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Speriamo NON ci sia una"prossima".
O almeno,il più tardi possibile.Drool Drool
Ciao!
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Software XSoftspy - feedback?


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.