Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » File exe indesiderato ed incancellabile!

2 pages: 1 [2]
File exe indesiderato ed incancellabile! Opzioni
Topic Precedente · Topic Sucessivo
BANDW
Inviato: Tuesday, August 22, 2006 1:38:53 PM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
Bena allora iniziamo con calma, nella cartella <b>documents and settings</b> ci sono altri utenti che non sono stati da me creati ed uno ha addirittura questo nome <b>kMqIPjbwsTcUPfFlwP</b>, nella procedura mi si consiglia vivamente di cancellare, a che cosa eventualmente potrei andare in contro (oltre ad una pulizia radicale di spazzatura)?
Torna in alto
 
steven75
Inviato: Tuesday, August 22, 2006 2:15:20 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
A niente , se sei fortunato e segui la rpocedura alla lettera riuscirai solo a sbarazzarti di quella porcheria di linkoptimizer..... Ecco la guida :
http://steven.altervista.org/files/rootkit.html
Torna in alto
 
BANDW
Inviato: Tuesday, August 22, 2006 2:50:56 PM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
Grazie Steven, incredibile, quest'ultimo link descrive perfettamente la sintomatologia del mio problema, anche il nome delle connessione!!
Sembra quasi copiato da me, comunque mi metto al lavoro, di nuovo grazie!
Torna in alto
 
steven75
Inviato: Tuesday, August 22, 2006 4:21:27 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
infatti le finestre che ho usato , sono quelle che hai postato tu sul forum ....

La sintomatologia (per usare i tuoi termini), è uguale (piu o meno) per tutti quelli che hanno contratto l'infezione ....
Torna in alto
 
steven75
Inviato: Tuesday, August 22, 2006 8:48:12 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Bandw mi fai una cortesia ? riesci a mandarmi per email i file che trovi sul tuo sitema legati all'infezione , dovrresti giusto comprimerli e spedirli , ti và?
Torna in alto
 
BANDW
Inviato: Wednesday, August 23, 2006 1:39:07 AM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Bandw mi fai una cortesia ? riesci a mandarmi per email i file che trovi sul tuo sitema legati all'infezione , dovrresti giusto comprimerli e spedirli , ti và?
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Ciao Steven, fosse per me ti manderei anche il pc almeno vediamo se tu riesci a sistemare la faccenda, stasera descrivendo il problema a mio fratello ho visto che anche lui ha lo stesso problema tale e quale al mio (non abbiamo scambiato niente che possa avere infettato entrambi i pc), magari sarà il problema del momento!!!

Sinceramente oggi mi sono arreso, visto che il mio pc soffree ancora del'handicap del blocco del sistema

http://www.aiutamici.com/aiutaforum/topic.asp?TOPIC_ID=31809andFORUM_ID=61andCAT_ID=4andTopic_Title=Pulizie+di+fine+stagione:21:21+:3A:29andForum_Title=Discussioni+Varie

L'altra mattina dopo tre ore e mezza per una scansione online con un antivirus di quelli del tuo link, mi si è bloccato il pc quando mancavano 2 minuti e 48 secondi alla fine, dopo riaverlo riavviato e rifatto una scansione con un'altro antivirus e 01:50 di attesa mi si è nuovamente bloccato il pc
stamattina mi ero messo di buona lena ma dopo due blocchi del pc legati a non capisco cosa allora mi sono arreso ed ho deciso che finchè questo file non mi arreca nessun disturbo di connessione lascio tutto com'è, magari qualche mattina mi alzo e decido di formattare tutto e così faccio veramente un bel pò di pulizia!!
Comunque seguendo la procedura del tuo link (sito) ho avuto qualche problema in qualche punto e cioè:
al punto 7 mi fermo in quanto con hijaick non riesco a cancellare tramite delete an NT service perchè quando inserisco il nome del file .\yyzsvk mi dice testuali parole:
<b>Service".\yzsvk" was not found in the registry.
Make sure you entered the short name of the service., vBexclamation</b>
che pressappoco dovrebbe significare che non ha trovato questo file nel registro e di assicurarmi che il nome dello stesso sia giusto, lo stesso succede se inserisco il nome <b>thx.exe</b>, in effetti se la connessione mi appare solo al momento, sicuramente non potra trovare niente da cancellare, materialmente dall'elenco delle connessioni non c'è ninete adesso oltre alle normali, ma appare solo quando cerca di connettersi, poi si è bloccato il pc per l'ennesima volta e mi sono girate le ..... scatole!!!

Comunque forse da quando almeno sono riuscito da Esegui/services.msc/

<img src="http://i61.photobucket.com/albums/h71/BANDW1/WebBku1.jpg" border=0>

a commutare su disattiva (e quindi pare sia disabilitato) non succede nient'altro di più di quello che succedeva quando ancora tutto sembrava funzionasse (cioè disconnessione adsl e tentativi di connessione con modem 56k).


Grazie di cuore per il tuo interesse, sei davvero molto in gamba! (ti ho incrociato su diversi forum!) e complimenti anche per il tuo sito, semplice ed utilissimo per chi sta sempre davanti ad un monitor ed una tastiera.
Torna in alto
 
BANDW
Inviato: Wednesday, August 23, 2006 1:44:58 AM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
dimenticavo un 'ultima cosa, ecco il log di hijack, magari mi sfugge qualcosa!!!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\SmartSync Pro\SmartSync.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\TRUST\Bluetooth Software\BTTray.exe
C:\Programmi\CountDown\CountDown.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\TRUST\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Crazy Browser\Crazy Browser.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\HardCopy Pro\HardCopy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Rosario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\SlipStream Web Accelerator\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: SlipStream Web Accelerator - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Programmi\SlipStream Web Accelerator\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SmartSync Pro] "C:\Programmi\SmartSync Pro\SmartSync.exe" /Logon
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: CountDown.lnk = C:\Programmi\CountDown\CountDown.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\TRUST\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\TRUST\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\TRUST\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://saturn.tct-it.com/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4831/mcfscan.cab
O16 - DPF: {FFD1E45F-2B11-4742-BF47-3822FE02EE0F} (Yahoo! Foto - salva e condividi le tue foto su Yahoo! E' facile!l Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_7it.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0175EDA-CAA0-4465-B1B0-B6A6083AE2B1}: NameServer = 85.37.17.50 85.38.28.76
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\TRUST\Bluetooth Software\bin\btwdins.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Torna in alto
 
steven75
Inviato: Wednesday, August 23, 2006 10:48:42 AM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
ciao , bandw....
purtroppo in questi casi , hijackthis serve a poco .... almeno all'inizio , bisgona procedere, come sepiegato nella guida con altri metodi.... quindi solo seguendo la guida alla lettera si riesce a sconfiggere quell'infezione.... e posso dirti che ci si riesce....anche perchè io ho infettato volontariamente l'altro mio computer,e sono riuscito a liberarmene......
Torna in alto
 
BANDW
Inviato: Thursday, August 24, 2006 10:05:29 AM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
Bene Steven, ma allora cosa devo fare adesso se il file <b>thX.exe</b> giace lì in una cartella del pc indisturbato senza che possa essere rimosso?
Anche se Avast mi dà un falso allarme su Syclean, questa doveva comunque essere solo una procedura alternativa
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote><i> NOTA__Per identificare quali sono i file che linkoptimizer ha creato si può utilizzare anche Sysclean.</i><hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
Torna in alto
 
BANDW
Inviato: Thursday, August 24, 2006 11:59:39 AM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
Ecco cosa mi ha trovato Kaspersky

C:\WINDOWS\system32\braa.dll Infected: Trojan.Win32.Gload.e skipped

vado e cancello!!
Torna in alto
 
steven75
Inviato: Thursday, August 24, 2006 2:32:30 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
ciao , bandw...
per poterti aiutare , mi devi postare i log di GMER , e un log rootkitrevealer....
li trovi tutti e due nella guida
Torna in alto
 
BANDW
Inviato: Thursday, August 24, 2006 5:01:51 PM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
Ogni tuo desiderio è un ordine

<b> Log di G MER in modalità provvisoria scansione di autostart:</b>
GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-24 00:11:29
Windows 5.1.2600 Service Pack 1


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = :SystemRoot:\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ )))
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
btwdins /*Bluetooth Service*/@ = C:\Programmi\TRUST\Bluetooth Software\bin\btwdins.exe
Fax /*Fax*/@ = :systemroot:\system32\fxssvc.exe
NVSvc /*NVIDIA Driver Helper Service*/@ = :SystemRoot:\System32\nvsvc32.exe
Spooler /*Spooler di stampa*/@ = :SystemRoot:\system32\spoolsv.exe
vsmon /*TrueVector Internet Monitor*/@ = C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service
WebBku /*WebBku*/@ = "C:\Programmi\File comuni\System\thX.exe" /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Run )))
@Zone Labs Client"C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe" = "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
@avast!C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
@SiSUSBRGC:\WINDOWS\SiSUSBrg.exe = C:\WINDOWS\SiSUSBrg.exe
@PinnacleDriverCheckC:\WINDOWS\System32\PSDrvCheck.exe -CheckReg = C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
@nwiznwiz.exe /install = nwiz.exe /install
@REGSHAVEC:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN = C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN

HKCU\Software\Microsoft\Windows\CurrentVersion\Run )))
@CTFMON.EXEC:\WINDOWS\System32\ctfmon.exe = C:\WINDOWS\System32\ctfmon.exe
@PowerBar ?? ?Bntx?nt????6?kteO?w ? ??? (?@ (?@ (?? !~?w ? ? ??? 0~?w(?@ (?@ ??? ??? ???w?O?w????0~?w?~?wp?? ??? ?~?w ??? ??? ?M?wp?? 0 ? ? ??kt6O?w ? ??q ?? O ? (?@ (?@ ??? ?C?w? D?@ (?@ ??@ (?@ ???s /*file not found*/ = ?? ?Bntx?nt????6?kteO?w ? ??? (?@ (?@ (?? !~?w ? ? ??? 0~?w(?@ (?@ ??? ??? ???w?O?w????0~?w?~?wp?? ??? ?~?w ??? ??? ?M?wp?? 0 ? ? ??kt6O?w ? ??q ?? O ? (?@ (?@ ??? ?C?w? D?@ (?@ ??@ (?@ ???s /*file not found*/
@SmartSync Pro"C:\Programmi\SmartSync Pro\SmartSync.exe" /Logon = "C:\Programmi\SmartSync Pro\SmartSync.exe" /Logon
@msnmsgr"C:\Programmi\MSN Messenger\msnmsgr.exe" /background = "C:\Programmi\MSN Messenger\msnmsgr.exe" /background

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )))
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{5F327514-6C5E-4d60-8F16-D07FA08A78ED} /*Estensione finestra proprietà di aggiornamento automatico*/C:\WINDOWS\System32\wuaueng.dll = C:\WINDOWS\System32\wuaueng.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL = C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll
@{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} /*Shell Extensions for RealOne Player*/(null) =
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll
@(null) =
@{6af09ec9-b429-11d4-a1fb-0090960218cb} /*My Bluetooth Places*/C:\WINDOWS\System32\btneighborhood.dll = C:\WINDOWS\System32\btneighborhood.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\System32\nvshell.dll = C:\WINDOWS\System32\nvshell.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WinZip\WZSHLSTB.DLL = C:\PROGRA~1\WinZip\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WinZip\WZSHLSTB.DLL = C:\PROGRA~1\WinZip\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WinZip\WZSHLSTB.DLL = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ )))
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
SmartSync Pro@{78665058-7E5E-47DF-BA8E-53986B6B0B06} = C:\PROGRA~1\SMARTS~1\SspShell.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ )))
SmartSync Pro@{78665058-7E5E-47DF-BA8E-53986B6B0B06} = C:\PROGRA~1\SMARTS~1\SspShell.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WinZip\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
@{4115122B-85FF-4DD3-9515-F075BEDE5EB5}C:\Programmi\SlipStream Web Accelerator\PBHelper.dll = C:\Programmi\SlipStream Web Accelerator\PBHelper.dll
@{53707962-6F74-2D53-2644-206D7942484F}C:\PROGRA~1\SPYBOT~1\SDHelper.dll = C:\PROGRA~1\SPYBOT~1\SDHelper.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ieandpver=6andar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ieandpver=6andar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}andclcid={SUB_CLSID}andpver={SUB_PVER}andar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}andclcid={SUB_CLSID}andpver={SUB_PVER}andar=home
@Local Page:SystemRoot:\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\System32\blank.htm = C:\WINDOWS\System32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
dvd@CLSID = C:\WINDOWS\System32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\msitss.dll
msero@CLSID = C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\MSERO.DLL
msnim@CLSID = "C:\PROGRA~1\MSNMES~1\msgrapp.dll"
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
tv@CLSID = C:\WINDOWS\System32\msvidctl.dll
vnd.ms.radio@CLSID = C:\WINDOWS\System32\msdxm.ocx
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = C:\PROGRA~1\SLIPST~1\sliplsp.dll
000000000002@PackedCatalogItem = C:\PROGRA~1\SLIPST~1\sliplsp.dll
000000000003@PackedCatalogItem = C:\PROGRA~1\SLIPST~1\sliplsp.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009@PackedCatalogItem = C:\PROGRA~1\SLIPST~1\sliplsp.dll

C:\Documents and Settings\Rosario\Menu Avvio\Programmi\Esecuzione automatica = CountDown.lnk

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
BTTray.lnk = BTTray.lnk
Microsoft Office.lnk = Microsoft Office.lnk

---- EOF - GMER 1.0.10 ----

<b> Log di G MER in modalità provvisoria scansione di rootkit:</b>
GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-24 00:10:26
Windows 5.1.2600 Service Pack 1


---- Registry - GMER 1.0.10 ----

Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0x2E 0xE8 0xE1 0x00 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0x25 0xDA 0xEC 0x7E ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xCD 0x44 0xCD 0xB9 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0x2A 0xB7 0xCC 0xB5 ...
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x05 0x73 0x21 0xDD ...

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\tracking.log
File C:\System Volume Information\_restore{B94F4F4B-B5A0-4CA3-BAAB-5B96081EFFE0}
File D:\System Volume Information\tracking.log
File D:\System Volume Information\_restore{B94F4F4B-B5A0-4CA3-BAAB-5B96081EFFE0}
File E:\System Volume Information\tracking.log
File E:\System Volume Information\_restore{A8C3D8C6-90D6-4D01-94AA-4ED54C15DD9C}
File E:\System Volume Information\_restore{B94F4F4B-B5A0-4CA3-BAAB-5B96081EFFE0}

---- EOF - GMER 1.0.10 ----

<b>log di rootkitrevealer</b>

HKLM\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\At Work Fax\Transport Service Provider\Cover Page Editor 12/01/06 13.54 43 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 20/09/05 16.34 0 bytes Key name contains embedded nulls (*)


<b>Inoltre avenger alla fine del suo lavoro mi riporta questo:</b>

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oaftkynf

*******************

Script file located at: \??\C:\rxqhccoe.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Programmi\File comuni\System\thX.exe not found!
Deletion of file C:\Programmi\File comuni\System\thX.exe failed!

Could not process line:
C:\Programmi\File comuni\System\thX.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Ma il mio problema persiste e cioè il file thX.exe è ancora nel pc!!! <img src=icon_smile_sad.gif border=0 align=middle><img src=icon_smile_angry.gif border=0 align=middle><img src=icon_smile_sad.gif border=0 align=middle><img src=icon_smile_angry.gif border=0 align=middle>

Edited by - Bandw on 08/24/2006 17:10:06
Torna in alto
 
steven75
Inviato: Thursday, August 24, 2006 8:50:36 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
fai cosi:
fai cosi:

Recati nel pannello di controllo e vedi se presente una voce con il nome LinkOptimizer, se si non toccarla , scarica e decomprimi MyUninstaller,(se lo vuoi tradurre in italiano,scarica questo file.zip
decomprimilo ,prendi il file e copialo nella cartella dove c'è Myuninstaller) .
Adesso avvia l'applicazione,attendi che siano visibili tutti i programmi installati, seleziona la voce in oggetto e premi sull'iconcina a forma di cestino per disinstallarla.....

Poi vai su Start->esegui->digita control userpasswords2 e dai l'ok....
Nella finestra che si aprira controlla di non avere un utenza sospetta oltre alle solite , se c'è cliccaci sopra con il tasto destro ed eliminala .....
(se hai XP PRO,semore nella finestra degli account,clicca su avanzate,poi ancora su avanzate, e controlla sia in user , che in groups di non avere alcuna utenza strana)

- Ora scarica e decomprimi the avenger ,
http://swandog46.geekstogo.com/avenger.zip
- Avvia Avenger.exe e seleziona Input Script Manually
- Clicca sulla lente d'ingrandimento e si aprirà la finestra View/edit script,
- All'interno copiaci quanto segue:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\Programmi\File comuni\System\thX.exe

- Clicca sul pulsante Done
- Clicca sull'icona del semaforo verde
- Rispondi due volte Yes
- Il pc dovrebbe riavviarsi da solo,(altrimenti fallo tu)

E quindi posta il log di Avenger che trovi in (C:\avenger.txt)

Disattiva il ripristino configurazione di sistema e riposta l'esito del log...
Torna in alto
 
BANDW
Inviato: Thursday, August 24, 2006 9:20:27 PM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
Che pazienza che hai Steven75,
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
fai cosi:
Recati nel pannello di controllo e vedi se presente una voce con il nome LinkOptimizer, se si non toccarla , scarica e decomprimi MyUninstaller,(se lo vuoi tradurre in italiano,scarica questo file.zip
decomprimilo ,prendi il file e copialo nella cartella dove c'è Myuninstaller) .
Adesso avvia l'applicazione, attendi che siano visibili tutti i programmi installati, seleziona la voce in oggetto e premi sull'iconcina a forma di cestino per disinstallarla.....
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
non c'è nessuna voce LINKOPTIMIZER quindi non ho proceduto a scaricare il programma;
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Poi vai su Start->esegui->digita control userpasswords2 e dai l'ok....
Nella finestra che si aprira controlla di non avere un utenza sospetta oltre alle solite , se c'è cliccaci sopra con il tasto destro ed eliminala .....
(se hai XP PRO,semore nella finestra degli account,clicca su avanzate,poi ancora su avanzate, e controlla sia in user , che in groups di non avere alcuna utenza strana)
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
Un'altro passo avanti è stato fatto, con questo comando ho cancellato la connessione ed ho trovato un'altro utente che pensavo fossi io ma era anch'esso camuffato; W O N D E R F U L L
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
- Ora scarica e decomprimi the avenger ,
http://swandog46.geekstogo.com/avenger.zip
- Avvia Avenger.exe e seleziona Input Script Manually
- Clicca sulla lente d'ingrandimento e si aprirà la finestra View/edit script,
- All'interno copiaci quanto segue:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\Programmi\File comuni\System\thX.exe

- Clicca sul pulsante Done
- Clicca sull'icona del semaforo verde
- Rispondi due volte Yes
- Il pc dovrebbe riavviarsi da solo,(altrimenti fallo tu)

E quindi posta il log di Avenger che trovi in (C:\avenger.txt)
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yhkbkndo

*******************

Script file located at: \??\C:\WINDOWS\System32\wstagryf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Programmi\File comuni\System\thX.exe not found!
Deletion of file C:\Programmi\File comuni\System\thX.exe failed!

Could not process line:
C:\Programmi\File comuni\System\thX.exe
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Come avrai potuto notare il file incriminato che dall'inizio non si è voluto mai cancellare, è ancora li:
<b>Deletion of file C:\Programmi\File comuni\System\thX.exe failed!</b>

<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Disattiva il ripristino configurazione di sistema e riposta l'esito del log...
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
Adesso quale log dovrei postare tra tutti i programmi installati? HiJack, Gmer, RootkitRevealer, Avenger.
Torna in alto
 
steven75
Inviato: Thursday, August 24, 2006 9:52:10 PM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
normalmente non c'è piu il file :
File C:\Programmi\File comuni\System\thX.exe <b>not found!</b>

comunque scarica Registry Search Tools.zip -> http://www.billsway.com/vbspage/
decomprimlo , avvialo e nello spazio bianco scrivi <b>thX.exe</b> e dai l'ok , riporta il risultato
Torna in alto
 
BANDW
Inviato: Thursday, August 24, 2006 11:45:47 PM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
normalmente non c'è piu il file :
File C:\Programmi\File comuni\System\thX.exe <b>not found!</b><hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

ed invece, here it's

<img src="http://i61.photobucket.com/albums/h71/BANDW1/virusthXexedacartellasystem.jpg" border=0>

Scusa Steven, ma FILE NOT FOUND non dovrebbe significare che il file non è stato trovato prima della ricerca e quindi risulta impossibile cancellare?)?)


<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
comunque scarica Registry Search Tools.zip -> http://www.billsway.com/vbspage/
decomprimlo , avvialo e nello spazio bianco scrivi <b>thX.exe</b> e dai l'ok , riporta il risultato
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

eccolo
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "thX.exe" 24/08/2006 23.36.39

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="thx.exe"

[HKEY_USERS\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\\Documents and Settings\\Rosario\\Desktop\\virus & c\\thX.exe"

ma a quanto pare mi trova un file di un ritaglio in formato .jpg che avevo precedentemente creato in una cartella creata sul desktop e poi quando ho visto che salvandolo con estensione .exe diventava tipo file eseguibile allora l'ho cancellato
Torna in alto
 
BANDW
Inviato: Friday, August 25, 2006 12:45:46 AM
Rank: AiutAmico

Iscritto dal : 10/23/2003
Posts: 215
<center><font size=5><b>M I S S I O N _______C O M P L E T E D !!!!!</b></font id=size5></center>

Dopo avere messo il log di sopra e cercando sempre una soluzione per poter cancellare il file che mi rompe le scatole da parecchio, sono andato su quest'ultimo e cliccando su proprietà ho visto che come nome dos aveva thX.exe.exe alchè mi è nato un grosso dubbio: "ma forse nessun programma riesce a cancellarlo e non lo trova perchè in effetti il nome che vedo è sbagliato?", quindi ho aperto strumenti->opzioni cartella->visualizzazione ed ho tolto il segno di spunta su "nascondi le estensioni per i tipi di file conosciuti", quindi ho riavviato RegSrch ho inserito il file da cancellare ed ecco il log:
REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "thX.exe.exe" 25/08/2006 0.11.08

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"a"="C:\\Programmi\\File comuni\\System\\thX.exe.exe"

[HKEY_USERS\S-1-5-21-507921405-920026266-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"b"="C:\\Programmi\\File comuni\\System\\thX.exe.exe"

non contento ho riavviato anche Avenger, ho inserito il nome che ho preso dalle proprietà del file stesso, il pc si è riavviato e.......
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gqrecijt

*******************

Script file located at: \??\C:\Program Files\dwecjqp^.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programmi\File comuni\System\thX.exe.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
ho aperto la famosissima cartella C:\programmi\file comuni\System e con mio grande stupore non ho trovato più finalmente il file che mi tortura da circa una settimana!!!!!

In conclusione voglio ringraziare sentitamente Steven per la sua enorme competenza ed il suo supporto mediatico che và ben al di fuori di tutta la più santa pazienza che una persona possa avere. <img src="http://www.stradeinmoto.it/img/smile/OLA.gif" border=0>

Ringrazio anche il sito Aiutamici e tutti gli utenti che mi hanno permesso (come altre volte) di risolvere le varie problematiche che si incontrano giornalmente quando si stà davanti al pc.<img src="http://www.stradeinmoto.it/img/smile/OLA.gif" border=0>


Spero adesso di lasciarvi un pò in pace con questo "FILE EXE INDESIDERATO ED INCANCELLABILE"
Torna in alto
 
steven75
Inviato: Friday, August 25, 2006 9:01:14 AM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
grandeeeee , finalmente.....<img src=icon_smile_wink.gif border=0 align=middle>
Se hai bisogno (spero di no) sai dove trovarci...
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: 1 [2]

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » File exe indesiderato ed incancellabile!


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.