Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

mi controllate il log di hijack?...grazie Opzioni
fiart50
Inviato: Sunday, August 17, 2008 8:04:22 PM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
ciao a tutti....ho un grossissimo problema con un trojan che mi segnala spybot ma che non riesco ad eliminare.....sto seguendo tutte le strade per non formattare il pc!!!!..il trojan in questione è premiumsearch....
grazie ai vostri consigli ho installato hijack per fare un po di pulizia e individuarlo dalla voci di registro....se avete consigli da darmi io sono qui..da premettere che non sono una gran cima con l'informatica....neanche uno scarso però...diciamo che il minimo lo conosco!!!!!
VI COPIO I RISULTATI DI HIJACK.....GRAZIE RAGAZZI

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.41.58, on 17/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\Microsoft LifeCam\MSCamS32.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\vVX1000.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\utente\impostazioni locali\dati applicazioni\ewgaymq.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\eMule\eMule.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programmi\Alice ti aiuta\bin\mad.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: adssite - {109def9a-2e87-4eda-5e3a-f1ead1c9226b} - C:\WINDOWS\system32\nswA7C.dll
O2 - BHO: Adssite Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll (file missing)
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb125\SearchSettings.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LifeCam] "C:\Programmi\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S109.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ewgaymq] "c:\documents and settings\utente\impostazioni locali\dati applicazioni\ewgaymq.exe" ewgaymq
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CE0DE3D-EE32-4381-B5AD-4200DAD5F01C}: NameServer = 85.37.17.11 85.38.28.69
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CE0DE3D-EE32-4381-B5AD-4200DAD5F01C}: NameServer = 85.37.17.11 85.38.28.69
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Windows CardSpace (idsvc) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

--
End of file - 11495 bytes
Sponsor
Inviato: Sunday, August 17, 2008 8:04:22 PM

 
r16
Inviato: Sunday, August 17, 2008 8:39:03 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Se non sai "fixare"le voci,segui questa guida dettagliata: http://www.aiutaamici.com/software?ID=11175

Avvia in modalità provvisoria http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O2 - BHO: adssite - {109def9a-2e87-4eda-5e3a-f1ead1c9226b} - C:\WINDOWS\system32\nswA7C.dll
O2 - BHO: Adssite Search Assistant - {1648E328-3E5A-4EA5-A9C6-E5F09EE272DA} - C:\WINDOWS\system32\adssite_sidebar.dll (file missing)
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll (file missing)
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programmi\Search Settings\kb125\SearchSettings.dll
O4 - HKCU\..\Run: [ewgaymq] "c:\documents and settings\utente\impostazioni locali\dati applicazioni\ewgaymq.exe" ewgaymq
Trova e cancella i file in rosso:
C:\WINDOWS\system32\nswA7C.dll
C:\Programmi\Search Settings\kb125\SearchSettings.dll
c:\documents and settings\utente\impostazioni locali\dati applicazioni\ewgaymq.exe" ewgaymq

Scarica VIRIT :
http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e fai la scansione in Modalità Provvisoria (è molto importante).
Posta anche il log.
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Riavvia il computer.
********************************************************************************************************
Poi:
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.
Posta un nuovo log di HijackThis .
Sempre qui.
ComboFix non funziona in modalità provvisoria
Ti consiglio di Disistallare Spybot - Search & Destroy ,e reistallarlo facendo bene attenzione,a NON abilitare il TEA-TIMER.
fiart50
Inviato: Sunday, August 17, 2008 8:53:39 PM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
ciao....quando riavvio il pc in modalita provvisoria mi da la schermata blu con 3 voci da selezionare,....quale devo selezionare eppoi fare invio....e come trovo e cancello quei file...con start/cerca file??....grazie
fiart50
Inviato: Sunday, August 17, 2008 9:03:21 PM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
in modaLITA' ROVVISORIA VEDO TRE VOCI....REMOVABLE+VOCE SOTTO HARD DISK+VOCESOTTO CD ROM+VOCE SOTTO QUALE DEVO FAR PARTIRE!!!....HARD DISK IMMAGINO O SATA ED IL NUMERO SERIALE CHE E' SOTTO!!!!...E' LA PRIMA VOLTA CHE VADO IN MODALITA' PROVVISORIA!!!!
Rudewolf
Inviato: Sunday, August 17, 2008 9:28:36 PM

Rank: AiutAmico

Iscritto dal : 5/2/2006
Posts: 6,184
Quella non è la modalità provvisoria ma il bios.Per entrare in MP devi premere ripetutamente F8 prima del caricamento di Windows.
r16
Inviato: Sunday, August 17, 2008 9:49:56 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
E..... (senza urlare) le indicazioni precise te le ho indicate nel post.
Basta leggerle attentamente.
Avvia in modalità provvisoria http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122
fiart50
Inviato: Sunday, August 17, 2008 10:12:58 PM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
ah...scusa...non sapevo che con il maiuscolo era urlare....allora avvio con f8 mi esce una finestra celeste con un menu: main advanced power boot tools exit mi indichi passo dopo passo come fare e dove andare per fare la cosa non sbagliata?...grazie....poi ho cercato do cancellare quei file che mi hai detto risorse del computer\disco locale(c)\window\system32\nswA7C.ddl tasto destro elimina mi da imposssibile eliminare nswa7c.ddl controllare che il disco non sia pieno o protetto da scrittura e che il file non sia in uso.....così per gli altri 2 che mi hai evidenziato....da premettere che l'operazione l'ho effettuata con modalita' NON provvisoria...poi volevo scaricare ccleaner...ma non riesco,..appena installo mi chiude la finestra e così virit....il problema e' quel maledetto premiumsearch che spybot non riesce a eliminare....un trojan rompic....nella scansione di spybot mi da errore in voci di registro HKEY_LOCAL_MACHINE\software\microsoft\windownt\currentversion\imagefileoption\explorerexe\debugger....correggo l'errore con spybot ma niente da fare....dice di correggerlo ma rimane sempre,..e mi impedisce di entrare in vari forum,..non mi fa scaricare programmi di pulizia,...un vero CASOTTO!!!...che fare???..come ammazzare questo disgraziato!!!!...grazie R16
r16
Inviato: Sunday, August 17, 2008 10:21:54 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vedi se ti riesce a fare una scansione con Combofix.
Mi raccomando,esegui le istruzioni alla lettera.
Se riesce, posta il log che trovi in C:\ComboFix.txt.
fiart50
Inviato: Sunday, August 17, 2008 10:43:37 PM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
....sono riuscito a fare scansione con combofix....aspetto tue nuove


ComboFix 08-08-17.01 - Utente 2008-08-17 22.32.07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1040.18.399 [GMT 2:00]
Eseguito da: C:\Documents and Settings\Utente\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
* Resident AV is active


ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Dati applicazioni\HotbarSA
C:\Documents and Settings\All Users\Dati applicazioni\HotbarSA\HotbarSA.dat
C:\Documents and Settings\All Users\Dati applicazioni\HotbarSA\HotbarSAAbout.mht
C:\Documents and Settings\All Users\Dati applicazioni\HotbarSA\HotbarSAEULA.mht
C:\Documents and Settings\Utente\Cookies\utente@ebay[3].txt
C:\Documents and Settings\Utente\Cookies\utente@it.ebayrtm[1].txt
C:\Documents and Settings\Utente\Dati applicazioni\macromedia\Flash Player\#SharedObjects\GVP00001\iforex.com
C:\Documents and Settings\Utente\Dati applicazioni\macromedia\Flash Player\#SharedObjects\GVP00001\iforex.com\Emerp\Events\flash_object.swf\user_data.sol
C:\Documents and Settings\Utente\Dati applicazioni\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com
C:\Documents and Settings\Utente\Dati applicazioni\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol
C:\Documents and Settings\Utente\Dati applicazioni\urlredir.cfg
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\ewgaymq.dat
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\ewgaymq.exe
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\ewgaymq_nav.dat
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\ewgaymq_navps.dat
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\oehcrsbtu.dat
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\oehcrsbtu_nav.dat
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\oehcrsbtu_navps.dat
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\rightonadz-uninst.exe

.
((((((((((((((((((((((((( Files Creati Da 2008-07-17 al 2008-08-17 )))))))))))))))))))))))))))))))))))
.

2008-08-16 22:09 . 2008-08-17 22:27 <DIR> d-------- C:\Programmi\Spybot - Search & Destroy
2008-08-16 22:09 . 2008-08-17 22:26 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
2008-08-16 18:01 . 2008-08-16 18:01 <DIR> d-------- C:\Programmi\Trend Micro
2008-08-15 17:20 . 2008-08-15 20:48 126 --a------ C:\WINDOWS\PRLTP_USBdrv.ini
2008-08-14 22:25 . 2008-08-14 22:25 <DIR> d-------- C:\Programmi\Yahoo!
2008-08-14 21:38 . 2008-08-14 21:36 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-08-14 21:38 . 2008-08-14 21:36 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-08-14 21:38 . 2008-08-14 21:36 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-08-14 20:53 . 2008-08-14 21:34 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Avg8
2008-08-14 19:46 . 2008-08-14 19:46 <DIR> d-------- C:\Programmi\AVG
2008-07-25 22:23 . 2008-07-25 22:24 <DIR> d-------- C:\Programmi\File comuni\Adobe
2008-07-25 22:20 . 2008-07-26 09:43 <DIR> d-------- C:\Programmi\NOS
2008-07-25 22:20 . 2008-07-26 09:43 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\NOS
2008-07-18 20:38 . 2008-07-18 20:38 586,752 --a------ C:\WINDOWS\WLXPGSS.SCR

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-17 20:32 --------- d-----w C:\Programmi\ESET
2008-08-17 16:28 --------- d-----w C:\Documents and Settings\Utente\Dati applicazioni\Skype
2008-08-17 15:31 --------- d-----w C:\Documents and Settings\Utente\Dati applicazioni\skypePM
2008-08-16 14:11 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Lavasoft
2008-08-16 11:28 --------- d--h--w C:\Programmi\InstallShield Installation Information
2008-08-15 21:47 --------- d-----w C:\Documents and Settings\Utente\Dati applicazioni\LimeWire
2008-08-15 19:40 --------- d-----w C:\Programmi\LimeWire
2008-08-12 22:22 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Microsoft Help
2008-07-31 15:41 --------- d-----w C:\Documents and Settings\Utente\Dati applicazioni\EPSON
2008-07-28 19:42 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Motive
2008-07-28 13:05 --------- d---a-w C:\Documents and Settings\All Users\Dati applicazioni\TEMP
2008-07-14 17:55 313,856 ----a-w C:\WINDOWS\system32\nswA7C.dll
2008-07-13 13:49 --------- d-----w C:\Programmi\Java
2008-07-11 21:47 --------- d-----w C:\Programmi\Google
2008-07-11 11:06 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Kaspersky Lab Setup Files
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-05 17:57 --------- d-----w C:\Programmi\Skype
2008-07-05 17:57 --------- d-----w C:\Programmi\File comuni\Skype
2008-07-05 17:57 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\Skype
2008-06-29 11:56 --------- d-----w C:\Programmi\Sun
2008-06-29 11:55 --------- d-----w C:\Programmi\File comuni\Java
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 10:59 --------- d-----w C:\Programmi\Telecom Italia
2008-06-24 10:54 --------- d-----w C:\Programmi\Motive
2008-06-24 10:54 --------- d-----w C:\Programmi\Alice ti aiuta
2008-06-23 16:15 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 08:17 --------- d-----w C:\Programmi\eMule
2008-03-03 19:53 92,064 ----a-w C:\Documents and Settings\Utente\mqdmmdm.sys
2008-03-03 19:53 9,232 ----a-w C:\Documents and Settings\Utente\mqdmmdfl.sys
2008-03-03 19:53 79,328 ----a-w C:\Documents and Settings\Utente\mqdmserd.sys
2008-03-03 19:53 66,656 ----a-w C:\Documents and Settings\Utente\mqdmbus.sys
2008-03-03 19:53 6,208 ----a-w C:\Documents and Settings\Utente\mqdmcmnt.sys
2008-03-03 19:53 5,936 ----a-w C:\Documents and Settings\Utente\mqdmwhnt.sys
2008-03-03 19:53 4,048 ----a-w C:\Documents and Settings\Utente\mqdmcr.sys
2008-03-03 19:53 25,600 ----a-w C:\Documents and Settings\Utente\usbsermptxp.sys
2008-03-03 19:53 22,768 ----a-w C:\Documents and Settings\Utente\usbsermpt.sys
2007-11-17 14:32 774,144 ----a-w C:\Programmi\RngInterstitial.dll
2007-10-04 09:00 2,506,438 ----a-w C:\WINDOWS\inf\SET5F.tmp
.
Code:
<pre>
----a-w            49,152 2006-02-19 01:41:10  C:\Programmi\HP\HP Software Update\hpwuschd2 .exe
----a-w           709,992 2007-04-10 21:46:52  C:\WINDOWS\vvx1000 .exe
----a-w            15,360 2004-08-19 13:39:36  C:\WINDOWS\system32\ctfmon .exe
</pre>



((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 289,792 2008-01-22 00:53:21 C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\bak\oehcrsbtu.exe

----a-w 39,792 2007-10-10 18:51:55 C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe
----a-w 39,792 2008-01-11 20:16:38 C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

----a-w 90,112 2006-11-10 11:35:24 C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\bak\CLIStart.exe

----a-w 94,208 2005-10-28 15:25:44 C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe

----a-w 185,632 2007-11-10 12:47:43 C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe

----a-w 68,856 2007-11-10 19:00:18 C:\Programmi\Google\GoogleToolbarNotifier\bak\GoogleToolbarNotifier.exe

----a-w 49,152 2006-02-19 01:41:10 C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe
----a-w 49,152 2006-02-19 00:41:10 C:\Programmi\HP\HP Software Update\hpwuSchd2.exe

----a-w 132,496 2007-07-12 03:00:36 C:\Programmi\Java\jre1.6.0_02\bin\bak\jusched.exe

----a-w 31,016 2006-10-26 23:47:42 C:\Programmi\Microsoft Office\Office12\bak\GrooveMonitor.exe
----a-w 33,648 2007-08-24 06:00:48 C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe

----a-w 286,720 2007-10-19 19:16:26 C:\Programmi\QuickTime\bak\bak\qttask.exe

----a-w 286,720 2007-10-19 19:16:26 C:\Programmi\QuickTime\bak\bak\qttask.exe

----a-w 1,069,920 2007-12-06 10:58:18 C:\Programmi\Search Settings\bak\SearchSettings.exe

----a-w 15,360 2004-08-19 13:39:36 C:\WINDOWS\system32\bak\ctfmon.exe
----a-w 15,360 2004-08-19 13:39:36 C:\WINDOWS\system32\ctfmon.exe

----a-w 155,648 2001-07-09 09:50:42 C:\WINDOWS\system32\bak\NeroCheck.exe

.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{109def9a-2e87-4eda-5e3a-f1ead1c9226b}]
2008-07-14 19:55 313856 --a------ C:\WINDOWS\system32\nswA7C.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programmi\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"EPSON Stylus DX7400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE" [2007-04-12 08:00 182272]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]
"ewgaymq"="c:\documents and settings\utente\impostazioni locali\dati applicazioni\ewgaymq.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LifeCam"="C:\Programmi\Microsoft LifeCam\LifeExp.exe" [2007-05-17 23:45 279912]
"AliceRE_McciTrayApp"="C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe" [2006-11-21 16:26 936960]
"HP Software Update"="C:\Programmi\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"VX1000"="C:\WINDOWS\vVX1000.exe" [2007-04-10 23:46 709992]
"Adobe Reader Speed Launcher"="C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"nod32kui"="C:\Programmi\Eset\nod32kui.exe" [2008-08-14 21:36 949376]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 08:49 16126464 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

C:\Documents and Settings\Utente\Menu Avvio\Programmi\Esecuzione automatica\
Ritaglio schermata e avvio di OneNote 2007.lnk - C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE [2007-08-24 05:45:42 101784]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Alice ti aiuta.lnk - C:\Programmi\Alice ti aiuta\bin\matcli.exe [2008-06-24 12:54:01 212992]
Avvio rapido HP Photosmart Premier.lnk - C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 08:56:20 73728]
HP Digital Imaging Monitor.lnk - C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22 288472]
LG SyncManager.lnk - C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe [2007-12-03 19:45:41 299008]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\explorer.exe]
"Debugger"="c:\windows\system32\utmhemks.nls"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmi\\eMule\\eMule.exe"=
"C:\\Programmi\\LimeWire\\LimeWire.exe"=
"C:\\Programmi\\Skype\\Phone\\Skype.exe"=

R2 MSCamSvc;MSCamSvc;C:\Programmi\Microsoft LifeCam\MSCamS32.exe [2007-05-17 23:45]
R3 VX1000;VX-1000;C:\WINDOWS\system32\DRIVERS\VX1000.sys [2007-04-10 23:46]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {A75BF1D0-C7C3-CB55-EE17-3225387FD154} /qb
.
Contenuto della cartella 'Scheduled Tasks'

2007-11-19 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programmi\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

2008-08-11 C:\WINDOWS\Tasks\OGADaily.job
- C:\WINDOWS\system32\OGAVerify.exe [2008-04-23 17:17]

2008-08-16 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe []

2008-08-17 C:\WINDOWS\Tasks\Verifica aggiornamenti per Windows Live Toolbar.job
- C:\Programmi\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 12:20]
.
- - - - ORFÃOS REMOVIDOS - - - -

ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - C:\Programmi\Qualcomm\Eudora\EuShlExt.dll


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Utente\Dati applicazioni\Mozilla\Firefox\Profiles\qf9ita22.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.msn.com
FF -: plugin - C:\Programmi\Mozilla Firefox\plugins\npracplug.dll
FF -: plugin - C:\Programmi\Real\RealArcade\Plugins\Mozilla\npracplug.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-17 22:35:13
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programmi\Eset\pr_imon.dll
.
Ora fine scansione: 2008-08-17 22:36:24
ComboFix-quarantined-files.txt 2008-08-17 20:36:11

Pre-Run: 88,919,273,472 byte disponibili
Post-Run: 89,379,909,632 byte disponibili

202 --- E O F --- 2008-08-12 22:22:42
r16
Inviato: Sunday, August 17, 2008 10:47:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Molto bene.
Vedi adesso se riesci a scaricare Virit, e fare una scansione. (fanne 2)
fiart50
Inviato: Sunday, August 17, 2008 10:52:01 PM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
lo scarico....l'ho salvato sul desktop,...lo apro,....esegui....parte ma poi me lo chiude.....e me lo chiude sempre lui....il trojan(della madre)...come fare adesso?
r16
Inviato: Sunday, August 17, 2008 11:03:31 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica questo:Avenger, scompatta Avenger all'interno di una apposita cartella creata sul Desktop
http://swandog46.geekstogo.com/avenger.zip

Avvia AVENGER
Clicca Ok
Inserisci queste righe (fai capia-incolla) nel riquadro bianco: (quelle in neretto)

Files to delete :
C:\WINDOWS\inf\SET5F.tmp
C:\WINDOWS\system32\nswA7C.dll
C:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\bak\oehcrsbtu.exe
c:\documents and settings\utente\impostazioni locali\dati applicazioni\ewgaymq.exe
Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{109def9a-2e87-4eda-5e3a-f1ead1c9226b}


Clicca su Execute
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger con un log aggiornato di hijackthis.
fiart50
Inviato: Sunday, August 17, 2008 11:13:38 PM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
incredibile.....appena clicco sul sito dove scaricare avenger mi stacca internet explorer...praticamente mi fa navigare solo sui siti che decide lui!!!!!.....adesso pero' a differenza di prima quando apro internet explorer mi esce una finestra che mi avverte che "si sta per abbandonare una connessione protetta internet,..altre persone potrebbero visualizzare le tue informazioni.....continuare???...che faccio....domani lo formatto??...formattarlo per me e' dargliela vinta...e mi rode troppo!!!!
r16
Inviato: Sunday, August 17, 2008 11:16:42 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Se rie sci a scaricare questo non formatti.
Scarica: Malwarebytes' Anti-MalwareMalwarebyte e salvalo sul desktop. : http://www.besttechie.net/tools/mbam-setup.exe

Doppio click sull'icona di mbam-setup.exe che hai salvato sul desktop (o dove vuoi tu)
e procedi con l'installazione
Assicurati che ci siano entrambi i segni di spunta su :Aggiorna Malwarebytes' Anti-Malware e Avvia, e clicca Fine
Al primo avvio, ti comparirà un messaggio di benvenuto, Assicurati che il collegamento Internet si attivo e clicca OK
Attendi la fine dell'aggiornamento.
Compare la schermata principale.
Clicca Scansiona
Potrebbe volerci parecchio tempo,(dipende quanto è infettato il pc) quindi bisogna avere un pò di pazienza.

Al termine della scansione, clicca OK

Assicurati che tutti i files evidenziati siano selezionati e clicca Rimuovi Selezionati

Quando la disinfezione sarà completata, verrà aperto Notepad con il risultato dell'operazione
fiart50
Inviato: Sunday, August 17, 2008 11:23:26 PM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
sono riuscito a scaricarlo....faccio scansione completa e ti riferisco tutto quello che e' accaduto
r16
Inviato: Sunday, August 17, 2008 11:26:05 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
fiart50 ha scritto:
sono riuscito a scaricarlo....faccio scansione completa e ti riferisco tutto quello che e' accaduto

Posta il log. (abbi un pò di pazienza,ci vorrà del tempo)
E uno anche di HijackThis .
fiart50
Inviato: Sunday, August 17, 2008 11:59:06 PM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
questi sono i 2 log che mi hai chiesto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.56.36, on 17/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\vVX1000.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\Microsoft LifeCam\MSCamS32.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [LifeCam] "C:\Programmi\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S109.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ewgaymq] "c:\documents and settings\utente\impostazioni locali\dati applicazioni\ewgaymq.exe" ewgaymq
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CE0DE3D-EE32-4381-B5AD-4200DAD5F01C}: NameServer = 85.37.17.11 85.38.28.69
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CE0DE3D-EE32-4381-B5AD-4200DAD5F01C}: NameServer = 85.37.17.11 85.38.28.69
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Windows CardSpace (idsvc) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

--
End of file - 9851 bytes



alwarebytes' Anti-Malware 1.25
Versione del database: 1062
Windows 5.1.2600 Service Pack 2

23.49.12 17/08/2008
mbam-log-08-17-2008 (23-48-58).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 101256
Tempo trascorso: 27 minute(s), 17 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 3
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{109def9a-2e87-4eda-5e3a-f1ead1c9226b} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{109def9a-2e87-4eda-5e3a-f1ead1c9226b} (Adware.BHO) -> No action taken.

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\nswA7C.dll (Adware.BHO) -> No action taken.


r16
Inviato: Monday, August 18, 2008 12:08:18 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Il discorso è migliorato, ma non finito.

Fixa queste voci di HijackThis: (prova in modalità normale)
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [ewgaymq] "c:\documents and settings\utente\impostazioni locali\dati applicazioni\ewgaymq.exe" ewgaymq

Segui questo percorso, e elimina il file in rosso:
c:\documents and settings\utente\impostazioni locali\dati applicazioni\ewgaymq.exe" ewgaymq
Posta un altro log di HijackThis
fiart50
Inviato: Monday, August 18, 2008 12:17:26 AM

Rank: AiutAmico

Iscritto dal : 8/17/2008
Posts: 387
ho fixato i 3 da hijack........seguendo le indicazioni \documents and settings\utente\impostazioni locali\dati applicazioni\...apro dati applicazioni ma purtroppo non c'e' ne la cartella ne la voce ewgaymq.exe" ewgaymq......
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.