Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » myWay.MyWebSearch

2 pages: [1] 2
myWay.MyWebSearch Opzioni
Topic Precedente · Topic Sucessivo
49parallelo
Inviato: Tuesday, December 23, 2008 12:09:48 PM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
Anxious Ragazzi ,mastico poco questa roba cmq il mio pc ha un problema: lo Spy bot continua a trovare questa voce ad ogni scansione "MyWay.MyWebSearch 2 voci PUPS" ho provato a correggere ma inutilmente il problema si ripresenta puntuale vi allego il LOg di HijacKThis credo due voci sarebbero da eliminare una R3 URLSearchHook
..... e una 02 - BHO: Ask Search.................che dite?.... cerco aiuto:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.59.16, on 21/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmi\VIA\RAID\raid_tool.exe
E:\WINDOWS\system32\RunDll32.exe
E:\Programmi\Eset\nod32kui.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\PixArt\PAC7311\Monitor.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmi\D-Link\Bluetooth Software\BTTray.exe
E:\Programmi\D-Link\Bluetooth Software\bin\btwdins.exe
E:\WINDOWS\system32\CTsvcCDA.exe
E:\Programmi\FolderSize\FolderSizeSvc.exe
E:\Programmi\File comuni\LightScribe\LSSrvc.exe
E:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Programmi\Eset\nod32krn.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programmi\Raxco\PerfectDisk\PDAgent.exe
E:\WINDOWS\system32\slserv.exe
E:\WINDOWS\system32\svchost.exe
E:\Programmi\Raxco\PerfectDisk\PDEngine.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programmi\MSN Messenger\usnsvc.exe
E:\Programmi\MSN Messenger\msnmsgr.exe
E:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - E:\Programmi\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,,E:\WINDOWS\CTFRMON.EXE
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - E:\Programmi\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RaidTool] E:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "E:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PAC7311_Monitor] E:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "E:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - E:\Programmi\D-Link\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programmi\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programmi\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF18505-375C-41BB-A7A2-5686834BF329}: NameServer = 193.70.152.15,193.70.152.25
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Programmi\D-Link\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Folder Size (FolderSize) - Brio - E:\Programmi\FolderSize\FolderSizeSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - E:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - E:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - E:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: SmartLinkService (SLService) - - E:\WINDOWS\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - http://www.neverstop.it/phorum/images/logo.gif
O24 - Desktop Component 1: (no name) - http://www.ufficiobrevetti.it/resources/ico_brevetti.gif
O24 - Desktop Component 2: (no name) - http://www.giustiziatributaria.it/img/shim.gif

--
End of file - 6466 bytes

Anxious Anxious Anxious
Torna in alto
 
Sponsor
Inviato: Tuesday, December 23, 2008 12:09:48 PM

 
Torna in alto
 
r16
Inviato: Tuesday, December 23, 2008 5:59:19 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Elimina questa voce:
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - E:\Programmi\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
Cerca e elimina la cartella scritta in rosso:
E:\Programmi\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
*********************************************************************************************************
Il vero problema è questo:
Segui il percorso di questa chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca una volta sopra la cartellina Winlogon.
Sulla destra,quasi a fondo pagina, trova :
"Userinit" = C:\windows\system32\userinit.exe, (virgola compresa)
Se dopo quella virgola trovi scritto:
,E:\WINDOWS\CTFRMON.EXE lo devi eliminare. (solo la riga in rosso)
Per essere più chiaro, devi eliminare SOLO le voci in rosso:
UserInit=E:\WINDOWS\system32\userinit.exe, ,E:\WINDOWS\CTFRMON.EXE
Il risultato finale deve essere:
"Userinit" = C:\windows\system32\userinit.exe, (ricordati di NON cancellare la virgola dopo userinit.exe).
Tutto chiaro?
Poi:
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.malwarebytes.org/
esegui una scansione completa del sistema e, una volta terminata la scansione,posta il log che verrà rilasciato in questa discussione.
Prima di fare la scansione AGGIORNALO.
Torna in alto
 
49parallelo
Inviato: Tuesday, December 23, 2008 8:12:02 PM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
ciao!Grazie tante per la dritta!Colgo l'occasione per fare a tutti gli auguri di Buon Natale e Buon anno!Faro' quello che mi hai detto ti faro' sapere!Ciaooooooooooooooooooooooooooooooooooo
Torna in alto
 
49parallelo
Inviato: Wednesday, December 24, 2008 10:05:58 AM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
Ciao Rank, ho eliminato la voce R3-URLSearch.....ed anche la cartella AskSbar da E, in modalità provvisoria ,ho ripulito con ccleaner ma non so come arrivare alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon non vorrei commettere errori........ho scaricato malware bytes come tu hai detto ti ringrazio anticipatamente e aspetto tua risposta.
Torna in alto
 
r16
Inviato: Wednesday, December 24, 2008 11:33:59 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao
Prima di farti mettere le manine sul registro, postami (come avevo richiesto) il log di Malwarebytes, e un log aggiornato di HijackThis.
Torna in alto
 
49parallelo
Inviato: Wednesday, December 24, 2008 4:02:09 PM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
Ciao R16,volevo dirti che ora Spybot ha risolto il problema di MyWay.MyWebSearch alla seconda scansione. Dopo spybot ho lanciato NOD32 in profondo ma non ha rilevato nulla.Ma malware byte ha
trovato un Trojan .Agent in E:\WINDOWS\System32\TDSSIxwp.dll. che ho rimosso(?) ed ora è in quarantena in Malware byte.
Dimenticavo di dirti che nel frattempo che malware byte agiva sul trojan lo Spybot mi chiedeva se volevo modificare una voce del registro che era quella di cui Tu eri preoccupato, io ho autorizzato ma credo che quella voce sia rimasta sostanzialmente la stessa
ti allego il file di hijackthis e di seguito il file di malware byte.Aspetto tue notizie.Spero di essere stato esauriente.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.38.57, on 24/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmi\VIA\RAID\raid_tool.exe
E:\WINDOWS\system32\RunDll32.exe
E:\Programmi\Eset\nod32kui.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\PixArt\PAC7311\Monitor.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmi\D-Link\Bluetooth Software\BTTray.exe
E:\Programmi\D-Link\Bluetooth Software\bin\btwdins.exe
E:\WINDOWS\system32\CTsvcCDA.exe
E:\Programmi\FolderSize\FolderSizeSvc.exe
E:\Programmi\File comuni\LightScribe\LSSrvc.exe
E:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Programmi\Eset\nod32krn.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programmi\Raxco\PerfectDisk\PDAgent.exe
E:\WINDOWS\system32\slserv.exe
E:\WINDOWS\system32\svchost.exe
E:\Programmi\Raxco\PerfectDisk\PDEngine.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
E:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\CTFRMON.EXE,
O2 - BHO: (no name) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RaidTool] E:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "E:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PAC7311_Monitor] E:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] E:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "E:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - E:\Programmi\D-Link\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programmi\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programmi\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF18505-375C-41BB-A7A2-5686834BF329}: NameServer = 193.70.152.15,193.70.152.25
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Programmi\D-Link\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Folder Size (FolderSize) - Brio - E:\Programmi\FolderSize\FolderSizeSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - E:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - E:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - E:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: SmartLinkService (SLService) - - E:\WINDOWS\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - http://www.neverstop.it/phorum/images/logo.gif
O24 - Desktop Component 1: (no name) - http://www.ufficiobrevetti.it/resources/ico_brevetti.gif
O24 - Desktop Component 2: (no name) - http://www.giustiziatributaria.it/img/shim.gif

--
End of file - 6381 bytes
ORA ti ALLEGO il FILE dI MALWARE
Malwarebytes' Anti-Malware 1.31
Versione del database: 1540
Windows 5.1.2600 Service Pack 2

24/12/2008 15.32.38
mbam-log-2008-12-24 (15-32-38).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 120376
Tempo trascorso: 53 minute(s), 39 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
E:\WINDOWS\system32\TDSSlxwp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
Torna in alto
 
r16
Inviato: Wednesday, December 24, 2008 7:53:30 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ok.
Per prevenire eventuali errori, fai un Buckup del registro.
Apri il registro (start -> esegui -> digita : regedit e clicca su ok).
Nel registro, clicca su "Risorse del computer", poi su "file", su "esporta" e salva la copia del registro in C:
*********************************************************************************************************
Poi per raggiungere la cartella Winlogon fai cosi:
Start\Esegui digita:regedit\ok.
Clicca sul + di HKEY_LOCAL_MACHINE
Clicca sul + di SOFTWARE
Clicca sul + di Microsoft
Clicca sul + di Windows NT
Clicca sul + di CurrentVersion
Scorri finchè trovi la cartellina Winlogon e segui le istruzioni (alla lettera) del post precedente.
Fai doppio click sull'iconcina "Userinit.
Ti appare una finestra con scritto : E:\WINDOWS\system32\userinit.exe, E:\WINDOWS\CTFRMON.EXE
Cancella la parte in rosso e LASCIA la parte in verde. (ripeto, lascia anche la virgola verde)
Conferma con OK, chiudi il Registro, e RIAVVIA il pc.
Segui lo stesso percorso e verifica che la chiave presente, sia come, è stata modificata.
Poi apri HijackThis e (se la trovi) fixa questa voce:
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,E:\WINDOWS\CTFRMON.EXE,
Poi mi posti un nuovo log di HJT.
Torna in alto
 
49parallelo
Inviato: Thursday, December 25, 2008 1:22:00 AM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
ciao r16 la voce non l'ho trovata e ti invio il file di hijackthis e buonanotte...... spero abbia fatto tutto bene ci sentiamo domani se vuoi.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1.12.29, on 25/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Programmi\VIA\RAID\raid_tool.exe
E:\WINDOWS\system32\RunDll32.exe
E:\Programmi\Eset\nod32kui.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\PixArt\PAC7311\Monitor.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\MSN Messenger\msnmsgr.exe
E:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe
D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
E:\Programmi\D-Link\Bluetooth Software\BTTray.exe
E:\Programmi\D-Link\Bluetooth Software\bin\btwdins.exe
E:\WINDOWS\system32\CTsvcCDA.exe
E:\Programmi\FolderSize\FolderSizeSvc.exe
E:\Programmi\File comuni\LightScribe\LSSrvc.exe
E:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Programmi\Eset\nod32krn.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Programmi\Raxco\PerfectDisk\PDAgent.exe
E:\WINDOWS\system32\slserv.exe
E:\WINDOWS\system32\svchost.exe
E:\Programmi\Raxco\PerfectDisk\PDEngine.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RaidTool] E:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nod32kui] "E:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PAC7311_Monitor] E:\WINDOWS\PixArt\PAC7311\Monitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "E:\Programmi\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - E:\Programmi\D-Link\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programmi\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Programmi\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF18505-375C-41BB-A7A2-5686834BF329}: NameServer = 193.70.152.15,193.70.152.25
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Programmi\D-Link\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Folder Size (FolderSize) - Brio - E:\Programmi\FolderSize\FolderSizeSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - E:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - E:\Programmi\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - E:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: SmartLinkService (SLService) - - E:\WINDOWS\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - http://www.neverstop.it/phorum/images/logo.gif
O24 - Desktop Component 1: (no name) - http://www.ufficiobrevetti.it/resources/ico_brevetti.gif
O24 - Desktop Component 2: (no name) - http://www.giustiziatributaria.it/img/shim.gif

--
End of file - 6161 bytes
Torna in alto
 
r16
Inviato: Thursday, December 25, 2008 5:37:07 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao, e buon Natale.
Se il pc và bene, significa che hai fatto l'operazione correttamente.
La voce non c'è piu,(volevo controllare per sicurezza). Il log è pulito.
Ripuliamo i "rimasugli".
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e premi su fix checked:
O2 - BHO: (no name) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
********************************************************************************************************
Vai in "Installazione Applicazioni" e rimuovi tutte le versioni Java che trovi .
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Installa questa versione:
http://www.aiutamici.com/software?ID=11134
*********************************************************************************************************
Fai:
Start\Esegui\ copia-incolla questa stringa: %temp% e svuoti la cartella TEMP.
Poi:
Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)
SVUOTA IL CESTINO
Se hai fatto il Buckup del registro, come ti avevo indicato, aspetta un paio di giorni, poi se il pc non presenta anomalie,lo elimini.
*********************************************************************************************************
Fai una scansione on-line con con kaspersky
http://www.kaspersky.com/virusscanner
Clicca su Kaspersky Online Scanner
Clicca su Accept
Si avvierà un Update
Vai nella colonna di sinistra dove c'è scritto Scan e scegli my computer
Finita la scansione in fondo a destra, clicca sulla la voce View Scan Report, e poi clicca su "Save Report As" e salvalo sul desktop, per poi postarlo qui.
Torna in alto
 
49parallelo
Inviato: Friday, December 26, 2008 12:35:38 AM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
Ciao r16
RICAMBIO AUGURI DI CUORE E TI AGGIORNO: LA CARTELLA Prefetch l'ho trovata in E anzichè in C che faccio la svuoto? è piena di file....
ciao
Torna in alto
 
r16
Inviato: Friday, December 26, 2008 1:00:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
E' normale che la cartella Prefetch l'hai in E , il Sistema Operativo (Windows) lo hai contrassegnato con la lettera E.
Si, elimina tutto quello che trovi all'interno della cartella Prefetch.
E' probabile che in tutti quei file che ci sono, si nasconda qualche virus.
All'inizio, i siti che aprirai, ci impiegheranno un pò di più ad aprirsi, ma poi tutto ritornerà alla normalità.
Torna in alto
 
49parallelo
Inviato: Friday, December 26, 2008 1:31:26 PM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
Ciao r 16, kaspersky non mi fa fare la scansione online mi dice che forse ho antivirus attivato e fa annotazioni anche sul Java...nelfrattempo ho eliminato tutto da Prefetch
Torna in alto
 
r16
Inviato: Friday, December 26, 2008 5:15:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Fai una scansione on-line con questo http://housecall.trendmicro.com/it/
Se rileva qualcosa, la elimini.
Torna in alto
 
49parallelo
Inviato: Sunday, December 28, 2008 5:07:03 PM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
Ciao R16 ti dovevo una risposta .....
purtroppo sono andato sul sito della trend ma quando inizio le procedure il PC sembra che si impalli (sembra che lavori ma non succede niente) per cui la scansione on line me la scordo.....anche perchè salta in continuazione la connessione internet(lo vedo dal modem 2+ Trust 4050) inoltre volevo chiederti una cosa come mai quando vado in start...pannello di controllo....installazione/applicazioni il pc ci mette molto per aprirla quasi 5 minuti? questo difetto comunque lo faceva anche prima dei nostri interventi per il resto..... pare che va tutto bene.
un saluto
Torna in alto
 
r16
Inviato: Sunday, December 28, 2008 5:18:25 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Hai il cd originale di Windows?
Se si:
Inseriscilo nel lettore.
Poi fai: Start\Esegui\ copi-incolla questo comando: sfc /scannow e dai Invio.
Se hai qualche file corrotto, dovrebbe ripristinartelo.
Quando ha finito Riavvia il Pc
Se non hai il cd, prova questo programmino, alle volte risolve: (Da utilizzare solo dopo un controllo Antivirus e Spyware.)
http://www.aiutamici.com/software?ID=11300
Altra cosa: prova a installare il SP3 (da Windows Update)
Torna in alto
 
49parallelo
Inviato: Sunday, December 28, 2008 5:56:15 PM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
ciao ho riprovato con kaspersky ora sta andando di darò il report della scansione ..ha iniziato da poco ...non è che sia una scheggia...
ci risentiamo
ps-----non ho il cd
ciao
Torna in alto
 
49parallelo
Inviato: Monday, December 29, 2008 12:21:03 AM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
ciao r 16 ecco il log.
Sunday, December 28, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Sunday, December 28, 2008 17:01:18
Records in database: 1525092
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area Critical Areas
C:\Program Files
E:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
E:\Documents and Settings\standard\Menu Avvio\Programmi\Esecuzione automatica
E:\Programmi
E:\WINDOWS
Scan statistics
Files scanned 26048
Threat name 0
Infected objects 0
Suspicious objects 0
Duration of the scan 00:45:43

No malware has been detected. The scan area is clean.
The selected area was scanned.
Torna in alto
 
r16
Inviato: Monday, December 29, 2008 1:48:17 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Il report di Kaspersky non ha trovato niente.
Dovresti essere a posto.
Torna in alto
 
49parallelo
Inviato: Monday, December 29, 2008 2:47:12 PM

Rank: AiutAmico

Iscritto dal : 12/23/2008
Posts: 83
Ciao (ti rispondo non dal mio pc ) si ........sembra tutto regolare.... per quel problema di connessione proverò a resettare il modem router
cmq ti ringrazio per tutto hai fatto un buon lavoro ..sei un amico di ....questi tempi è merce rara.......
ps se sorgeranno altri problemi chiederò la tua consulenza.
ciao e buon lavoro.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » myWay.MyWebSearch


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.