Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

LOG HIJACK - cosa elimino? Opzioni
frankie09
Inviato: Wednesday, February 21, 2007 10:07:51 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Grazie a chi mi ha dato il consiglio del Task Manager per lanciare Hijack - funziona!
Ecco il log - attendo ISTRUZIONI..
grazieee

ogfile of HijackThis v1.99.1
Scan saved at 22.01.33, on 21/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\BCMSMMSG.exe
C:\programmi\mwatch.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\Accessori\HijackThis.exe
C:\Programmi\Opera\Opera.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,"c:\windows\system32\samsung-speed.exe",
O1 - Hosts: 205.238.40.1 winmx.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: andRadio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR)\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [KernelFaultCheck] :systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MailWatcher] c:\programmi\mwatch.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {9239E4EC-C9A6-11D2-A844-00C04F68D538} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: www.master70.biz
O15 - Trusted Zone: www.master71.biz
O15 - Trusted Zone: www.realarea.biz
O15 - Trusted Zone: www.sfonditalia.biz
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEC72201-A8A7-4CF5-AE18-2A5B4D198E7F}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
Sponsor
Inviato: Wednesday, February 21, 2007 10:07:51 PM

 
pidue
Inviato: Wednesday, February 21, 2007 11:00:14 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Continua il post precedente, altrimenti non ti rispondo.

Edited by - pidue on 02/21/2007 23:07:38



frankie09
Inviato: Wednesday, February 21, 2007 11:48:50 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
IN che senso continua il post precedente?

Cosa devo fare?


<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Continua il post precedente, altrimenti non ti rispondo.

Edited by - pidue on 02/21/2007 23:07:38
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
pidue
Inviato: Wednesday, February 21, 2007 11:53:23 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, devi perdonarmi se sono stato brusco, ma non si aprono due thread per lo stesso problema. E' una regola di tutti i forum.<img src=icon_smile.gif border=0 align=middle>
Venendo al problema, il tuo pc è infetto da vari spyware, oltre che dal <b>LinkOptimizer</b>, una brutta bestia, di difficile rimozione. Se fai alla lettera quello che ti dico, hai buone probabilità di farcela. Per inciso di dico che HijackThis non partiva a causa del virus. E’ una sua caratteristica, di impedire il download e l’esecuzione dei tool che potrebbero eliminarlo.
Per intanto:
chiudi HijackThis in una cartella a lui dedicata (possibilmente non sul desktop), altrimenti perdi i backup;

<b>disattiva il ripristino configurazione del sistema</b>:

<b>avvia il computer in modalità provvisoria </b>:
<b>rendi visibili le cartelle nascoste in questo modo</b>:
da Risorse del computer:
Strumenti >> Opzioni cartella >> visualizzazione;
metti la spunta su:
<i>Visualizza file e cartelle nascoste</i>;
togli la spunta da:
<i>Nascondi file protetti del sistema(consigliato)</i>

Avvia hijackthis, con tutte le applicazioni chiuse, premi su <b>Do a system scan only</b> , spunta ed elimina <b>(fix checked)</b> le seguente righe:
____________________________________________
<font color=red>
TUTTE le 015 e inoltre:
</font id=red>

<font color=red>
O1 - Hosts: 205.238.40.1 winmx.com
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKCU\..\Run: [MailWatcher] c:\programmi\mwatch.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {9239E4EC-C9A6-11D2-A844-00C04F68D538} - (no file)
</font id=red>
____________________________________________

Cancella i seguenti file in rosso:


C:\WINDOWS\system32\<font color=red> samsung-speed.ex e",
</font id=red>
c:\programmi\\<font color=red> mwatch.exe\</font id=red>

Una volta terminata l'operazione di disinfezione di Hijackthis, apri
Pannello di controllo >> Opzioni internet >> Programmi >> premi il pulsante
"Ripristina impostazioni web". Conferma con OK.

Segui il punto <b>1</b> al seguente link, (sotto <b>Operazioni preliminari</b>):
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx

Elimina tutto il contenuto della cartella Temp nel tuo profilo. Per accedere direttamente, usa questa procedura:
da Start >> Esegui incolla la stringa <b>%temp%</b>

svuota il Cestino.

<b>Alla fine:</b>

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e crea un nuovo punto di ripristino.

Intanto fai questo, poi ti dirò come procedere. Ciao.


Edited by - pidue on 02/21/2007 23:54:27



frankie09
Inviato: Wednesday, February 21, 2007 11:59:05 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Grazie! Sei gentilissimo.
Poi ho capito cosa volevi dire del post e ho trascritto anche nell'altro..non me ne intendo di forum..sorry..
adesso vado a provare..
ONE DAY perso per un virus malefico!!grr
ti so dire quanto prima
kisses
pidue
Inviato: Thursday, February 22, 2007 12:03:08 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
...ONE DAY perso per un virus malefico!!grr
ti so dire quanto prima
kisses

<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

E chissà quanti ne dovrai perdere per liberarti di lui. <img src=icon_smile.gif border=0 align=middle>
Domani secondo tempo. Adesso vado a cuccia.'Notte.



frankie09
Inviato: Thursday, February 22, 2007 12:50:07 AM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Ciao Pidue..no very good news

di cancellare il BHO non ne vuole sapere manco per l'anima du..
e così pure il file
c:\\windows\system32\samsung-speed.exe
e che guarda caso sono collegati nel combinarmi i casini..
il resto si..ma immagino che fosse il meno
quanto al punto 1 di pulizia temp etc
è una cosa che faccio regolarmente e l'ho ripetuto.

Ti attacco il nuovo log e ti ringrazio nuovamente per quanto saprai dirmi..
Logfile of HijackThis v1.99.1
Scan saved at 0.24.51, on 22/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Accessori\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,"c:\windows\system32\samsung-speed.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: andRadio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmi\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR)\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [KernelFaultCheck] :systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

ora svengo...notte!
frankie09
Inviato: Thursday, February 22, 2007 10:00:44 AM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
ah INOLTRE IO HO UN BLOG che era posizionato al 4° posto in google - ora è sparito.
DOMANDA: è stato WEB LOGGATO? mi pare di si.
Dipende da LINK OPTIMIZER?
Come faccio a rimuovere questo web loggaggio e a far ritornare le cose come prima???

grazie!!!! ciao
pidue
Inviato: Thursday, February 22, 2007 2:05:09 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, che HijackThis non risolveva il problema era pacifico. Un po' di pulizia l'ha però fatta.
Adesso fai così:

Scarica <b>VirIt</b> dal link sotto, installalo e aggiornalo. Poi fai una scansione in modalità provvisoria e una normale. Il tool dovrebbe gìà eliminarti i BHO infetti.

http://www.tgsoft.it/files/vnlt6157.exe

Poi scarica questi due tool:

http://www.prevx.com/gromozon.asp
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Prima di lanciarli, pulisci il pc con CCleaner;
chiudi tutti i programmi in esecuzione, disconnettiti da Internet, lancia il primo tool, premendo su Scan;
poi rispondi YES alla richiesta di riavvio.
Al riavvio il tool terminerà la procedura e rilascerà un log in <b>C:\gromozon_removal.txt</b>;


Per eseguire il secondo tool riavvia in Modalità Provvisoria;
poi lancia il file <b>FixLinkopt.exe</b>, accetta il contratto di licenza, clicca su Start per avviare l'analisi.
Consulta il log Fixlinkopt.txt e pubblicalo.

Alla fine di queste procedure, vedi com'è la situazione e fammi sapere.





frankie09
Inviato: Thursday, February 22, 2007 9:56:46 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ciao, che HijackThis non risolveva il problema era pacifico. Un po' di pulizia l'ha però fatta.
Adesso fai così:

Scarica <b>VirIt</b> dal link sotto, installalo e aggiornalo. Poi fai una scansione in modalità provvisoria e una normale. Il tool dovrebbe gìà eliminarti i BHO infetti.

http://www.tgsoft.it/files/vnlt6157.exe

Poi scarica questi due tool:

http://www.prevx.com/gromozon.asp
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Prima di lanciarli, pulisci il pc con CCleaner;
chiudi tutti i programmi in esecuzione, disconnettiti da Internet, lancia il primo tool, premendo su Scan;
poi rispondi YES alla richiesta di riavvio.
Al riavvio il tool terminerà la procedura e rilascerà un log in <b>C:\gromozon_removal.txt</b>;


Per eseguire il secondo tool riavvia in Modalità Provvisoria;
poi lancia il file <b>FixLinkopt.exe</b>, accetta il contratto di licenza, clicca su Start per avviare l'analisi.
Consulta il log Fixlinkopt.txt e pubblicalo.

Alla fine di queste procedure, vedi com'è la situazione e fammi sapere.


<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
frankie09
Inviato: Thursday, February 22, 2007 9:56:51 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ciao, che HijackThis non risolveva il problema era pacifico. Un po' di pulizia l'ha però fatta.
Adesso fai così:

Scarica <b>VirIt</b> dal link sotto, installalo e aggiornalo. Poi fai una scansione in modalità provvisoria e una normale. Il tool dovrebbe gìà eliminarti i BHO infetti.

http://www.tgsoft.it/files/vnlt6157.exe

Poi scarica questi due tool:

http://www.prevx.com/gromozon.asp
http://securityresponse.symantec.com/avcenter/FixLinkopt.exe

Prima di lanciarli, pulisci il pc con CCleaner;
chiudi tutti i programmi in esecuzione, disconnettiti da Internet, lancia il primo tool, premendo su Scan;
poi rispondi YES alla richiesta di riavvio.
Al riavvio il tool terminerà la procedura e rilascerà un log in <b>C:\gromozon_removal.txt</b>;


Per eseguire il secondo tool riavvia in Modalità Provvisoria;
poi lancia il file <b>FixLinkopt.exe</b>, accetta il contratto di licenza, clicca su Start per avviare l'analisi.
Consulta il log Fixlinkopt.txt e pubblicalo.

Alla fine di queste procedure, vedi com'è la situazione e fammi sapere.


<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
frankie09
Inviato: Thursday, February 22, 2007 10:00:34 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
uffa..è sparita tutta la mia risposta..sorry.
dicevo che il virit l'avevo già fatto passare e pure dato l'OK per cancellare i link optimizer pur rischiando che mi cancellasse i file di registro..
ma poi sono ricomparsi..hm..
se mi chiede di cancellarli do "yes" non è che mi elimina dei file di registro?

Gli altri due scan li ho anche fatti passare (my friend ho fatto passare di tutto in questi gg) ma non mi rilevano nulla nemmeno il symantec..

attendo tua risposta per il vir it e poi procedo..graziee
pidue
Inviato: Thursday, February 22, 2007 10:20:13 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Non capisco, di solito VirIt non chiede il permesso, perchè quello che trova è sicuramente nocivo. Se ti chiede di cancellarli, dai pure il permesso. Ovviamente, se i file sono maligni bisogna eliminare anche le chiavi di registro, altrimenti i virus ricompaiono.
Ricordati di pubblicare il rapporto di VirIt.
Ciao.


Edited by - pidue on 02/22/2007 22:22:01



frankie09
Inviato: Thursday, February 22, 2007 10:27:57 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Non capisco, di solito VirIt non chiede il permesso, perchè quello che trova è sicuramente nocivo.


L'HO IMPOSTATO IO SU CHIEDI CONFERMA.
CMQ ANCHE IN AUTOMATICO NON L'HA CANCELLATO

Se ti chiede di cancellarli, dai pure il permesso. Ovviamente, se i file sono maligni bisogna eliminare anche le chiavi di registro, altrimenti i virus ricompaiono.

E POI? COME FACCIO SENZA QUELLA CHIAVE? AVRo' dei malfunzionamenti...e se non mi si avvia più??

Ricordati di pubblicare il rapporto di VirIt.
Ciao.

GRAZIE - CIAO


Edited by - pidue on 02/22/2007 22:22:01
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
frankie09
Inviato: Friday, February 23, 2007 7:37:30 AM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Ciao P2!
fatto tutto come da copione..VIR it ORA NON LO RILEVA MA QUESTO E' IL LOG HIJACK.......

nning processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Accessori\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,"c:\windows\system32\samsung-speed.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR)\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

COME VEDI C'E ANCORA IL BHO (noname)
HO SEGUITO LA PROCEDURA DEL REGEDT 32 PER ELIMINARE QUESTA VOCE..MA NON LA ELIMINA.

TUTTI I PROCESSI RUNNING SONO OK?
LA TASK BAR DELL'ADSL E' ABILITATA A ALL USER
DOVREI ABILITARLA SOLO A PROPRIETARIO? E COME?

LA PROCEDURA CHE HO SEGUITO MI ELIMINA TUTTI I RINDERIRIZZAMENTI DEI SITI CHE FURONO RINDIRIZZATI DAL LINK OPTIMIZER ?

GRAZIE E BUONA GIORNATA!
frankie09
Inviato: Friday, February 23, 2007 10:14:55 AM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
NIENTE DA FAREEEEEEEEE!!

CE L'HO ANCORA!!

HO FATTO RIPASSARE VIR IT ADESSO
E LO RILEVA!!

SE VIR IT CHIEDE DI COLLEGARSI A VIR IT .COM
E' IL SUO SITO DI AGGIORNAMENTO O MAGARI MI E' TORNATO DA LI?

ECCO IL REPORT

{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B

CHE FACCIO?? UFFA..!!

GRAZIE
pidue
Inviato: Friday, February 23, 2007 5:21:24 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, a mali estremi....adesso dovrai avere le mani di un chirurgo.

Scarica <b>Killbox</b>

- dopo il download, decomprimi la cartella , avvia Killbox.exe e segui i 3 passaggi sotto:

- dove vedi scritto <b>Full Path of File to delete</b> clicca il pulsante a cartellina aperta che vedi a destra e cerca il file <b>samsung-speed.exe</b> (lo trovi seguendo il percorso <b> c:\windows\system32\samsung-speed.exe</b>).

- a questo punto seleziona la voce (a sinistra) <b>Delete on Reboot</b>;

- Clicca sulla <b>X</b> rossa in alto a destra. Il computer verrà riavviato.

Al riavvio vai nel registro:
Start >> Esegui,quindi digita regedit e dai l'ok.

- Poi vai in alto a sinistra ed espandi (clicca sul segno più) la chiave HKEY_LOCAL_MACHINE.
Poi, nell'ordine:
\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

- Nella finestra di destra trova e apri <b>Userinit</b>;
- Elimina la voce: <b>,c:\windows\system32\samsung-speed.exe"</b> con la procedura descritta sotto;

<font color=red>ATTENTA</font id=red>. Non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi. Devi eliminare solo la voce infetta, in questo modo:
- Fai doppio clic sul nome della chiave:
- Nella finestra che si apre evidenzia e cancella solo la voce <b>,"c:\windows\system32\samsung-speed.exe"</b>,(compresa la virgola iniziale)
- Dai l'ok e chiudi il registro.

Avvia hijackthis , con la procedura solita elimina queste righe:


<font color=red>F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,"c:\windows\system32\samsung-speed.exe",
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
</font id=red>


Pubblica un log aggiornato.










Edited by - pidue on 02/23/2007 17:23:57



frankie09
Inviato: Saturday, February 24, 2007 10:34:03 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ciao, a mali estremi....adesso dovrai avere le mani di un chirurgo.

Scarica <b>Killbox</b>

- dopo il download, decomprimi la cartella , avvia Killbox.exe e segui i 3 passaggi sotto:

- dove vedi scritto <b>Full Path of File to delete</b> clicca il pulsante a cartellina aperta che vedi a destra e cerca il file <b>samsung-speed.exe</b> (lo trovi seguendo il percorso <b> c:\windows\system32\samsung-speed.exe</b>).

- a questo punto seleziona la voce (a sinistra) <b>Delete on Reboot</b>;

- Clicca sulla <b>X</b> rossa in alto a destra. Il computer verrà riavviato.

Al riavvio vai nel registro:
Start )> Esegui,quindi digita regedit e dai l'ok.

- Poi vai in alto a sinistra ed espandi (clicca sul segno più) la chiave HKEY_LOCAL_MACHINE.
Poi, nell'ordine:
\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

- Nella finestra di destra trova e apri <b>Userinit</b>;
- Elimina la voce: <b>,c:\windows\system32\samsung-speed.exe"</b> con la procedura descritta sotto;

<font color=red>ATTENTA</font id=red>. Non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi. Devi eliminare solo la voce infetta, in questo modo:
- Fai doppio clic sul nome della chiave:
- Nella finestra che si apre evidenzia e cancella solo la voce <b>,"c:\windows\system32\samsung-speed.exe"</b>,(compresa la virgola iniziale)
- Dai l'ok e chiudi il registro.

Avvia hijackthis , con la procedura solita elimina queste righe:


<font color=red>F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,"c:\windows\system32\samsung-speed.exe",
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
</font id=red>


Pubblica un log aggiornato.







Carissimo P2..grazie.
Questo è il nuovo log dopo aver fatto tutto
(sappi però che samsung speed lo avevo già neutralizzato - rinominandolo - e poi vir it ha rilevato il nuovo nome e io lo killato)
non è più residente.
Logfile of HijackThis v1.99.1
Scan saved at 22.24.32, on 24/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programmi\Accessori\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR>\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

poi ho fatto passare VIR IT e...voilà!!!chi si rivede??

{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B

grrr--

non è che per caso sia questa cosa qui?

O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe

e poi non sono normali nemmeno tutti quei file di hp..

moh..che faccio??

grazie e buona serata!
Francesca







Edited by - pidue on 02/23/2007 17:23:57
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
frankie09
Inviato: Saturday, February 24, 2007 10:35:52 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Carissimo P2..grazie.
Questo è il nuovo log dopo aver fatto tutto
(sappi però che samsung speed lo avevo già neutralizzato - rinominandolo - e poi vir it ha rilevato il nuovo nome e io lo killato)
non è più residente.
Logfile of HijackThis v1.99.1
Scan saved at 22.24.32, on 24/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programmi\Accessori\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR>\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

poi ho fatto passare VIR IT e...voilà!!!chi si rivede??

{DA39029C-D291-A968-3FF4-D0990D5CB5FC} Infetto da BHO.LinkOptimizer.B

grrr--

non è che per caso sia questa cosa qui?

O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe

e poi non sono normali nemmeno tutti quei file di hp..

moh..che faccio??

grazie e buona serata!
Francesca







Edited by - pidue on 02/23/2007 17:23:57
[/quote]
[/quote]
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.