Logfile of HijackThis v1.99.1
Scan saved at 16.34.30, on 17/06/2007
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
D:\WINNT\System32\Ati2evxx.exe
D:\Programmi\Alwil Software\Avast4\ashServ.exe
D:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\Tmntsrv.exe
d:\winnt\system32\winlogon.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\pccntupd.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\explorer.exe
D:\WINNT\System32\spoolw.exe
D:\WINNT\System32\igfxsvc.exe
D:\WINNT\System32\pctspk.exe
D:\WINNT\System32\atiptaxx.exe
D:\Programmi\Alwil Software\Avast4\ashWebSv.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\Pop3trap.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\WebTrapNT.exe
D:\Programmi\ScanSoft\OmniPageSE\opware32.exe
D:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
D:\Programmi\PopUp Killer\popupkiller.EXE
D:\Programmi\QuickTime\qttask.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
D:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe
D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
D:\WINNT\System32\internat.exe
D:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
D:\WINNT\System32\spoolw.exe
D:\WINNT\System32\igfxsvc.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\PNTIOMON.exe
D:\Programmi\Nikon\PictureProject\NkbMonitor.exe
D:\Programmi\Microsoft Office\Office\1040\msoffice.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xoomer.virgilio.it/plqros/panorama.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.repubblica.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programmi\google\googletoolbar4.dll
O2 - BHO: H - {C9905EF0-610F-4404-9030-A3F345D069F5} - D:\WINNT\System32\comi.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmi\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programmi\Trend Micro\PC-cillin 7.5\Pop3trap.exe"
O4 - HKLM\..\Run: [WebTrapNT.exe] "D:\Programmi\Trend Micro\PC-cillin 7.5\WebTrapNT.exe"
O4 - HKLM\..\Run: [Omnipage] D:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] D:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [yapornobiwe3it] D:\yapornobiwe3it\yapornobiwe3it[1].exe -t
O4 - HKLM\..\Run: [PopUpKiller] D:\Programmi\PopUp Killer\popupkiller.EXE
O4 - HKLM\..\Run: [webscan] D:\Programmi\Acceleration Software\Anti-Virus\stopsignav.exe -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "D:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [lzzefa.exe] D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] D:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [spoolw] D:\WINNT\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] D:\WINNT\System32\igfxsvc.exe
O4 - Startup: imfe.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitoraggio in tempo reale.lnk = D:\Programmi\Trend Micro\PC-cillin 7.5\PNTIOMON.exe
O4 - Global Startup: NkbMonitor.exe.lnk = D:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.repubblica.it/
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.trafficredlight.net/11679-23.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1C83179-9FCB-4D56-ACF8-85F2ED819200}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - D:\Programmi\Trend Micro\PC-cillin 7.5\Tmntsrv.exe

Ciao, ti avverto che sarà dura, ti consiglio di fare una stampa della risposta.

Chiudi HijackThis in una cartella a lui dedicata (possibilmente non sul desktop), altrimenti perdi i backup;

<b>disattiva il ripristino configurazione del sistema</b>:

<b>avvia il computer in modalità provvisoria</b>:

<b>rendi visibili le cartelle nascoste in questo modo</b>:
da Risorse del computer:
Strumenti >> Opzioni cartella >> visualizzazione;
metti la spunta su:
<i>Visualizza file e cartelle nascoste</i>;
togli la spunta da:
<i>Nascondi file protetti del sistema(consigliato)</i>

Avvia hijackthis, con tutte le applicazioni chiuse, premi su <b>Do a system scan only</b> , spunta ed elimina <b>(fix checked)</b> le seguente righe:

---

<font color=red>
O2 - BHO: H - {C9905EF0-610F-4404-9030-A3F345D069F5} - D:\WINNT\System32\comi.dll (file missing)
O4 - HKLM\..\Run: [yapornobiwe3it] D:\yapornobiwe3it\yapornobiwe3it[1].exe –t
O4 - HKLM\..\Run: [lzzefa.exe] D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
O4 - HKCU\..\Run: [spoolw] D:\WINNT\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] D:\WINNT\System32\igfxsvc.exe
O4 - Startup: imfe.exe
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.trafficredlight.net/11679-23.exe
</font id=red>

---

Cerca questo file ed eliminalo, se lo trovi. Purtroppo non è dato il percorso:

<font color=red>imfe.exe</font id=red>

Riavvia il computer normalmente, scarica <b>Avenger</b>
http://swandog46.geekstogo.com/avenger.zip
decomprimilo, lancialo con un doppio clic. Poi esegui la seguente procedura alla lettera:

<b>ATTENZIONE</b>
Siccome non conosco Windows 2000, devi ovviamente scrivere per intero le parole <b>AMMINI~1</b> e <b>IMPOST~1</b>, poi controlla che sia scritto effettivamente <b>comi</b>, e non <b>com1</b>. Se questo file (e/o l'exe nella cartella <b>temp</b>) non si cancellano, con tutta probabilità hai un parassita che risponde al nome di <b>LinkOptomizer</b> o un suo discendente e allora sarà ancora più dura.


- Seleziona <b>Input Script Manually</b>;
- Clicca sulla lente di ingrandimento;
- si apre una finestra bianca con scritto in cima <b>View/edit script</b>;
- copia e incolla le seguenti stringhe in rosso <b>così come stanno </b>;

<font color=red>files to delete:
D:\WINNT\System32\igfxsvc.exe
D:\WINNT\System32\spoolw.exe
D:\WINNT\System32\comi.dll
D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
</font id=red>

- clicca sul tasto <b>Done</b>;
- poi clicca sull'icona del semaforo;
- Rispondi Yes;
- ll pc dovrebbe riavviarsi ( se così non fosse, fallo tu).

Se Avenger ti fa storie devi eliminare un file alla volta.

Riavvia Avenger, questa volta incolla questa stringa:

<font color=red>
Folders to Delete:
D:\yapornobiwe3it
</font id=red>

e rifai la procedura come sopra.


Da Start >> Esegui, incolla la stringa <b>%temp%</b> ed elimina tutti file della cartella temp;

segui il punto <b>1</b> al seguente link:
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx

svuota il cestino;

fai un controllo antivirus a questo indirizzo:
http://security.symantec.com/sscv6/default.asp?productid=globalsitesandlangid=itandvenid=sym


<b>Alla fine:</b>

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo;
riposta un log aggiornato.



Edited by - pidue on 06/17/2007 19:19:44

---

- Seleziona <b>Input Script Manually</b>;
- Clicca sulla lente di ingrandimento;
- si apre una finestra bianca con scritto in cima <b>View/edit script</b>;
- copia e incolla le seguenti stringhe in rosso <b>così come stanno </b>;

<center><img src="http://img442.imageshack.us/img442/608/immagineqg9.jpg" border=0></center>

<center><img src="http://img442.imageshack.us/img442/7444/immagine2gq2.jpg" border=0></center>


<font color=red>files to delete:
D:\WINNT\System32\igfxsvc.exe
D:\WINNT\System32\spoolw.exe
D:\WINNT\System32\comi.dll
D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
</font id=red>

- clicca sul tasto <b>Done</b>;
- poi clicca sull'icona del semaforo;
- Rispondi Yes;
- ll pc dovrebbe riavviarsi ( se così non fosse, fallo tu).

Se leggi bene, nella terza riga c'è un file che si chiama <b>comi.dll</b>. Controlla che sia scritto realmente così.

---