Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Scollegamenti continui. Mi controllate il LOG di H Opzioni
rupertin
Inviato: Sunday, June 17, 2007 4:35:36 PM
Rank: Member

Iscritto dal : 6/17/2007
Posts: 0
Logfile of HijackThis v1.99.1
Scan saved at 16.34.30, on 17/06/2007
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
D:\WINNT\System32\Ati2evxx.exe
D:\Programmi\Alwil Software\Avast4\ashServ.exe
D:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\Tmntsrv.exe
d:\winnt\system32\winlogon.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\pccntupd.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\explorer.exe
D:\WINNT\System32\spoolw.exe
D:\WINNT\System32\igfxsvc.exe
D:\WINNT\System32\pctspk.exe
D:\WINNT\System32\atiptaxx.exe
D:\Programmi\Alwil Software\Avast4\ashWebSv.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\Pop3trap.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\WebTrapNT.exe
D:\Programmi\ScanSoft\OmniPageSE\opware32.exe
D:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
D:\Programmi\PopUp Killer\popupkiller.EXE
D:\Programmi\QuickTime\qttask.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
D:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe
D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
D:\WINNT\System32\internat.exe
D:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
D:\WINNT\System32\spoolw.exe
D:\WINNT\System32\igfxsvc.exe
D:\Programmi\Trend Micro\PC-cillin 7.5\PNTIOMON.exe
D:\Programmi\Nikon\PictureProject\NkbMonitor.exe
D:\Programmi\Microsoft Office\Office\1040\msoffice.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xoomer.virgilio.it/plqros/panorama.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.repubblica.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programmi\google\googletoolbar4.dll
O2 - BHO: H - {C9905EF0-610F-4404-9030-A3F345D069F5} - D:\WINNT\System32\comi.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programmi\google\googletoolbar4.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programmi\Trend Micro\PC-cillin 7.5\Pop3trap.exe"
O4 - HKLM\..\Run: [WebTrapNT.exe] "D:\Programmi\Trend Micro\PC-cillin 7.5\WebTrapNT.exe"
O4 - HKLM\..\Run: [Omnipage] D:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] D:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "D:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [yapornobiwe3it] D:\yapornobiwe3it\yapornobiwe3it[1].exe -t
O4 - HKLM\..\Run: [PopUpKiller] D:\Programmi\PopUp Killer\popupkiller.EXE
O4 - HKLM\..\Run: [webscan] D:\Programmi\Acceleration Software\Anti-Virus\stopsignav.exe -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "D:\Programmi\Hamlet HDSL640S USB ADSL Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [lzzefa.exe] D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] D:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [spoolw] D:\WINNT\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] D:\WINNT\System32\igfxsvc.exe
O4 - Startup: imfe.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitoraggio in tempo reale.lnk = D:\Programmi\Trend Micro\PC-cillin 7.5\PNTIOMON.exe
O4 - Global Startup: NkbMonitor.exe.lnk = D:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.repubblica.it/
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.trafficredlight.net/11679-23.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1C83179-9FCB-4D56-ACF8-85F2ED819200}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - D:\Programmi\Trend Micro\PC-cillin 7.5\Tmntsrv.exe

Sponsor
Inviato: Sunday, June 17, 2007 4:35:36 PM

 
pidue
Inviato: Sunday, June 17, 2007 7:12:03 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, ti avverto che sarà dura, ti consiglio di fare una stampa della risposta.

Chiudi HijackThis in una cartella a lui dedicata (possibilmente non sul desktop), altrimenti perdi i backup;

<b>disattiva il ripristino configurazione del sistema</b>:

<b>avvia il computer in modalità provvisoria</b>:

<b>rendi visibili le cartelle nascoste in questo modo</b>:
da Risorse del computer:
Strumenti >> Opzioni cartella >> visualizzazione;
metti la spunta su:
<i>Visualizza file e cartelle nascoste</i>;
togli la spunta da:
<i>Nascondi file protetti del sistema(consigliato)</i>

Avvia hijackthis, con tutte le applicazioni chiuse, premi su <b>Do a system scan only</b> , spunta ed elimina <b>(fix checked)</b> le seguente righe:


<font color=red>
O2 - BHO: H - {C9905EF0-610F-4404-9030-A3F345D069F5} - D:\WINNT\System32\comi.dll (file missing)
O4 - HKLM\..\Run: [yapornobiwe3it] D:\yapornobiwe3it\yapornobiwe3it[1].exe –t
O4 - HKLM\..\Run: [lzzefa.exe] D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
O4 - HKCU\..\Run: [spoolw] D:\WINNT\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] D:\WINNT\System32\igfxsvc.exe
O4 - Startup: imfe.exe
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.trafficredlight.net/11679-23.exe
</font id=red>


Cerca questo file ed eliminalo, se lo trovi. Purtroppo non è dato il percorso:

<font color=red>imfe.exe</font id=red>

Riavvia il computer normalmente, scarica <b>Avenger</b>
http://swandog46.geekstogo.com/avenger.zip
decomprimilo, lancialo con un doppio clic. Poi esegui la seguente procedura alla lettera:

<b>ATTENZIONE</b>
Siccome non conosco Windows 2000, devi ovviamente scrivere per intero le parole <b>AMMINI~1</b> e <b>IMPOST~1</b>, poi controlla che sia scritto effettivamente <b>comi</b>, e non <b>com1</b>. Se questo file (e/o l'exe nella cartella <b>temp</b>) non si cancellano, con tutta probabilità hai un parassita che risponde al nome di <b>LinkOptomizer</b> o un suo discendente e allora sarà ancora più dura.


- Seleziona <b>Input Script Manually</b>;
- Clicca sulla lente di ingrandimento;
- si apre una finestra bianca con scritto in cima <b>View/edit script</b>;
- copia e incolla le seguenti stringhe in rosso <b>così come stanno </b>;

<font color=red>files to delete:
D:\WINNT\System32\igfxsvc.exe
D:\WINNT\System32\spoolw.exe
D:\WINNT\System32\comi.dll
D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
</font id=red>

- clicca sul tasto <b>Done</b>;
- poi clicca sull'icona del semaforo;
- Rispondi Yes;
- ll pc dovrebbe riavviarsi ( se così non fosse, fallo tu).

Se Avenger ti fa storie devi eliminare un file alla volta.

Riavvia Avenger, questa volta incolla questa stringa:

<font color=red>
Folders to Delete:
D:\yapornobiwe3it
</font id=red>

e rifai la procedura come sopra.


Da Start >> Esegui, incolla la stringa <b>%temp%</b> ed elimina tutti file della cartella temp;

segui il punto <b>1</b> al seguente link:
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx

svuota il cestino;

fai un controllo antivirus a questo indirizzo:
http://security.symantec.com/sscv6/default.asp?productid=globalsitesandlangid=itandvenid=sym


<b>Alla fine:</b>

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo;
riposta un log aggiornato.



Edited by - pidue on 06/17/2007 19:19:44



rupertin
Inviato: Monday, June 18, 2007 9:06:08 AM
Rank: Member

Iscritto dal : 6/17/2007
Posts: 0
Mi puoi spiegare meglio la seconda parte della tua risposta? Dopo aver scaricato Avenger dove devo scrivere le parole AMINI e IMPOST e cosa significa controlla che sia scritto effettivamente comi e non com1?
pidue
Inviato: Monday, June 18, 2007 2:19:03 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
- Seleziona <b>Input Script Manually</b>;
- Clicca sulla lente di ingrandimento;
- si apre una finestra bianca con scritto in cima <b>View/edit script</b>;
- copia e incolla le seguenti stringhe in rosso <b>così come stanno </b>;

<center><img src="http://img442.imageshack.us/img442/608/immagineqg9.jpg" border=0></center>

<center><img src="http://img442.imageshack.us/img442/7444/immagine2gq2.jpg" border=0></center>


<font color=red>files to delete:
D:\WINNT\System32\igfxsvc.exe
D:\WINNT\System32\spoolw.exe
D:\WINNT\System32\comi.dll
D:\DOCUME~1\AMMINI~1\IMPOST~1\Temp\lzzefa.exe
</font id=red>

- clicca sul tasto <b>Done</b>;
- poi clicca sull'icona del semaforo;
- Rispondi Yes;
- ll pc dovrebbe riavviarsi ( se così non fosse, fallo tu).

Se leggi bene, nella terza riga c'è un file che si chiama <b>comi.dll</b>. Controlla che sia scritto realmente così.







rupertin
Inviato: Monday, June 18, 2007 8:13:31 PM
Rank: Member

Iscritto dal : 6/17/2007
Posts: 0
Ho fatto tutti i passaggi che mi avete indicato. Mi manca l'ultimo cioe' Avanger. Quando cerco di aprire il file Avanger mi compare un messaggio di scanzione dall'Avast che dice "temp.avanger.exe e' infettato da virsus win32 Troian" e l'Avanger non si apre. Come posso fare per aprirlo? Grazie
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.