Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Log Hijack this (xp)

6 pages: [1] 2 3 4 5 6
Log Hijack this (xp) Opzioni
Topic Precedente · Topic Sucessivo
saddy4
Inviato: Friday, July 10, 2009 6:38:13 PM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
Mi chiamo Loris e sono stato infettato. Avast mi rileva all'avvio un file .bat che tutte le volte che viene cancellato si rigenera, inoltre all'interno dei seguenti percorsi(e forse altri ma non ne ho la certezza) C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files e C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia sono presenti due cartelle .IE5 all'interno delle quali avast mi rileva un virus, ogni volta che elmino il file infetto si rigenera immediatamente. Ho tenta a rimuovere entrambe le cartelle manualmente ma si ricreano cartelle insieme ai file al loro interno.

Faccio questa modifica perchè ho dimenticato due cose importanti:
1_ Dopo il virus non riesco più ad installare nè malware byte's nè antivir(per questo ora ho avast)
2_ Grazie in anticipo a chiunque guarderà e cercherà di risolvere la mia richiesta, e mi scuso se non l'ho messo subito ma questo virus mi ha sfinito e mi ha distrutto i nervi.Brick wall




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.30.42, on 10/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\services.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MagicDisc\MagicDisc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\reader_s.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7070
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)
O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Documents and Settings\Saddy4\Dati applicazioni\Toolbars\Toolbar fuer eBay\ebay.dll
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Programmi\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKCU\..\Run: [uTorrent] "C:\Programmi\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Saddy4\reader_s.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - S-1-5-18 Startup: MagicDisc.lnk = C:\Programmi\MagicDisc\MagicDisc.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: MagicDisc.lnk = C:\Programmi\MagicDisc\MagicDisc.exe (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Programmi\MagicDisc\MagicDisc.exe
O4 - Global Startup: SIDA.Connect.lnk = C:\AQ\supdate.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: bw+0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: offline-8876480 - {1FE0379B-6009-4AC4-8837-E674517692D8} - C:\Programmi\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Unknown owner - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programmi\AskBarDis\bar\bin\ASKUpgrade.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Programmi\HP Games\HP Game Console\GameConsoleService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe

--
End of file - 19115 bytes
Torna in alto
 
Sponsor
Inviato: Friday, July 10, 2009 6:38:13 PM

 
Torna in alto
 
r16
Inviato: Saturday, July 11, 2009 12:04:55 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Ti dico subito, che le infezioni che hai, sono in gran parte, dovute, alla mancanza di aggiornamenti da parte tua.
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
Posta il log.

------------------------------------------------------------------------------------------------------
COMBOFIX
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.
E' probabile che ti siano inviati messaggi dall'antivirus, tu ignorali.
Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui.

Alla fine riposta un log aggiornato di HJT.
Torna in alto
 
saddy4
Inviato: Saturday, July 11, 2009 12:12:40 AM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
Io farò entrambe le cose però spero di riuscire ad installare malware byte's perchè come ho scritto nel post ho già provato e mi da degli errori durante l'installazione che non lo fanno funzionare. (nel caso in cui succeda anche questa volta copierò ciò che dicono gli errori, se ti serve uno screen dimmelo e lo faccio, poi li posterò qua.)
Torna in alto
 
r16
Inviato: Saturday, July 11, 2009 12:15:02 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Non credo che funzioni Malwarebytes, ma prova.
E anche Combofix.
Al limite agiremo a "manina".
Torna in alto
 
saddy4
Inviato: Saturday, July 11, 2009 12:35:27 AM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
Come da te previsto nè malware byte's nè combofix funzionano correttamente. Il primo si installa ma dando 4 errori e problemi vari, il secondo non si installa proprio.
Aspetto istruzioni per il procedimenti a "manina" e intanto grazie per l'aiuto e il tempo che impieghi ad aiutarmi.

Metto qui sotto il link degli screen degli errori se ti possono servire, non li metto come immagine perchè occuperebbero spazio inutili sul forum rallentando il caricamento della pagina.

malware byte's:
Screen numero 1
Screen numero 2
Screen numero 3
Screen numero 4

Combofix:
Primo e unico screen
Torna in alto
 
r16
Inviato: Saturday, July 11, 2009 12:36:51 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ecco il "discorso a manina":

Disattiva il ripristino configurazione di sistema, e tienilo disattivato, fino alla soluzione del problema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121
Avvia in modalità provvisoria http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122
Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=%s
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)
O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Documents and Settings\Saddy4\Dati applicazioni\Toolbars\Toolbar fuer eBay\ebay.dll
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Saddy4\reader_s.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programmi\AskBarDis\bar\bin\ASKUpgrade.exe (file missing)

Trova e cancella i file in rosso:
C:\WINDOWS\services.exe
C:\WINDOWS\System32\reader_s.exe
C:\Documents and Settings\Saddy4\reader_s.exe

Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a Cancella i file in Windows Temp solo se più vecchi di 48 ore

Riavvia il pc.

Esegui questo Tooll:
http://www.avg.com/virus-removal.ndi-67762

N.B:
Quando ti verrà richiesto, RIAVVIA il pc.
Torna in alto
 
saddy4
Inviato: Saturday, July 11, 2009 1:31:02 AM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
Ho fatto tutto, l'ho fatto due volte(per quanto possibile) e il risultato è questo:

1_ quando ho aperto il pc una schermata è aparsa da avast dicendo: "reader_s.exe inserito in esecuzione automatica" o qualcosa di simile
2_ ho fatto una rapida ricerca tramite la funzione cerca sul disco locale c: e i file che mi hai chiesto di eliminare ci sono ancora nonostante li avessi spostati nel cestino e lo avessi svuotato con ccleaner in modalità gutmann.
3_ il file .bat che avast mi trovava ogni volta che avviavo il pc è sparito
4_ malware byte's non si installa comunque.
5_ il secondo link che mi hai dato mi da errore e non carica la pagina.

IMPORTANTE: quando apro il link di avast che tu mi hai fornito o provo ad aprire anche il semplice link www.avg.com mi appare la pagina di ask! O_O"
Ho provato a togliere il componente aggiuntivo dal mio firefox riguardante la barra di ask. il problema persiste.
Torna in alto
 
r16
Inviato: Saturday, July 11, 2009 11:59:00 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao saddy4 .
Vorrei chiarirti cosa ti sei preso.
Il virus si chiama "Virut".
Questo bastardo, non sostituisce i files legittimi o crea files nuovi, semplicemente si inietta negli eseguibili già esistenti che, così, non si possono eliminare con i normali tools.
Adesso, molto probabilmente, anche riuscendo a fare qualche scansione, è facilissimo, che ti venga eliminato qualche file legittimo, ma che all'interno si trova il virus.
Il risultato, potrebbe essere devastante. (non riuscirai più ad accedere al S.O)
Dimmi se vuoi continuare, o passare direttamente alla formattazione.

Se desideri continuare, esegui alla lettera queste indicazioni:
Controlla nel Task Manager se trovi questo processo:
reader_s.exe
E anche all'avvio, (per mezzo di CCleaner, clicca su "strumenti e poi"Avvio")


Scarica Norman Malware Cleaner:
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
accedi al sistema in modalità provvisoria

lancia Norman ed esegui una scansione completa
al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman1 e riavvia il sistema
accedi nuovamente al sistema in modalità provvisoria rilancia Norman ed esegui una seconda scansione completa al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman2 e:
riavvia il sistema in modalità normale

Posta i log in questo modo:
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Torna in alto
 
saddy4
Inviato: Saturday, July 11, 2009 12:35:19 PM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
Prima di procedere ti comunicherò le mie intenzioni: procederò con il metodo folle e sperò che mi vada bene. Le abbiamo provate tutte fin ora quindi proviamo il metodo drastico, se funziona senza morire tutto bene, in caso contrario formatterò, cosa che avrei dovuto fare comunque. Seguo le indicazioni da te scritte e se il pc mi va all'altro mondo e devo formattarlo cerco di comunicare qual sul forum cosa è successo tramite il pc di mio padre. Grazie di tutto r16, cerco di eseguire questa missione di non ritorno, e se ritornerò con il pc vivo te ne sarò infinitamente grato.
Torna in alto
 
saddy4
Inviato: Saturday, July 11, 2009 12:47:34 PM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
ecco le novità.
il virus mi blocca il link di norman.

Posso effettuare questa operazione però:
1_ Vado sul secondo pc che ho in casa
2_ Scarico norman(ho già provato e il link è corretto perchè da lì posso scaricarlo)
3_ Lo metto su chiave usb
4_ Lo porto sul mio pc e lo installo seguendo il tuo procedimento

E' una cosa fattibile o rischio di infettare l'usb quindi hai altre alternative? E poi, non è che se mi blocca il link mi blocca anche il setup come succede con malware byte's e combofix?
Torna in alto
 
r16
Inviato: Saturday, July 11, 2009 1:07:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
E' un rischio grosso.
Nel momento che inserisci la chiavetta, potrebbe partire l'"autorum.inf" e ti infetta la chiavetta.
Ti lascio immaginare, se poi detta chiavetta, la inserisci nel pc di tuo padre......
Hai il CD originale di installazione di Windows?
Torna in alto
 
saddy4
Inviato: Saturday, July 11, 2009 1:09:13 PM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
yes.^^
Torna in alto
 
r16
Inviato: Saturday, July 11, 2009 1:14:57 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Allora leggi questo link:
http://maxdor.beepworld.it/ripararewindowsxp.htm
Io punterei direttamente al punto 4.
Ma prenditi 10 minuti, e leggi anche gli altri punti.
L'importante, è che esegui ALLA LETTERA, tutti i passaggi, senza saltarne nessuno, ed eseguirli correttamente.
Torna in alto
 
saddy4
Inviato: Saturday, July 11, 2009 1:21:07 PM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
r16 ha scritto:
Allora leggi questo link:
http://maxdor.beepworld.it/ripararewindowsxp.htm
Io punterei direttamente al punto 4.
Ma prenditi 10 minuti, e leggi anche gli altri punti.
L'importante, è che esegui ALLA LETTERA, tutti i passaggi, senza saltarne nessuno, ed eseguirli correttamente.


Farò tutto alla lettera seguendo le istruzioni lì. Mediterò su quali punti provare, al momento penso 3 e 4, per quanto riguarda quello che tu mi hai scritto però io riparo solo windows, il virus non potrebbe essere in altri file che non hanno a che fare con windows con la conclusione che terminato quei processi riavvio il pc e il sistema mi si infetta di nuovo?

NB: sto provando a masterizzar norman sun cd in modo che non vi sia la possibilità di trasmissione virus e cerco di farlo partire...sperando che non mi venga bloccato il setup.
Torna in alto
 
r16
Inviato: Saturday, July 11, 2009 1:27:31 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Certo saddy4 ....
Ma stiamo per provarle proprio tutte...
Se ti riesce, fai subito le scansioni che ti ho consigliato.
Disistalla Combofix, (è danneggiato) e procedi a una nuova installazione.
Ti suggerisco, (se và bene) l'immediata installazione di Avira:
http://www.aiutamici.com/software?ID=10908
E lo configuri come da guida:
http://www.zeusnews.it/zz_upload/PSV/Guida%20completa%20di%20%20AVIRA%20Antivir%209.pdf
Torna in alto
 
saddy4
Inviato: Saturday, July 11, 2009 8:49:18 PM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
Mio carissimo r16 sono circa 6 ore che non scrivo qua ed ho notizie interessanti. Da cd sono riuscito a far partire norman e ho i log da te richiesti. Purtroppo ora non riesco a connettermi più dal mio pc e nemmeno a ricreare una connessione. Ti posto qua i due log di norma come da te richiesto alcuni post fa. Spero che questo sforzo sia servito. Aspetto tuo notizie e grazie ancora, mi sto rendendo conto che tutto ciò ti sta facendo davvero dannare.

Norman1.txt
Norman2.txt
Torna in alto
 
r16
Inviato: Sunday, July 12, 2009 12:40:13 AM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Norman ha fatto una strage.
Purtroppo, come ti dicevo, qualche file legittimo si è dovuto sacrificare.
Leggi questo:
http://www.ilbloggatore.com/2009/04/29/riparare-la-connessione-a-internet-con-xp-tcpip-repair-2/
E quest'altro:
http://www.felicebalsamo.it/vis_dettaglio.php?id_livello=437

Vedi se la connessione funziona.

Oltre alla connessione quali altri problemi riscontri?

Fai questa operazione:
Inserisci il CD di Windows.
Poi fai:
Start\ Esegui\ copia-incolla questo comando sfc /scannow e batti Invio
Lascia finire la scansione.
Estrai il CD.
Riavvia il pc.

Poi fai :
Start\Esegui\ digita: services.msc, Si apre la pagina dei "Servizi"
Controlla se TUTTI questi "Servizi" siano avviati, e siano in Automatico:
Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS).
Se ne trovi qualcuno in "Manuale, o Disabilitato, lo riporti in Automatico, ricorda di RIAVVIARE il pc.
Per avviare un servizio, clicca con il tasto destro sul servizio, Proprietà >Automatico > Ok > Avvia > Ok.
Torna in alto
 
saddy4
Inviato: Sunday, July 12, 2009 8:14:02 PM

Rank: AiutAmico

Iscritto dal : 7/10/2009
Posts: 153
Mio caro r16, io penso che ti devo fare un regalo. Ho fatto quello da te detto, ho seguito le indicazini dei link che mi hai dato per riattivare la connessione ma non erano serviti però quando ho fatto la scansione con il cd di xp e ho riavviato la connessione era da sola al suo posto e perfettamente funzionante. Ho anche il passaggio successivo attivando e mettendo in automatico i processi che mi hai detto. Io di problemi ulteriori non ne riscontro, internet ora va, ho controllato l'audio che tempo fa un un'altro virus mi aveva rimosso e funziona.
Non penso ci siano altri problemi, hai altri consigli? E soprattuto: ora sono completamente pulito dal virus?

ps: r16, grazie davvero, senza il tuo aiuto avrei già formattatto.
Torna in alto
 
r16
Inviato: Sunday, July 12, 2009 10:52:29 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Vorrei facessi un ultimo sforzo per controllare se tutto è in regola:

SYSTEM SCAN

scaricalo sul desktop
http://www.suspectfile.com/systemscan
Aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.

NB:
la durata della scansione può risultare lunga, potrebbe addirittura sembrare che il programma non stia lavorando, non preoccuparti non è così.
SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.
Torna in alto
 
Utenti presenti in questo topic
Guest

6 pages: [1] 2 3 4 5 6

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Log Hijack this (xp)


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.