Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

VBS:Malware-gen,please Help mi date un'occhiata al mio log hijack Opzioni
wincensic
Inviato: Sunday, February 21, 2010 9:49:44 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
Questo il log di Malwarebytes' Anti-Malware 1.44

Si, ho trovato e cancellato "internet connection", faccio una ricerca manuale dei crack e ti faccio sapere






Versione del database: 3747
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21/02/2010 21.45.36
mbam-log-2010-02-21 (21-45-36).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|)
Elementi scansionati: 213997
Tempo trascorso: 1 hour(s), 45 minute(s), 25 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
wincensic
Inviato: Sunday, February 21, 2010 9:56:40 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
Questo il report di FindAWF.

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report
wincensic
Inviato: Sunday, February 21, 2010 9:58:56 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
Avira mi ha segnalato un nuovo malware, praticamente lo stesso di uno già precedentemente messo in quarantena WORM/Sdbot.21176.1.....
shapiro
Inviato: Sunday, February 21, 2010 10:02:01 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
Avira mi ha segnalato un nuovo malware, praticamente lo stesso di uno già precedentemente messo in quarantena WORM/Sdbot.21176.1.....


cioe'? con lo stesso nome e la stessa estensione?
wincensic
Inviato: Sunday, February 21, 2010 10:31:29 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
La tipologia di WORM è la stessa, la localizzazione e l'estensione del file era diversa.Ora entrambi in quarantena.....
shapiro
Inviato: Monday, February 22, 2010 8:53:11 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
prova ad aggiornare avira e ripeti la scansione, vedi se rileva ancora qualche minaccia

volevo chiederti

quando lanci il programma locate ti appare una finestra come questa?



sarebbe molto utile se riuscissi a farlo partire, potremmo vedere se nel pc c'e' ancora qualche residuo dell'Instant Access

fai anche una scansione con virit da modalita' provvisoria

aggiorna il programma e finita la scansione posta il log che rilascia
wincensic
Inviato: Monday, February 22, 2010 9:26:12 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
Si la schermata di locate è la stessa....e anche la ricerca porta sempre lo stesso risultato TRIALOC.DL_

Faccio un ulteriore scansione con Avira e virt ed allego report....thanks
shapiro
Inviato: Monday, February 22, 2010 9:29:44 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
puoi farmi uno screen shot della schermata con l'errore?
wincensic
Inviato: Monday, February 22, 2010 10:07:39 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
Questo il log di Avira

Avira AntiVir Personal
Data del file di report: lunedì 22 febbraio 2010 21:31

Ricerca di 1783685 virus e programmi indesiderati.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : ACER-DACB8F28A2

Informazioni sulla versione:
BUILD.DAT : 9.0.0.22 21699 Bytes 23/01/2010 00:33:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:26:42
AVSCAN.DLL : 9.0.3.0 47873 Bytes 03/03/2009 10:14:30
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:58
LUKERES.DLL : 9.0.2.0 12545 Bytes 03/03/2009 10:15:16
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:33:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:34:26
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 13:34:42
VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 13:34:42
VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 13:34:42
VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 13:34:42
VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 13:34:42
VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 13:34:42
VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 13:34:44
VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 13:34:44
VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 13:34:44
VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 13:34:44
VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 13:34:44
VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 13:34:48
VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 13:34:48
VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 13:34:50
VBASE017.VDF : 7.10.3.199 76800 Bytes 04/02/2010 13:34:50
VBASE018.VDF : 7.10.3.222 64512 Bytes 05/02/2010 13:34:50
VBASE019.VDF : 7.10.3.243 75776 Bytes 08/02/2010 13:34:52
VBASE020.VDF : 7.10.4.6 81920 Bytes 09/02/2010 13:34:52
VBASE021.VDF : 7.10.4.30 78848 Bytes 11/02/2010 13:34:54
VBASE022.VDF : 7.10.4.50 107520 Bytes 15/02/2010 13:34:56
VBASE023.VDF : 7.10.4.62 105472 Bytes 15/02/2010 13:34:58
VBASE024.VDF : 7.10.4.85 111616 Bytes 17/02/2010 13:35:00
VBASE025.VDF : 7.10.4.109 122368 Bytes 21/02/2010 19:12:12
VBASE026.VDF : 7.10.4.110 2048 Bytes 21/02/2010 19:12:12
VBASE027.VDF : 7.10.4.111 2048 Bytes 21/02/2010 19:12:12
VBASE028.VDF : 7.10.4.112 2048 Bytes 21/02/2010 19:12:12
VBASE029.VDF : 7.10.4.113 2048 Bytes 21/02/2010 19:12:12
VBASE030.VDF : 7.10.4.114 2048 Bytes 21/02/2010 19:12:12
VBASE031.VDF : 7.10.4.122 95744 Bytes 22/02/2010 19:12:14
Motore : 8.2.1.172
AEVDF.DLL : 8.1.1.3 106868 Bytes 20/02/2010 13:35:40
AESCRIPT.DLL : 8.1.3.16 827771 Bytes 20/02/2010 13:35:38
AESCN.DLL : 8.1.4.0 127348 Bytes 20/02/2010 13:35:34
AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44
AERDL.DLL : 8.1.4.2 479602 Bytes 20/02/2010 13:35:32
AEPACK.DLL : 8.2.0.8 426357 Bytes 20/02/2010 13:35:28
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20/02/2010 13:35:26
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20/02/2010 13:35:22
AEHELP.DLL : 8.1.10.0 237942 Bytes 20/02/2010 13:35:10
AEGEN.DLL : 8.1.1.87 369013 Bytes 20/02/2010 13:35:08
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26
AECORE.DLL : 8.1.11.1 184694 Bytes 20/02/2010 13:35:04
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:48:04
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:14:08
AVREP.DLL : 8.0.0.7 159784 Bytes 20/02/2010 13:35:42
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:25:12
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:46
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:37:14
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:21:40
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:30
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 13:11:52
RCTEXT.DLL : 9.0.73.0 87809 Bytes 03/11/2009 07:16:44

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: c:\programmi\avira\antivir desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, D:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio
Categorie irregolari delle minacce..........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Avvio della scansione: lunedì 22 febbraio 2010 21:31

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Sono stati esaminati '57674' oggetti, sono stati rilevati '0' oggetti nascosti.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'skypePM.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wuauclt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'dllhost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wmiapsrv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'FXSSVC.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'VMCService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'PREVX.EXE' - '0' modulo(i) scansionato(i)
Scansione processo 'MCRDSVC.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'VIRITSVC.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'RegSrvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'WanMiniport1st_srv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SRVANY.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'McciCMService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'LSSrvc.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ehSched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ehRecvr.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'PREVX.EXE' - '0' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'admServ.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'RtkBtMnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'Skype.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'GoogleUpdate.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'MONLITE.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'MobileConnect.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'RTHDCPL.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'Monitor.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'EHMSAS.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'ehtray.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'rundll32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'GoogleCrashHandler.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'EXPLORER.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'LVPrcSrv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'S24EvMon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'EvtEng.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'btwdins.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'SVCHOST.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)
55 processi scansionati con '55' Moduli

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'D:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 64 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\' <ACER>
C:\hiberfil.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
Inizia con la scansione di 'D:\' <ACERDATA>


Fine della scansione: lunedì 22 febbraio 2010 22:04
Tempo impiegato: 32:11 Minuto(i)

La scansione è stata completamente eseguita.

8179 Directory scansionate
282311 I file sono stati scansionati
0 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
0 File spostati in quarantena
0 File rinominati
2 Impossibile scansionare i file
282309 File non infetti
8122 Archivi scansionati
2 Avvisi
2 Note
57674 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti
wincensic
Inviato: Monday, February 22, 2010 11:22:38 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
non riesco ad incollare il printscreen...cmq è quello che tu hai allegato con la descrizione del file TRIALOC.DL_

shapiro
Inviato: Tuesday, February 23, 2010 10:13:48 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
abilita la visualizzazione dei file nascosti (apri una cartella qualsiasi, vai su Strumenti--> Opzioni cartella--> Visualizzazione e spunta Visualizza file e cartelle nascosti, voglio controllare se questo xiao.vbs si e' riformato, lo vedo nel log di combofix dopo che lo hai eliminato

segui il percorso e se lo vedi, eliminalo

c:\windows\system32\wbem\xiao.vbs
wincensic
Inviato: Tuesday, February 23, 2010 7:31:44 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
Fatto...
shapiro
Inviato: Tuesday, February 23, 2010 7:36:28 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
mi posti un log di hijackthis per un controllo?

riscontri qualche anomalia col pc?
wincensic
Inviato: Tuesday, February 23, 2010 7:47:51 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
Ecco qui....

Cmq il pc non mi alcuna anomalia ora.....speriamo.....

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 19.47.28, on 23/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Google\Update\1.2.183.13\GoogleCrashHandler.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Programmi\VEXPLite\MONLITE.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Documents and Settings\Vincenzo Siciliano\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\VINCEN~1\IMPOST~1\Temp\RtkBtMnt.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programmi\Prevx\prevx.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Common Files\Motive\McciCMService.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\VEXPLite\viritsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\Prevx\prevx.exe
C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Vincenzo Siciliano\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Vincenzo Siciliano\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Vincenzo Siciliano\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Vincenzo Siciliano\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Programmi\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/defaults/su/*http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\Programmi\VEXPLite\MONLITE.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Vincenzo Siciliano\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://C:\Programmi\Chessmaster Challenge\Images\stg_drm.ocx
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file://C:\Programmi\Chessmaster Challenge\Images\armhelper.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Symantec pcAnywhere Host Service (awhost32) - Unknown owner - C:\Programmi\Symantec\pcAnywhere\awhost32.exe (file missing)
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\Prevx\prevx.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Servizio di Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Programmi\Common Files\Motive\McciCMService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\Programmi\VEXPLite\viritsvc.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programmi\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

--
End of file - 11261 bytes
shapiro
Inviato: Tuesday, February 23, 2010 8:14:53 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
per immunizzare la chiavetta puoi scegliere cosa usare

per esempio qui puoi trovare qualcosa di molto interessante

anche Panda USB Vaccine niente male

per la pulizia invece usa ccleaner ed eseguilo come ti ho indicato prima

Avvia Hijack e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"


Code:
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe (file missing)

    O23 - Service: Symantec pcAnywhere Host Service (awhost32) - Unknown owner - C:\Programmi\Symantec\pcAnywhere\awhost32.exe (file missing)









wincensic
Inviato: Tuesday, February 23, 2010 8:25:16 PM
Rank: AiutAmico

Iscritto dal : 2/15/2010
Posts: 55
Fatto anche questo....
paolopa
Inviato: Tuesday, February 23, 2010 8:27:08 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
@shapiro:scusa l ot,che novita' ha questo hijack beta?
shapiro
Inviato: Wednesday, February 24, 2010 1:01:11 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
il log e' a posto

se non hai altri problemi possiamo chiudere il topic

@paolopa


sembra che la nuova versione e' in grado di pulire anche il winlogon infetto, anche se io preferisco agire a mano (dopo una brutta esperienza)

se puo' interessarti sembra che hijackthis potrebbe essere sostituito da hijackhunter lunghissimo nella scansione e ancora poco conosciuto

preferisco il buon vecchio hijachthis
paolopa
Inviato: Wednesday, February 24, 2010 1:10:56 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
grazie mille,ci daro' un occhiata,ma sono gia un impedito con hijack,quindi solamente a scopo di curiosita'.
shapiro
Inviato: Wednesday, February 24, 2010 1:12:26 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
la scansione e' lunghissima, ci ho dovuto rinunciare

se hai il tempo e LA PAZIENZA lo puoi provare, ma attento a non toccare niente

ne parlano anche qui
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.