Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Mi controllate il log di hajack? avira mi dice che ho il trojan TR/Crypt ma non riesco a toglierlo in nessun modo...

2 pages: [1] 2
Mi controllate il log di hajack? avira mi dice che ho il trojan TR/Crypt ma non riesco a toglierlo in nessun modo... Opzioni
Topic Precedente · Topic Sucessivo
itac94
Inviato: Thursday, June 24, 2010 5:41:30 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.27.52, on 24/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\DNA\btdna.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\-------\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\-------\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\-------\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\-------\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\-------\Impostazioni locali\Dati applicazioni\Google\Chrome\Application\chrome.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=10148&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=71126
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programmi\facemoods.com\facemoods\1.3.62.1\facemoods.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\-------\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1274129322455
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FDDE7D5-8314-4C8D-B115-4920C77B6715}: NameServer = 85.37.17.58 85.38.28.94
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Programmi\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 8558 bytes
Torna in alto
 
Sponsor
Inviato: Thursday, June 24, 2010 5:41:30 PM

 
Torna in alto
 
paolopa
Inviato: Thursday, June 24, 2010 6:07:00 PM

Rank: AiutAmico

Iscritto dal : 10/14/2008
Posts: 2,777
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
se trova infezioni posta il log che ti rilascera'.
Torna in alto
 
cbbusto
Inviato: Thursday, June 24, 2010 6:38:31 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Non vorrei sbagliarmi ma a me il log sembra pulito, non so cosa ne pensa l'amico paolo.
Torna in alto
 
pidue
Inviato: Thursday, June 24, 2010 6:52:26 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
La dll in rosso è sospetta:
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programmi\facemoods.com\facemoods\1.3.62.1\facemoods.dll
Hai fatto la scansione in modalità provvisoria e dopo aver disattivato il Ripristino configurazione di sistema?
Torna in alto
 
itac94
Inviato: Thursday, June 24, 2010 9:51:10 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
paolopa ha scritto:
Scarica ed installa MalwareBytes:
clicca qui per il download : http://www.aiutamici.com/software?id=80346
Prima di fare la scansione AGGIORNALO. (è molto importante)
Esegui una scansione completa del sistema.
se trova infezioni posta il log che ti rilascera'.


in modalità provvisoria?
Torna in alto
 
itac94
Inviato: Thursday, June 24, 2010 9:54:15 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
pidue ha scritto:
La dll in rosso è sospetta:
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programmi\facemoods.com\facemoods\1.3.62.1\facemoods.dll
Hai fatto la scansione in modalità provvisoria e dopo aver disattivato il Ripristino configurazione di sistema?


si l'ho fatta in modalità provvisoria, ma non ho disattivato il ripristino e comunque mi segnalava 3 files infetti
Torna in alto
 
r16
Inviato: Thursday, June 24, 2010 10:14:08 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Non puoi postare il log di Malwarebytes?
Torna in alto
 
itac94
Inviato: Thursday, June 24, 2010 10:16:05 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
r16 ha scritto:
Ciao.
Non puoi postare il lo di Malwarebytes?

ok domattina posto il log
Torna in alto
 
r16
Inviato: Thursday, June 24, 2010 10:17:25 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Allora la scansione non l'hai fatta.
Perchè per postare un log, bastano 30 secondi.
Torna in alto
 
itac94
Inviato: Thursday, June 24, 2010 11:04:08 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
r16 ha scritto:
Allora la scansione non l'hai fatta.
Perchè per postare un log, bastano 30 secondi.


per la scansione in modalità provvisoria con malwarebites ci vuole 1 ora e 30... domani mattina posto il log...
Torna in alto
 
r16
Inviato: Thursday, June 24, 2010 11:05:16 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ah...và bene.Whistle
Ma guarda che se anche la fai in modalità normale, và bene lo stesso.
Torna in alto
 
itac94
Inviato: Friday, June 25, 2010 12:37:13 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
r16 ha scritto:
Ah...và bene.Whistle
Ma guarda che se anche la fai in modalità normale, và bene lo stesso.

Scusate per il ritardo ma ho avuto un contrattempo posterò il log verso le 5 e 30. mi scuso ancora.
Torna in alto
 
itac94
Inviato: Saturday, June 26, 2010 1:03:38 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
LOG MALWARE
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4238

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

26/06/2010 11.33.22
mbam-log-2010-06-26 (11-33-22).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 233801
Tempo trascorso: 1 ore, 40 minuti, 52 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

NUOVO LOG HAJACK
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.55.33, on 26/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=10148&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=71126
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programmi\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\DRIVEN~1\syncer\MCCITR~1.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\-------\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programmi\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1274129322455
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programmi\File comuni\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Programmi\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 6855 bytes

VECCHIO LOG AVIRA CHE MI SEGNALAVA IL TROJAN
Avira AntiVir Personal
Data del file di report: martedì 22 giugno 2010 10:22

Ricerca di 2228330 virus e programmi indesiderati.

Concesso in licenza a : Avira AntiVir Personal - FREE Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : DD8FC09B2C914EF

Informazioni sulla versione:
BUILD.DAT : 9.0.0.22 21699 Bytes 23/01/2010 00:33:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:26:40
AVSCAN.DLL : 9.0.3.0 47873 Bytes 03/03/2009 09:14:29
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:56
LUKERES.DLL : 9.0.2.0 12545 Bytes 03/03/2009 09:15:14
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 07:44:48
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 07:44:54
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 07:44:56
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 07:44:59
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 07:45:04
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 07:45:08
VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 07:45:08
VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 07:45:08
VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 07:45:09
VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 07:45:09
VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 07:45:09
VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 07:45:09
VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 07:45:10
VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 07:45:10
VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 08:47:11
VBASE016.VDF : 7.10.8.103 2048 Bytes 16/06/2010 08:47:11
VBASE017.VDF : 7.10.8.104 2048 Bytes 16/06/2010 08:47:11
VBASE018.VDF : 7.10.8.105 2048 Bytes 16/06/2010 08:47:11
VBASE019.VDF : 7.10.8.106 2048 Bytes 16/06/2010 08:47:11
VBASE020.VDF : 7.10.8.107 2048 Bytes 16/06/2010 08:47:11
VBASE021.VDF : 7.10.8.108 2048 Bytes 16/06/2010 08:47:11
VBASE022.VDF : 7.10.8.109 2048 Bytes 16/06/2010 08:47:11
VBASE023.VDF : 7.10.8.110 2048 Bytes 16/06/2010 08:47:11
VBASE024.VDF : 7.10.8.111 2048 Bytes 16/06/2010 08:47:12
VBASE025.VDF : 7.10.8.112 2048 Bytes 16/06/2010 08:47:12
VBASE026.VDF : 7.10.8.113 2048 Bytes 16/06/2010 08:47:12
VBASE027.VDF : 7.10.8.114 2048 Bytes 16/06/2010 08:47:12
VBASE028.VDF : 7.10.8.115 2048 Bytes 16/06/2010 08:47:12
VBASE029.VDF : 7.10.8.116 2048 Bytes 16/06/2010 08:47:12
VBASE030.VDF : 7.10.8.117 2048 Bytes 16/06/2010 08:47:12
VBASE031.VDF : 7.10.8.131 114176 Bytes 21/06/2010 13:29:38
Motore : 8.2.2.6
AEVDF.DLL : 8.1.2.0 106868 Bytes 17/06/2010 07:45:20
AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 17/06/2010 07:45:20
AESCN.DLL : 8.1.6.1 127347 Bytes 17/06/2010 07:45:19
AESBX.DLL : 8.1.3.1 254324 Bytes 17/06/2010 07:45:20
AERDL.DLL : 8.1.4.6 541043 Bytes 17/06/2010 07:45:19
AEPACK.DLL : 8.2.1.1 426358 Bytes 17/06/2010 07:45:18
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 17/06/2010 07:45:17
AEHEUR.DLL : 8.1.1.33 2724214 Bytes 17/06/2010 07:45:17
AEHELP.DLL : 8.1.11.5 242038 Bytes 17/06/2010 07:45:14
AEGEN.DLL : 8.1.3.10 377205 Bytes 17/06/2010 07:45:14
AEEMU.DLL : 8.1.2.0 393588 Bytes 17/06/2010 07:45:13
AECORE.DLL : 8.1.15.3 192886 Bytes 17/06/2010 07:45:13
AEBB.DLL : 8.1.1.0 53618 Bytes 17/06/2010 07:45:12
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:48:02
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:14:06
AVREP.DLL : 8.0.0.7 159784 Bytes 17/06/2010 07:45:21
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:25:10
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:45
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:37:12
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:21:38
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:41:28
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:11:50
RCTEXT.DLL : 9.0.73.0 87809 Bytes 03/11/2009 06:16:42

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: c:\programmi\avira\antivir desktop\sysscan.avp
Report......................................: basso
Azione primaria.............................: interattivo
Azione secondaria...........................: ignora
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:,
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: medio
Categorie irregolari delle minacce..........: +APPL,+JOKE,+PCK,+PFS,+SPR,

Avvio della scansione: martedì 22 giugno 2010 10:22

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Sono stati esaminati '44221' oggetti, sono stati rilevati '0' oggetti nascosti.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TuneUpDefragService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'bittorrent.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'alg.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'wmiapsrv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TuneUpUtilitiesApp32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'TuneUpUtilitiesService32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'WanMiniport1st_srv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'PnkBstrA.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'srvany.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'NBService.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'mpbtn.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'btdna.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'GrooveMonitor.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'rundll32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'MCCITR~1.EXE' - '1' modulo(i) scansionato(i)
Scansione processo 'MotiveSB.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'jusched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'rundll32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'HDeck.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'explorer.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'nvsvc32.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '1' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '1' modulo(i) scansionato(i)
40 processi scansionati con '40' Moduli

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 55 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\'
C:\pagefile.sys
[AVVISO] Impossibile aprire il file!
[NOTA] Questo è un file di sistema di Windows.
[NOTA] Impossibile aprire questo file per la scansione.
C:\System Volume Information\_restore{B8064CE9-D20A-4E93-A2A1-AE41D45046EC}\RP117\A0016889.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\drivers\sptd.sys
[AVVISO] Impossibile aprire il file!

Avvio della disinfezione:
C:\System Volume Information\_restore{B8064CE9-D20A-4E93-A2A1-AE41D45046EC}\RP117\A0016889.exe
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.XPACK.Gen
[NOTA] Il file è stato spostato in quarantena con il nome '4c508f8e.qua'!


Fine della scansione: martedì 22 giugno 2010 12:24
Tempo impiegato: 1:29:37 Ora(e)

La scansione è stata completamente eseguita.

10591 Directory scansionate
359383 I file sono stati scansionati
1 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
2 Impossibile scansionare i file
359380 File non infetti
3554 Archivi scansionati
2 Avvisi
2 Note
44221 Oggetti scansionati durante la scansione dei rootkit
0 Sono stati rilevati oggetti nascosti


VECCHIO LOG MALWARE CHE MI SEGNALAVA 3 VIRUS

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4228

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

23/06/2010 16.03.36
mbam-log-2010-06-23 (16-03-36).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 220351
Tempo trascorso: 1 ore, 46 minuti, 36 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 1
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 2

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
HKEY_CURRENT_USER\Software\Zugo (Adware.Zugo) -> Quarantined and deleted successfully.

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
C:\System Volume Information\_restore{B8064CE9-D20A-4E93-A2A1-AE41D45046EC}\RP30\A0011759.exe (Hacktool.Keygen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B8064CE9-D20A-4E93-A2A1-AE41D45046EC}\RP49\A0014326.exe (Hacktool.Keygen) -> Quarantined and deleted successfully.
Torna in alto
 
r16
Inviato: Saturday, June 26, 2010 1:29:10 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Elimina queste voci di HijackThis:
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\-------\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

Disattiva il ripristino configurazione di sistema,
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Spegni il pc.
Avvia il pc.

Rifai la scansione con Avira.
Se non rileva niente, Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.
Torna in alto
 
itac94
Inviato: Saturday, June 26, 2010 2:22:56 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
r16 ha scritto:
Elimina queste voci di HijackThis:
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\-------\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

Disattiva il ripristino configurazione di sistema,
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Spegni il pc.
Avvia il pc.

Rifai la scansione con Avira.
Se non rileva niente, Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.


Cos'è che devo creare di nuovo?
Torna in alto
 
pidue
Inviato: Saturday, June 26, 2010 2:28:08 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
itac94 ha scritto:

Cos'è che devo creare di nuovo?


Un nuovo punto di ripristino.
Torna in alto
 
itac94
Inviato: Saturday, June 26, 2010 2:37:09 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
Ok grazie a tutti vi farò sapere
Torna in alto
 
itac94
Inviato: Sunday, June 27, 2010 12:51:48 PM
Rank: Member

Iscritto dal : 6/24/2010
Posts: 29
Raga credo di essere ancora infettato il pc va ancora lento... molto lento
Torna in alto
 
r16
Inviato: Sunday, June 27, 2010 3:22:07 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
itac94 ha scritto:
Raga credo di essere ancora infettato il pc va ancora lento... molto lento

Sei più veloce di Schumacher (quando guidava una Ferrari) a infettare il pc.
Scarica HijackThis:
http://www.aiutamici.com/software?ID=11175
Posta il log.
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Mi controllate il log di hajack? avira mi dice che ho il trojan TR/Crypt ma non riesco a toglierlo in nessun modo...


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.