Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Trojan ART che mi chiama numero 899
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 18 Apr 2007 06:58    Oggetto: Trojan ART che mi chiama numero 899 Rispondi citando
salve a tutti , e il mio primo post in questo forum vi scrivo perche ho visto che ci sono molti utenti che anno piu o meno il mio problema,per il collegamento a internet uso la linea umts tramite telefonino e da un po di tempo mi succede che mi si disconnette di continuo , ho anche notato dalle ultime chiamate del telefono che ogni volta che mi connetto il telefono effettua molte chiamate a numeri 899 (ed e quando effettua queste chiamate che mi cade il collegamento) inoltre navigando su internet mi sono accorto che non mi fa aprire pagine che riguardano antidialer ho softuare x la sicurezza (mi succede anche in certi post di questo forum) sono riuschito a reperire solo pochi software tra cui virit che ogni tanto mi rileva alcuni troyan( prima riscontravo il troyan.win32.smll.pm e ieri ho riscontrato 17 Trojan.Win32.Agent.ART)
ho provato con hijack this ma mi si chiude subito (anche la versione camuffata) che posso fare?
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 18 Apr 2007 10:41    Oggetto: Rispondi citando
ciao e benvenuto sull'Olimpo floyddddd Ciao

fai questi due controlli:
da Start/Esegui digita regedit e dai l'OK
portati alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
guarda se esiste explorer.exe se c'è riporta qui i valori.

fai lo stesso con
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
individua nella finestra di destra Userinit
riporta qui i valori
Top
Profilo Invia messaggio privato
appassionatopcmg
Semidio
Semidio


Registrato: 29/03/07 11:02
Messaggi: 410
MessaggioInviato: 18 Apr 2007 12:55    Oggetto: Rispondi citando
hai il mio stesso problema guarda la discussione argomento IMPOSSIBILE ELIMINARE XLIXG1.DLL (HJACKTHIS NON VA)
Top
Profilo Invia messaggio privato
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 18 Apr 2007 21:45    Oggetto: Rispondi citando
questi sono i valori:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
nella finestra di destra mi esce:

(predifinito) reg_sz (valore non impostato)
debugger reg_sz "c:\windows\system32\kcbknqtr.log"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit reg_sz c:\windows\system32\userinit.exe

come avevo scritto prima molti post riguardanti problemi simili al mio non riesco ad aprirli oltretutto non so se e un problema del forum o mio, ma andando a ricontrollate il mio post messo nel forum spesso non trovo nessuna replica .
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 19 Apr 2007 08:10    Oggetto: Rispondi citando
ciao.

a quanto pare ti sei preso l'ultima trovata in fatto di "virussssssss" Smile
hai eventualmente la disponibilità di un PC "pulito"? devi scaricare il programma indicato qui
A*v*e*n*g*e*r.
dal computer infetto sicuramente non riuscirai a farlo.
Top
Profilo Invia messaggio privato
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 19 Apr 2007 21:10    Oggetto: Rispondi citando
da un'altro pc lo potro reperire sabato, intanto mi dici di che software si tratta e come lo devo usare?
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 20 Apr 2007 09:13    Oggetto: Rispondi citando
sopra, ti ho linkato la guda per la rimozione..

in altre parole:
intanto vedi se riesci almeno a scaricare A*v*e*n*g*e*r (non usarlo al momento)
dal TaskManager termina il processo explorer.exe (spariranno le icone dal desktop, non ti preoccupare)
sempre attraverso taskManager apri il registro
portati alla chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image file execution options
Quando hai trovato la sottochiave
explorer.exe
evidenziala, click tasto dx> nella nuova finestra scegli Autorizzazioni>Avanzate>proprietario>imposti la proprietà al nome Utente>OK, torna alla pagina precedente, metti tutte le spunte alle voci "controllo completo e in lettura">OK. Provi poi a eliminare la voce (click tasto dx e scegli elimina).

ora dovresti riuscire a far partire A*v*e*n*g*e*r
lancialo (sempre dal TM)
clicca su Input script manually e poi sull?icona della lente di ingrandimento. si aprirà una finestra, copia quello che è scritto qui sotto
Citazione:
Files to delete:
c:\windows\system32\kcbknqtr.log

Registry keys to delete:
HKey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

Clicca su Done
poi sull?icona del semaforo. Il PC si riavvierà

se al riavvio non sono riapparse le icone:
apri TaskManager seleziona file/nuova operazione (esegui..)
nella finestra che si apre digita explorer.exe e dai l'OK

posta il log di AV e di HJT
Top
Profilo Invia messaggio privato
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 21 Apr 2007 06:36    Oggetto: Rispondi citando
ho seguito tutto alla lettera, ma il risultato e che non mi compare piu il dekstop ho provato tramite il tm ad avviare exeplorer.exe ma mi dice file non trovato, dal regedit ho notato che andando in hkey.....\image file execution option non esiste piu exeplorer.exe, ho trovato il log di avenger e a quanto ho capito in ( file to delete ) he andato tutto bene ma in ( registry....) e successo qualcosa e mi riportava fallito, ho riprovato a fare la procedura con avenger ma mi da errore e credo che e stato sovrascrito il primo log, che posso fare credo che il virus sia stato rimosso ma adesso si dovrebbe ripristinare l'exepolorer.exe
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 21 Apr 2007 14:26    Oggetto: Rispondi citando
lo sapevo che sarà una rogna ad eliminarlo... Evil or Very Mad

il fatto è, che è ancora presente quel valore di explorer.exe nel registro.
Avenger a quanto pare non è riuscito a cancellarlo.

scarica RegAssassin
lancialo
spunta le caselle Reset permissions e Delete registry key and a subkeys
inserisci il percorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\explorer.exe
e clicca su Delete
rispondi SI ed aspetta l'avviso di avvenuta cancellazione

se quel metodo non dovesse funzionare, elimina quella chiave manualmente.
Da modalita provvisoria apri il registro, trova la chiave
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image file execution options\explorer.exe clicca con destro e
fai questo procedimento per cambiare i permessi di accesso:
seleziona l'opzione autorizzazioni, seleziona il tuo account e spunta la casella controllo completo nella colonna consenti.
poi clic con destro sulla chiave e scegli elimina
Top
Profilo Invia messaggio privato
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 21 Apr 2007 15:11    Oggetto: Rispondi citando
allora, non ci sto capendo piu nulla oggi riaccendo il pc dekstop vuoto apro il tm lancio regedit faccio il solito tragito (hkey-local....)ed ecco riapparso explorer.exe con di seguito le solite lettere che dovrebbe essere il virus ( intanto ieri avrei giurato che non esisteva piu la voce explorer.exe) provo a lanciare dal tm exeplorer.exe e mi dice file non trovato, scarico il software da te consigliato e mi dice che il percorso non esiste ( o qualcosa del genere) torno con tm a fare il solito tragito seleziono explorer.exe e faccio elimina, riavvio e mi si apre una finestra in dos che mi segnala alcuni errori di avenger (almeno questo o capito) all' improvviso riappare il dekstop, tutto mi rifunziona normalmente vado in regedit ed ecco scomparso explorer.exe........., avro risolto e cosa e successo?
Top
Profilo Invia messaggio privato
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 21 Apr 2007 15:28    Oggetto: Rispondi citando
ecco ripartito HijackThis


Logfile of HijackThis v1.99.1
Scan saved at 15.26.10, on 21/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\TRIXX\TRIXX.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\TechniSat DVB\bin\Server4PC.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe
C:\Programmi\3\FastMobileModem\MMModem.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCSVR.EXE
C:\Programmi\eMule\emule.exe
C:\Programmi\andrea log\fggfdg.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arianna.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [TRIXX] "C:\Programmi\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [svcqgzlq] "c:\windows\system32\svcqgzlq.exe"
O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ehnjw] "C:\DOCUME~1\Andrea\IMPOST~1\Temp\688437.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [TaskTray] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ehnjw] "C:\DOCUME~1\Andrea\IMPOST~1\Temp\688437.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = ?
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF:
â?|ðá -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5205281D-46CF-4BFE-9310-79D42F9F1493}: NameServer = 62.13.171.1 62.13.171.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{5205281D-46CF-4BFE-9310-79D42F9F1493}: NameServer = 62.13.171.1 62.13.171.2
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

ecco i vari log di avenger che ho trovato:
FILES TO DELETE:
C:WINDOWS\SYSTEM32\KCBKNQTR.LOG

REGISTRY KEYS TO DELETE:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\ CURRENTVERSION\IMAGE FILE EXECUTION OPTION\EXEPLORER.EXE
------------------------------------------------------------------------------------
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!
-----------------------------------------------------------------------------------

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 1813
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 21 Apr 2007 15:28    Oggetto: Rispondi citando
hai risolto se:
quella chiave non appare più nel registro (in mod. normale e provvisoria)
le icone sono riapparse
riesci a lanciare HiJack normalmente.

anzi, posta anche il log di HJT, vediamo che altro c'è da eliminare.


EDIT
abbiamo postato insieme... Mr. Green
Top
Profilo Invia messaggio privato
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 21 Apr 2007 15:36    Oggetto: Rispondi citando
adesso devo scappare cmq terro un po sotto controllo il pc, vedremo cosa succede
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 21 Apr 2007 15:37    Oggetto: Rispondi citando
Dalla modalità provvisoria fissa queste voci con HiJack:

O4 - HKLM\..\Run: [svcqgzlq] "c:\windows\system32\svcqgzlq.exe"
O4 - HKLM\..\Run: [ehnjw] "C:\DOCUME~1\Andrea\IMPOST~1\Temp\688437.exe"
O4 - HKCU\..\Run: [ehnjw] "C:\DOCUME~1\Andrea\IMPOST~1\Temp\688437.exe"
O16 - DPF:
â?|ðá -


scarica CCleaner e dai una pulita generale (prima vai su Opzioni/Avanzate e togli la spunta da "cancella files temp solo se piu vecchi di 48 ore)
ti consiglio anche di mettere un firewall migliore di quello di XP.

rifai il log e mettilo qui
Top
Profilo Invia messaggio privato
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 22 Apr 2007 19:59    Oggetto: Rispondi citando
ecco il nuovo log

Logfile of HijackThis v1.99.1
Scan saved at 20.00.03, on 22/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\TRIXX\TRIXX.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\TechniSat DVB\bin\Server4PC.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijack\a.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arianna.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [TRIXX] "C:\Programmi\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [TaskTray] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = ?
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 23 Apr 2007 14:40    Oggetto: Rispondi citando
il log è pulito.
riscontri ancora problemi?

P.S. metti un firewall... Wink
Top
Profilo Invia messaggio privato
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 23 Apr 2007 21:20    Oggetto: Rispondi citando
fino adesso sembra tutto normale
sai consigliarmi un buon fireware gratuito che sia semplice da utilizzare e preferibilmente in italiano?
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 24 Apr 2007 08:06    Oggetto: Rispondi citando
il piu facile da usare e configurare è Zone Allarm (versione FREE)

ti metto anche un paio di guide:
http://www.tutorialpc.it/zonealarmver.asp
http://www.sicurezzainrete.com/ZoneAlarm.htm

Ciao
Top
Profilo Invia messaggio privato
kkk2003
Dio minore
Dio minore


Registrato: 11/08/05 07:15
Messaggi: 863
Residenza: Mosca - Russia
MessaggioInviato: 24 Apr 2007 08:25    Oggetto: Rispondi citando
Che dire... complimenti Orange!
Top
Profilo Invia messaggio privato HomePage Yahoo
floyddddd
Mortale devoto
Mortale devoto


Registrato: 17/04/07 06:34
Messaggi: 12
MessaggioInviato: 24 Apr 2007 21:45    Oggetto: Rispondi
ok ti ringrazzio della tua disponibilita senza di te sicuramente non avrei risolto, cmq con zone allarm pensi che non dovrei avere piu problemi a prendere virus del genere?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi