Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
problema whataboutdog/whatabourabit
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 19 Giu 2007 18:20    Oggetto: Rispondi citando

^^"

Grazie mille!

Sto cercando di rimanere connesso il meno possibile per non spedire mail in giro (parte in automatico... cacchio).

Grazie!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.11.20, on 19/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Documents and Settings\HP_Administrator\Documenti\Andrea\Programmi\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{945A0B1C-F6E0-4260-9EF6-76B5328ED765}: NameServer = 193.70.152.15 193.70.152.25
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 9322 bytes


-------------------------------------------------



Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\BAK

0 File 0 byte
2 Directory 73.879.752.704 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\HP\KBD\BAK

0 File 0 byte
2 Directory 73.879.752.704 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ITUNES\BAK

13/06/2007 19.46 305 iTunesHelperAppLog.txt
1 File 305 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\SYMNET~1\BAK

0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\WINAMP\BAK

0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\CREATOR\BAK

0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\EHOME\BAK

10/08/2004 12.04 59.392 ehtray.exe
1 File 59.392 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SMINST\BAK

0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM\BAK

0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HP\{AAC4F~1\BAK

0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\DVDAUDIO\BAK

0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK

0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SONIC\UPDATE~1\BAK

0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\SECURI~1\BAK

0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692

Directory di C:\PROGRA~1\HELPAN~1\PAVILION\XPEWWBF4\PLUGIN\BIN\BAK

0 File 0 byte
2 Directory 73.879.744.512 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

305 13 Jun 2007 "C:\Programmi\iTunes\bak\iTunesHelperAppLog.txt"
59392 10 Aug 2004 "C:\WINDOWS\ehome\ehtray.exe"
59392 10 Aug 2004 "C:\WINDOWS\ehome\bak\ehtray.exe"


end of report
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 19 Giu 2007 18:30    Oggetto: Rispondi citando

Hijackthis e findAWF non segnalano cose anormali.

Scarica questo e scompattalo in una sua cartella non temporanea.
Avvialo
clicca su > > >
Clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.

Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.
Top
Profilo Invia messaggio privato
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 19 Giu 2007 19:31    Oggetto: Rispondi citando

Appena aperto gmer mi è stato chiesto se volevo fare una scansione, dicendomi che aveva trovato una "system modification".
però dopo un po' mi ha riavviato il pc ed è venuto fuori un "errore grave"... oO"
Spero non sia successo niente.

Ho fatto ripartire gmer, detto di no alla scansione full, fatto lo scan di autostart e rifatto quello di rootkit (bloccandolo quando mi sembrava non aggiungesse altri file).
Spero basti.

Ecco i link:

Autostart:
http://www.freefilehosting.net/download/MjI2MDQx

Rootkit:
http://www.freefilehosting.net/download/MjI2MDQy
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 19 Giu 2007 20:08    Oggetto: Rispondi citando

Rifai la scansione rootkit... che è meglio Wink
Effettivamente, qualcosina c'è... ma aspettiamo di vedere la scansione completa. Twisted Evil
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 19 Giu 2007 20:21    Oggetto: Rispondi citando

Vabbè, proviamo lo stesso... Razz
Scarica questo tool e scompattalo in una sua cartella.
Avvialo.
Clicca su input script manually
clicca sulla lente d'ingrandimento
nella finestra che ti si apre, inserisci queste righe:
Citazione:
Files to delete:
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\xpdx.sys

drivers to unload:
xpdx

clicca su done
clicca sul semaforo
il pc dovrebbe riavviarsi, se non lo fa, riavvialo tu.
Posta qui il risultato dell'operazione.
Top
Profilo Invia messaggio privato
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 19 Giu 2007 20:55    Oggetto: Rispondi citando

O cacchio... oO"

Ho provato a rifare lo scan con gmer, rootkit, ma mi si è bloccato un'altra volta.
Inoltre stavolta è comparsa una schermata blu.
Diceva che si è verificato un problema e che windows è stato arrestato, dicendo di fare un controolo diagnostico, una verifica della memoria e di togliere hw, driver e sw messi di recente (hw recenti non ce n'è... sw recenti solo quelli che mi avete consigliato qui per fare i controlli... più stinger e virit, ma virit è disinstallato e stinger non va installato...).


l'errore era:

STOP: 0x0000007F (0x00000008,0xF7AC7D70,0x00000000,0x00000000).

Ho dovuto staccare la corrente per far ripartire il piccì...

E' meglio se provo a fare un ripristino distruttivo del sistema? sic...

Altra cosa: con spybot ora, facendo la scansione in modalità normale mi trova questo errore:
Microsoft.WindowsSecurityCenter_disabled

Se lo correggo mi dice "errore risolto" ma se rifaccio la scansione è di nuovo lì...

Sigh... Che succede? :*(

PS: cmq ora provo anche la soluzione con avenger... o è meglio aspettare?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 19 Giu 2007 21:00    Oggetto: Rispondi citando

Fai pure una passata con avenger, come ti ho indicato. E posta qui il risultato dell'operazione.
Poi riprova a fare la scansione rootkit.
Top
Profilo Invia messaggio privato
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 19 Giu 2007 21:12    Oggetto: Rispondi citando

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nkxmmywd

*******************

Script file located at: \??\C:\Documents and Settings\bflbwpia.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\svchost.exe deleted successfully.
File C:\WINDOWS\system32\xpdx.sys deleted successfully.
Driver xpdx unloaded successfully.

Completed script processing.

*******************

Finished! Terminate.
Top
Profilo Invia messaggio privato
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 19 Giu 2007 21:55    Oggetto: Rispondi citando

Ok, ecco gli scan con gmer: stavolta non si è bloccato per fortuna.

Rootkit è corto e lo posto senza usare file hosting.
Autostart (l'ho rifatto x certezza) invece è un po' più lungo.

http://www.freefilehosting.net/download/MjI2MDc1

GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-06-19 21:47:13
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT E19460B0 ZwConnectPort

---- Kernel code sections - GMER 1.0.12 ----

? jxktbvsw.sys Impossibile trovare il file specificato.
? C:\WINDOWS\system32\DRIVERS\update.sys

---- EOF - GMER 1.0.12 ----



Cmq: ora non mi da più l'errore avast (grazie ^^), però se faccio una scansione con spybot S&D mi ritrova gli stessi errori di prima: win32.dialer.hh, Microsoft.WindowsSecurityCenter_disabled.
Non li corregge (cioè, dice che li ha corretti, ma poi non lo fa).
Non ho ancora provato in modalità prrovvisoria: sapete se basta? Prima preferivo risolvere il problema "grosso", ma non so se son collegati.
Ah, mi segnalava anche doubleclick come errore Spybot, ma se non ricordo male era un qualcosa che aveva a ceh fare coi banner pubblicitari... cmq un errore che mi ha sempre corretto senza problemi.

Grazie ancora Wink

PS: ah, il txt di avenger è nel post prima: mi ero dimenticato di aggiungere questa parte. Scusate il doppio post.
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 19 Giu 2007 21:55    Oggetto: Rispondi citando

ooppss... Laughing
mi hai anticipato!
Top
Profilo Invia messaggio privato
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 19 Giu 2007 22:01    Oggetto: Rispondi citando

Non so quanto tempo ci voglia a controllare i log e dare una soluzione,a ma mi sembra una cosa lunghetta Embarassed

Spero di non aver fatto perdere tempo a più persone per un problema mio. Nel caso chiedo scusa Embarassed
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 20 Giu 2007 04:01    Oggetto: Rispondi citando

Non ti preoccupare... siamo ragazzi, ci si diverte così... Wink
Per cortesia, posta anche un log di hijackthis aggiornato.
Top
Profilo Invia messaggio privato
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 20 Giu 2007 10:22    Oggetto: Rispondi citando

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.09.42, on 20/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\HP_Administrator\Documenti\Andrea\Programmi\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe
O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{945A0B1C-F6E0-4260-9EF6-76B5328ED765}: NameServer = 193.70.152.15 193.70.152.25
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 9531 bytes



Ecco qua!

Il problema di microsoft windows security center ecc. che mi dava spybot semrerebbe essere un errore che da quando è disattivata la protezione del windows security center è disattivata, non una minaccia con un nome del genere (ecco perchè non lo cancella XD).
Infatti il dialer mi aveva disattivato il firewall di uindous.
Solo che anche avendolo riattivato mi da lo stesso l'errore spybot...

Win32.dialer l'ho tolto da modalità provvisoria ma una volta in modalità normale spybot me lo vede ancora...

ad-aware non mi trova niente.

Cmq a parte le segnalazioni di spybot sembra funzionare tutto correttamente: niente mail spedite in giro e niente errori da parte di avast per connessioni a indirizzi strani.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 20 Giu 2007 10:40    Oggetto: Rispondi citando

Vai in modalità provvisoria e con hijackthis, fixa questa voce:
Citazione:
O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe

Riavvia il pc e rifai il log di hijackthis.

Mi sembra di capire che hai 2 antivirus attivi: Norton e Avast!
Se così fosse, attenzione perchè si incasinano l'uno con l'altro.
Disattiva la protezione in tempo reale di uno dei 2.

Puoi scaricare questo, aggiornarlo e fargli fare una scansione.
Top
Profilo Invia messaggio privato
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 22 Giu 2007 00:08    Oggetto: Rispondi citando

Il log è questo (quella voce l'avevo fixata in modalità normale... mi ero dimenticato di riavviare in mod. provvisoria: però non è più tornata, neanche dopo vari riavvii).

Il norton antivirus l'ho disinstallato; avevo impostato il norton firewall per il problema del dialer, ma comunque non l'ho attivato (mi avete risposto prima che lo facessi ^^ ).
Non so... Forse è il Norton Security Center quello a cui ti riferisci, ma problemi non ne da visto che già mi vede Avast come antivirus installato.

a-squared mi sembra buono, deng iu ^^ !
Gli ho fatto fare una smart scan e mi ha già trovato qualcosina.

Però spybot mi segnala ancora le solite voci:
Win32.dialer.hh
microsoftsecuritycenter_disabled

Il dialer problemi non me ne sta dando ora come ora (niente più avvisi di avast, ne mail spedite in giro, ne connessioni create).
Però vederlo fra quelle voci e non poterlo togliere non so se sia cosa buona... Anche se magari è solo sporcizia che s'è lasciato dietro...

Cmq il log di hijack ora è questo:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 0.00.07, on 22/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programmi\Soulseek\slsk.exe
C:\WINDOWS\system32\wuauclt.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymSCUI.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\HP_Administrator\Documenti\Andrea\Programmi\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{945A0B1C-F6E0-4260-9EF6-76B5328ED765}: NameServer = 193.70.152.15 193.70.152.25
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 9722 bytes
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 22 Giu 2007 08:19    Oggetto: Rispondi citando

Il log di hjt sembra ok.
Per quelle 2 voci trovate con Spybot:
probabilmente il securitycenter è stato disattivato da Norton, per evitare avvisi doppi.
Per l'altra voce non so che dirti, puoi indicare il percorso completo in cui viene rilevata? (alla fine della scansione con Spybot, dovrebbe bastare il click con il tasto destro del mouse per poterla salvare... se non ricordo male.)

Dal log di hjt sembrava che avessi 2 antivirus attivi. Non usando norton, non so bene come si comporta in queste situazioni. Razz
Top
Profilo Invia messaggio privato
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 22 Giu 2007 12:44    Oggetto: Rispondi citando

Ah! Io pensavo che il windows security center e il norton security center fossero la stessa cosa!

Anche se è un errore che non m'aveva mai dato.. Ma sicneramente non ricordo se avevo messo su spybot prima o dopo un'eventuale scadenza del security center symantec.



DoubleClick: Cookie tracciante (Internet Explorer: HP_Administrator) (Cookie, nothing done)


Microsoft.WindowsSecurityCenter_disabled: Impostazioni (Modifica al registro, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2

TagASaurus: Cookie tracciante (Internet Explorer: HP_Administrator) (Cookie, nothing done)


Win32.Dialer.hh: Cookie tracciante (Internet Explorer: HP_Administrator) (Cookie, nothing done)



--- Spybot - Search && Destroy version: 1.3 ---
2007-06-20 Includes\Cookies.sbi
2007-05-30 Includes\Dialer.sbi
2007-06-20 Includes\DialerC.sbi
2007-06-20 Includes\Hijackers.sbi
2007-06-20 Includes\HijackersC.sbi
2007-06-20 Includes\Keyloggers.sbi
2007-06-20 Includes\KeyloggersC.sbi
2004-11-29 Includes\LSP.sbi
2007-06-20 Includes\Malware.sbi
2007-06-20 Includes\MalwareC.sbi
2007-03-21 Includes\PUPS.sbi
2007-06-20 Includes\PUPSC.sbi
2007-06-20 Includes\Revision.sbi
2007-05-30 Includes\Security.sbi
2007-06-20 Includes\SecurityC.sbi
2007-06-20 Includes\Spybots.sbi
2007-06-20 Includes\SpybotsC.sbi
2005-02-17 Includes\Tracks.uti
2007-06-20 Includes\Trojans.sbi
2007-06-20 Includes\TrojansC.sbi
2007-06-06 Plugins\TCPIPAddress.dll



Questo è quanto mi dice Spybot salvando i risultati.
però è strano: ho rifatto la scansione e stavolta win32.diler.hh non è ricomparso (prima mi ricompariva appena riscansionavo).
Boh... Non so che dire. Forse è finalmente arrivato l'aggiornamento giusto (lo faccio più o meno tutte le volte che scansiono con spybot) per correggerlo. O forse aspetta un riavvio.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 22 Giu 2007 17:14    Oggetto: Rispondi citando

Dal quel che leggo, si tratta di cookies.
Probabilmente qualche sito tra i tuoi soliti che lascia queste tracce.
Comunque, niente di preoccupante! Phew Wink
Top
Profilo Invia messaggio privato
Polmonite
Mortale pio
Mortale pio


Registrato: 08/06/07 14:11
Messaggi: 22

MessaggioInviato: 25 Giu 2007 21:16    Oggetto: Rispondi citando

Salve a tutti!

Ho delle novità.

Il problema si è ripresentato: avast mi ha segnalato l'errore pa_0111.exe e creazione della connessione Service.
Tuttavia la novità non sta qua: da quando avevo "risolto" a oggi non mi aveva dato problemi nonostante avessi navigato in lungo e in largo.
Oggi, quando è capitato, mi ha fatto ricordare di una cosa: una delle volte che il problema si è presentato prima che chiedessi aiuto qui, stavo navigando su un sito ben preciso, ovvero quello della wynona records.
Non ricordo se fu la prima volta che si presentò il problema, fatto sta che mi è tornato in mente che si presentò mentre ero su quel sito.
Oggi l'errore mi è uscito mentre ero di nuovo su quel sito.
Ho rifatto il procedimento suggeritomi da bdoriano: avenger + fix da hijack della voce incriminata (che si era ripresentata al riavvio).
Morale della favola: tutto come prima. Navigo un po' e problemi non ve ne sono.
Allora mi sorge il dubbio e torno sul sito della wynona. Tempo un minuto circa (navigando fra le varie pagine del sito) e avast mi avverte dell'errore.

Ora, io non sono sicuro che il sito di cui parlo sia veramente infetto e non so nemmeno come controllare tale cosa.
Sapere se il problema viene da lì non è cosa da poco.
Il sito è quello ufficiale dell'etichetta discografica, quindi non penso sia una cosa fatta apposta.

Se qualcuno sa come fare per controllare se tale sito sia infetto (www.wynonarecords.com), me lo può dire?
Il problema mi si è presentato usando internet explorer (son convinto che firefox lo blocchi sul nascere).


Ok, detto questo aggiungo un'altra cosa strana:
riguarda win32.dialer.hh segnalato da spybot (il cookie). Non c'avevo fatto caso, ma si tratta del cookie di nome "hp_administrator@google.it".
E' "normale" questa cosa? Che a un cookie di google venga "attaccato" il win32.dialer.hh?


Sperando ancora in un vostro aiuto (e sperando così di poter dedicare un po' più di attenzione al resto del forum che mi sembra piuttosto interessante ^^ ).
Grazie e ciao a tutti ^^ !
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...

MessaggioInviato: 25 Giu 2007 21:50    Oggetto: Rispondi

Ho dato un'occhiata veloce al sito.
Già nella pagina iniziale c'è un IFRAME che non mi piace per niente. Think
Hai provato a navigarlo con un altro browser? (Opera, Firefox o Netscape).
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Vai a Precedente  1, 2, 3  Successivo
Pagina 2 di 3

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi