Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Trojan win32 rootkit j
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
focault
Mortale pio
Mortale pio


Registrato: 09/10/06 23:03
Messaggi: 24
MessaggioInviato: 26 Giu 2007 23:57    Oggetto: Trojan win32 rootkit j Rispondi citando
.... la pace è già finita ..... nuova infezione individuata da avast e quindi da VIR IT. Questa volta il colpevole è il trojan win 32 rootkit j che ha infettato il file prn.ipt presente in system 32. AVG anti rootkit ne consiglia l'eliminazione .....che faccio?
Shocked

In una discussione che non riesco a ritrovare si consigliava di installare un firewall più efficiente rispetto a quello di windows ; potrebbe servire ad una maggiore protezione del sistema?

Grazie 1000 per la vostra attenzione
Top
Profilo Invia messaggio privato
kevin
Moderatore Caffè dell'Olimpo
Moderatore Caffè dell'Olimpo


Registrato: 08/02/07 10:52
Messaggi: 15785
Residenza: Qui se guardi da lì
MessaggioInviato: 27 Giu 2007 00:05    Oggetto: Rispondi citando
ciao focault Very Happy
mentre aspettiamo gli esperti per l'eliminazione del virus,
posso dirti che qualsiasi firewall è meglio di quelli di windows.
se vuoi farti un giro qui! Wink
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 27 Giu 2007 11:19    Oggetto: Rispondi citando
Ciao focault, Ciao
Scarica questo e salvalo in una sua cartella non temporanea e non sul desktop.
Avvialo
clicca su do a system scan and save a log file
ti si apre il blocco note
copia il contenuto e incollalo qui
Così possiamo iniziare ad analizzare il problema. Read

Poi, giusto per esagerare, facciamo anche questi controlli:
Scarica questo e scompattalo in una sua cartella non temporanea.
Avvialo
clicca su > > >
Clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.

Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.

Probabilmente hai un'infezione da gromozon o un suo derivato.
Top
Profilo Invia messaggio privato
focault
Mortale pio
Mortale pio


Registrato: 09/10/06 23:03
Messaggi: 24
MessaggioInviato: 28 Giu 2007 15:38    Oggetto: Rispondi citando
Grazie mille per la vostra proverbiale disponibilità; ecco il log di Hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15.02.37, on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\Canon\MultiPASS4\MPTBox.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\MarkAny\ContentSafer\MAAgent.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Garmin\gStart.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\applicazioni\internet\firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Hjiack\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programmi\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Programmi\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [SpywareBot] C:\Programmi\SpywareBot\SpywareBot.exe -boot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 10627 bytes

Questi invece sono i link per i log di Gmer

http://www.freefilehosting.net/download/MjMyNTU0

http://www.freefilehosting.net/download/MjMyNTU3

P.s. adesso il pc è incredibilmente lento e scompare continuamente il cursore per la scrittura

d'oh!
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 28 Giu 2007 19:26    Oggetto: Rispondi citando
Certo che di programmi all'avvio ne hai parecchi!!! Shocked

Avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:
Citazione:
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SpywareBot] C:\Programmi\SpywareBot\SpywareBot.exe -boot

clicca fix checked
Riavvia il pc, rifai il log di hijackthis e postalo

Quanti antivirus stai usando? Think
Mi sembra di vedere Avast e VirIt. Sbaglio?
Ricordati di disattivare la scansione in tempo reale di uno dei due, altrimenti rischi che si intralcino a vicenda.

Installa un firewall, quello di windows è come il colosseo... pieno di buchi! Sbonk

Poi, potresti fare anche un po di pulizie:
- cancellare i files temporanei con ATF-Cleaner
- ripulire il file di registro
- deframmentare il disco
Top
Profilo Invia messaggio privato
focault
Mortale pio
Mortale pio


Registrato: 09/10/06 23:03
Messaggi: 24
MessaggioInviato: 29 Giu 2007 16:00    Oggetto: Rispondi citando
ok. , istruzioni eseguite per quanto riguarda Hijack; in serata provvederò a fare le altre operazioni che mi hai consigliato.
Ecco nel frattempo il nuovo log


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15.44.51, on 29/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\Canon\MultiPASS4\MPTBox.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\VEXPLITE\viritsvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Programmi\MarkAny\ContentSafer\MAAgent.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\Garmin\gStart.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hjiack\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programmi\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programmi\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMSTray] C:\Programmi\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Programmi\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FILECO~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: MpService - Canon Inc. - C:\Programmi\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 10436 bytes
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 29 Giu 2007 19:39    Oggetto: Rispondi citando
Il log sembra ok.
I programmi che partono all'avvio sono veramente tanti.
Dovresti fare una cernita di quelli che effettivamente servono all'avvio.
Per esempio, questi vengono indicati come superflui:
Citazione:
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe (impostazioni scheda video)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup (verifica aggiornamenti software)
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start (verifica aggiornamenti software)
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe (iTunes)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k (registrazione errori di Windows)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE (impostazioni scheda audio)
O4 - HKLM\..\Run: [MPTBox] C:\Programmi\Canon\MultiPASS4\MPTBox.exe (gestione CANON?)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime (QuickTime)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL (monitorizza i CD/DVD del PC)

Potresti provare a disabilitarne l'avvio:
Start
Esegui...
digita MSConfig
clicca OK
nel tab Avvio togli il segno di spunta ai programmi che non vuoi far partire all'accensione del PC.
Fai l'operazione inversa se, invece, vuoi riabilitarne la partenza.
Top
Profilo Invia messaggio privato
focault
Mortale pio
Mortale pio


Registrato: 09/10/06 23:03
Messaggi: 24
MessaggioInviato: 29 Giu 2007 20:17    Oggetto: Rispondi citando
Scusa se faccio una domanda "Irriverente" Embarassed ma quali sono i programmi che è necessario far partire all'avvio?
I programmi a cui viene tolta questa facoltà poi funzionano comunque?
Anxious
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 29 Giu 2007 20:38    Oggetto: Rispondi citando
focault ha scritto:
quali sono i programmi che è necessario far partire all'avvio?
lo stretto necessario: l'antivirus, firewall, aggiornamenti automatici.....

scarica questo programma: CodeStuff Startup e prova a togliere una ad una i programmi dall'avvio automatico. Basta che togli la spunta (o rimettila per tornare com'era prima) e vedi se migliora...
Citazione:
I programmi a cui viene tolta questa facoltà poi funzionano comunque?
sì, certo! Wink
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 30 Giu 2007 09:46    Oggetto: Rispondi citando
@focault:
Nessuna domanda tecnica è irriverente. Wink
I programmi che ti ho indicato nel precedente messaggio puoi anche non farli partire all'avvio.
Tutti quelli che non ho indicato, vanno lasciati stare.

@Orange:
Carino quel programma. Smile
Io ho sempre usato Autoruns. Che ha il vantaggio di non dover essere installato, basta scompattarlo in una cartella ed è pronto per l'uso. Svantaggi: non è in italiano.
Top
Profilo Invia messaggio privato
focault
Mortale pio
Mortale pio


Registrato: 09/10/06 23:03
Messaggi: 24
MessaggioInviato: 01 Lug 2007 01:35    Oggetto: Rispondi citando
Bene, ho fatto le varie puliture dei file di registro seguendo le indicazioni del mitico bdoriano, quindi ho installato pc tools firewall plus ed infine ho fatto una scansione completa con avast ( che nel frattempo ha individuato e cestinato altri 3 worms............??) Crying or Very sad
L'unico problema è che sia avg anti rootkit che virit insistono nel segnalarmi il problema di partenza . Brick wall .
allego il log di virit a conferma di quanto detto. si tratterà di un falso positivo? Think

01/07/2007 - 00:14:19

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\applicazioni\video\The FilmMachine\BeSweet\BeSplit.exe Possibile variante da Trojan.Win32.MediaPass.B
C:\WINDOWS\system32\prn.ipt Infetto da Trojan.Win32.RootKit.J

Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 100984.
Files Totali: 100984.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 01 Lug 2007 10:01    Oggetto: Rispondi citando
focault ha scritto:
Bene, ho fatto le varie puliture dei file di registro seguendo le indicazioni del mitico bdoriano

Vabbene, ti faccio uno sconto, contento? Wink Very Happy
focault ha scritto:
L'unico problema è che sia avg anti rootkit che virit insistono nel segnalarmi il problema di partenza . Brick wall .
allego il log di virit a conferma di quanto detto. si tratterà di un falso positivo? Think

Potrebbe essere... diamo un'occhiata.
focault ha scritto:
C:\applicazioni\video\The FilmMachine\BeSweet\BeSplit.exe Possibile variante da Trojan.Win32.MediaPass.B
C:\WINDOWS\system32\prn.ipt Infetto da Trojan.Win32.RootKit.J

Ti consiglio di caricare C:\applicazioni\video\The FilmMachine\BeSweet\BeSplit.exe su http://www.virustotal.com per fare un controllo più accurato del file (questo potrebbe essere un falso positivo). Ricordati di aspettare il log completo e poi postalo qui.

Per il secondo (il più rognoso), potrebbe essere un rimasuglio di qualcosa di vecchio.
Scarica il gromozon removal tool ed eseguilo. Vediamo cosa ti dice.

Poi procedi così:
Scarica AVENGER e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Citazione:
Files to delete:
C:\WINDOWS\system32\prn.ipt

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato.

PS: sarebbe interessante anche vedere il log di avast (che ti ha trovato 3 worms).
Top
Profilo Invia messaggio privato
focault
Mortale pio
Mortale pio


Registrato: 09/10/06 23:03
Messaggi: 24
MessaggioInviato: 02 Lug 2007 15:25    Oggetto: Rispondi citando
Grazie per lo sconto , mi hai rincuorato Laughing

IL log definitivo di virus total eccolo qui
AntivirusVersionUpdateResult
AhnLab-V32007.7.2.007.02.2007no virus found
AntiVir7.4.0.3707.02.2007no virus found
Authentium4.93.806.29.2007no virus found
Avast4.7.997.007.02.2007no virus found
AVG7.5.0.47607.01.2007no virus found
BitDefender7.207.02.2007no virus found
CAT-QuickHeal9.0006.30.2007no virus found
ClamAVdevel-2007041607.02.2007
no virus foundDrWeb4.3307.02.2007no virus found
eSafe7.0.15.006.30.2007suspicious Trojan/Worm
eTrust-Vet30.8.375807.02.2007no virus found
Ewido4.007.01.2007no virus found
FileAdvisor107.02.2007no virus found
Fortinet2.91.0.007.02.2007no virus found
F-Prot4.3.2.4806.29.2007no virus found
F-Secure6.70.13030.007.02.2007no virus found
IkarusT3.1.1.807.02.2007no virus found
Kaspersky4.0.2.2407.02.2007no virus found
McAfee506406.29.2007no virus found
Microsoft1.270107.02.2007no virus found
NOD32v2236807.01.2007no virus found
Norman5.80.0206.29.2007no virus found
Panda9.0.0.407.02.2007no virus found
Sophos4.19.006.28.2007no virus found
Sunbelt2.2.907.006.29.2007no virus found
Symantec1007.02.2007no virus found
TheHacker6.1.6.14006.28.2007no virus found
VBA323.12.0.207.02.2007no virus found
VirusBuster4.3.23:907.01.2007no virus found
Webwasher-Gateway6.0.107.02.2007no virus found

Aditional Information
File size: 13824 bytes
MD5: 45b8b9641516d4651c38d15d7f00fc98
SHA1: dca373cb65d5c0280e314b14d7057bd824c778a2
packers: UPX
packers: UPX
packers: UPX


Il gromozon removal tool non ha sortito effetti, nel senso che non ha trovato nulla Whistle

Operazione completata con avenger; ecco il log
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\abtmrfsi

*******************

Script file located at: \??\C:\WINDOWS\system32\wqrpskmn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\prn.ipt deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Da aggiungere che al riavvio del coputer è successo questo : apertura di una finestra del dos intitolata C:\WINDOWS\system32\cmd.exe

Impossibile trovare il file specificato.
Impossibile trovare C:\avenger\*.reg
1 file copiati.
Impossibile cambiare l'attributo - C:\avenger\prn.ipt
zip warning: C:/backup.zip not found or empty
adding: avenger/avenger.exe (188 bytes security) (deflated 2%)
adding: avenger/avenger.txt (188 bytes security) (deflated 65%)
adding: avenger/backup.reg (188 bytes security) (stored 0%)
adding: avenger/prn.ipt (140 bytes security)
zip warning: Invalid argument
zip warning: could not read input file: avenger/prn.ipt
(stored 0%)
zip warning: error deleting c:/avenger/prn.ipt
c:\avenger\prn.ipt - Parametro non corretto.

Inoltre si è aperta una finestra di errore

Windows- Disco non presente
Exception Processing Message c0000013 Parameters 75b1bf9c 4 75b1bf9c 75b1bf9c

Ecco infine i log delle ultime due scansioni di avast

26/06/2007 20.29.21 SYSTEM 1508 Sign of "CVE-2007-0038" has been found in "C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\452Z01AN\ustk[1].ani" file.
26/06/2007 22.08.51 HP_Proprietario 3168 Sign of "CVE-2007-0038" has been found in "C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\452Z01AN\ustk[1].ani" file.
26/06/2007 22.14.28 HP_Proprietario 3168 Sign of "Win32:CTX" has been found in "C:\WINDOWS\system32\ActiveScan\pskavs.dll" file.
30/06/2007 16.23.41 HP_Proprietario 1508 Sign of "Win32:VB-FP [Wrm]" has been found in "C:\DOCUME~1\HP_PRO~1\IMPOST~1\Temp\is-DN8Q6.tmp\InternetCheck.exe" file.
30/06/2007 18.46.29 HP_Proprietario 2844 Sign of "Win32:Trojan-gen. {VC}" has been found in "C:\hp\bin\KillWind.exe" file.
30/06/2007 21.57.27 HP_Proprietario 2844 Sign of "Win32:Trojan-gen. {VC}" has been found in "C:\System Volume Information\_restore{F2CCFCB3-DDAF-42CD-87BD-53B59179EB23}\RP11\A0002029.exe" file.
30/06/2007 22.51.15 HP_Proprietario 2844 Sign of "Win32:CTX" has been found in "C:\System Volume Information\_restore{F2CCFCB3-DDAF-42CD-87BD-53B59179EB23}\RP9\A0001693.dll" file.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 02 Lug 2007 19:48    Oggetto: Rispondi citando
Il log di virustotal è abbastanza pulito (nel senso che un solo antivirus lo segnala come sospetto). Quindi, quel file, lo puoi tenere. Wink
Avenger ha eliminato tranquillamente il file infetto... ma non capisco cosa sia successo dopo. Confused Think
Hai provato a riavviare nuovamente il pc, per vedere se compare ancora?

Avast ha trovato dei files infetti tra i files temporanei di IE e di Windows. Puoi ripulirli usando ATF-Cleaner.
In più sono presenti dei files infetti nel ripristino configurazione di sistema. Per eliminarli, disattiva il ripristino di sistema e poi riattivalo.

Fai una scansione online con Kaspersky (funziona con IE) e posta qui il risultato.
Top
Profilo Invia messaggio privato
focault
Mortale pio
Mortale pio


Registrato: 09/10/06 23:03
Messaggi: 24
MessaggioInviato: 03 Lug 2007 02:18    Oggetto: Rispondi citando
Bene, la finestra del dos per adesso non si è ripresentata al riavvio del pc.
Una volta disattivato il ripristino devo fare una scansione oppure è sufficiente attivarlo di nuovo?

La scansione on line con kaspersky è stata una faticaccia Light dal momento che dove abito abbiamo solo la connessione 56k ( l'unica cosa che pare arrivare puntualmente sono i virus...... Evil or Very Mad ).
Ecco comunque il log

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, July 03, 2007 2:09:14 AM
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 3/07/2007
Kaspersky Anti-Virus database records: 334967
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
L:\

Scan Statistics:
Total number of scanned objects: 110482
Number of viruses found: 1
Number of infected objects: 4 / 0
Number of suspicious objects: 0
Duration of the scan process: 01:29:26

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Windows Defender\Support\MPLog-03032007-200441.log Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Dati applicazioni\PCToolsFirewallPlus\FirewallGUI.txt Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Dati applicazioni\PCToolsFirewallPlus\FWPlugin.txt Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Dati applicazioni\Sun\Java\Deployment\log\plugin142_03.trace Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Dati applicazioni\Thunderbird\Profiles\nfg4rb9x.default\Mail\Local Folders\Inbox.sbd\ebay/[From offertasuperata@ebay.it][Date Sun, 5 Jun 2005 21:31:41 -0700]/UNNAMED/[From "Utente eBay: ferrieccellente" <checkout@ebay.it>][Date Sun, 12 Jun 2005 15:33:17 -0700]/UNNAMED/[From eBay <supprefnum6562@ebay.com>][Date Mon, 10 Feb 2003 20:08:48 +0100]/html Infected: Trojan-Spy.HTML.Bayfraud.hn skipped
C:\Documents and Settings\HP_Proprietario\Dati applicazioni\Thunderbird\Profiles\nfg4rb9x.default\Mail\Local Folders\Inbox.sbd\ebay/[From offertasuperata@ebay.it][Date Sun, 5 Jun 2005 21:31:41 -0700]/UNNAMED/[From "Utente eBay: ferrieccellente" <checkout@ebay.it>][Date Sun, 12 Jun 2005 15:33:17 -0700]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn skipped
C:\Documents and Settings\HP_Proprietario\Dati applicazioni\Thunderbird\Profiles\nfg4rb9x.default\Mail\Local Folders\Inbox.sbd\ebay/[From offertasuperata@ebay.it][Date Sun, 5 Jun 2005 21:31:41 -0700]/UNNAMED Infected: Trojan-Spy.HTML.Bayfraud.hn skipped
C:\Documents and Settings\HP_Proprietario\Dati applicazioni\Thunderbird\Profiles\nfg4rb9x.default\Mail\Local Folders\Inbox.sbd\ebay Mail Berkeley mbox: infected - 3 skippedC:\Documents and Settings\HP_Proprietario\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Cronologia\History.IE5\MSHist012007070320070704\index.dat Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Dati applicazioni\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Dati applicazioni\Microsoft\Windows Defender\FileTracker\{3A7115AF-B4F8-48D2-A2C9-759F4E44F665} Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temp\hpodvd09.log Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temp\hsperfdata_HP_Proprietario\4020 Object is locked skipped
C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\HP_Proprietario\ntuser.dat Object is locked skipped
C:\Documents and Settings\HP_Proprietario\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temp\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temp\History\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Programmi\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Programmi\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Programmi\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped
C:\Programmi\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Programmi\Alwil Software\Avast4\DATA\report\Protezione residente.txt Object is locked skipped
C:\Programmi\Canon\MultiPASS4\mpdata.dat Object is locked skipped
C:\Programmi\Canon\MultiPASS4\mpdata.idx Object is locked skipped
C:\Programmi\PC Tools Firewall Plus\FirewallWrapper.txt Object is locked skipped
C:\Programmi\PC Tools Firewall Plus\FWAA Object is locked skipped
C:\Programmi\PC Tools Firewall Plus\FWService.txt Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\ModemLog_Agere Systems PCI Soft Modem.txt Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\Paramete.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_6d4.dat Object is locked skipped
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 03 Lug 2007 08:17    Oggetto: Rispondi citando
Puoi riattivare il ripristino tranquillamente. Smile
Sembra tutto ok... a parte le 3 email che ti segnala come infette. Wink
Non dovresti più avere problemi... ma, nel caso, fai un fischio! Whistle
Top
Profilo Invia messaggio privato
focault
Mortale pio
Mortale pio


Registrato: 09/10/06 23:03
Messaggi: 24
MessaggioInviato: 03 Lug 2007 11:14    Oggetto: Rispondi
Grazie di cuore Grazie
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi