Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Ancora trojan win 32 agent axi
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37
MessaggioInviato: 12 Dic 2007 11:42    Oggetto: Ancora trojan win 32 agent axi Rispondi citando
Ciao! Mi sono ribeccata lo stesso trojan eccolo:

C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\iexplore_32.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\system32\igfxsvc.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\system32\spoolw.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\w32dbg.exe Infetto da Trojan.Win32.Agent.AXI

qui Hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.11.04, on 12/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Trust\450LR Mouse Wireless Optical\Amoumain.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\VEXPLITE\viritexp.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 89.96.199.138 L2authd.lineage2.com #Osiris
O1 - Hosts: 89.96.199.138 L2testauthd.lineage2.com #Osiris
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Versato] C:\Programmi\MediaKey\MagicRun.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [3COM] C:\Programmi\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: imfe.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{92DF6BBA-7DE5-47B4-9C0D-8CACFBBC62E5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 4883 bytes

Posso mettermi a fare le operazioni illustrate qui: http://forum.zeusnews.com/viewtopic.php?t=24650 ?
o e' meglio fare altro?
Grazie in anticipo Wink
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 12 Dic 2007 13:40    Oggetto: Rispondi citando
Ciao Azali Smile
La situazione mi sembra simile alla discussione a cui ti riferisci, ma non proprio uguale, quindi e meglio procedere per gradi.
Devi installarti urgentemente un firewall. Altrimenti ti reinfetti sempre.
A tal proposito guarda questa discussione. Collegati a BitDefender e procedi con la scansione online del PC.
Non dimenticare di disattivare momentaneamente il tuo antivirus.
Incolla poi quì il risultato, insieme ad un log di Hijackthis.

Ciao
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37
MessaggioInviato: 12 Dic 2007 22:22    Oggetto: Rispondi citando
Ciao Sante!

Ecco BitDefender

Citazione:
Statistics

Time
00:58:32

Files
350849

Folders
2570

Boot Sectors
3

Archives
1213

Packed Files
19911




Results

Identified Viruses
1

Infected Files
9

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
7




Engines Info

Virus Definitions
881680

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
14

Archive plugins
38

Unpack plugins
7

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes










Scanned File
Status

C:\avenger\backup.zip=>avenger/iexplore_32.exe
Infected with: Trojan.Agent.ABMP

C:\avenger\backup.zip=>avenger/iexplore_32.exe
Disinfection failed

C:\avenger\backup.zip=>avenger/iexplore_32.exe
Deleted

C:\avenger\backup.zip
Updated

C:\avenger\backup.zip=>avenger/igfxsvc.exe
Infected with: Trojan.Agent.ABMP

C:\avenger\backup.zip=>avenger/igfxsvc.exe
Disinfection failed

C:\avenger\backup.zip=>avenger/igfxsvc.exe
Deleted

C:\avenger\backup.zip
Updated

C:\avenger\backup.zip=>avenger/spoolw.exe
Infected with: Trojan.Agent.ABMP

C:\avenger\backup.zip=>avenger/spoolw.exe
Disinfection failed

C:\avenger\backup.zip=>avenger/spoolw.exe
Deleted

C:\avenger\backup.zip
Updated

C:\avenger\backup.zip=>avenger/w32dbg.exe
Infected with: Trojan.Agent.ABMP

C:\avenger\backup.zip=>avenger/w32dbg.exe
Disinfection failed

C:\avenger\backup.zip=>avenger/w32dbg.exe
Deleted

C:\avenger\backup.zip
Updated

C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe
Infected with: Trojan.Agent.ABMP

C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe
Disinfection failed

C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe
Deleted

C:\WINDOWS\iexplore_32.exe
Infected with: Trojan.Agent.ABMP

C:\WINDOWS\iexplore_32.exe
Disinfection failed

C:\WINDOWS\iexplore_32.exe
Deleted

C:\WINDOWS\system32\igfxsvc.exe
Infected with: Trojan.Agent.ABMP

C:\WINDOWS\system32\igfxsvc.exe
Disinfection failed

C:\WINDOWS\system32\igfxsvc.exe
Delete failed

C:\WINDOWS\system32\spoolw.exe
Infected with: Trojan.Agent.ABMP

C:\WINDOWS\system32\spoolw.exe
Disinfection failed

C:\WINDOWS\system32\spoolw.exe
Delete failed

C:\WINDOWS\w32dbg.exe
Infected with: Trojan.Agent.ABMP

C:\WINDOWS\w32dbg.exe
Disinfection failed

C:\WINDOWS\w32dbg.exe
Deleted


E Hijackthis

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.14.05, on 12/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\Trust\450LR Mouse Wireless Optical\Amoumain.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Hijackthis\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 89.96.199.138 L2authd.lineage2.com #Osiris
O1 - Hosts: 89.96.199.138 L2testauthd.lineage2.com #Osiris
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Versato] C:\Programmi\MediaKey\MagicRun.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [3COM] C:\Programmi\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92DF6BBA-7DE5-47B4-9C0D-8CACFBBC62E5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe (file missing)

--
End of file - 5207 bytes


THX
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
MessaggioInviato: 12 Dic 2007 22:49    Oggetto: Rispondi citando
Fai queste scansioni con GMER e posta i logs su FreeFileHosting come indicato qui.
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 12 Dic 2007 23:09    Oggetto: Rispondi citando
Col Notepad crea il file nominandolo fix.reg in C:\ inserendo queste scritte:
Citazione:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"spoolw"=-
"igfxsvc"=-

Avvia HJT e fixa queste righe:
Citazione:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe

Scaricati avenger e utilizzalo con questo script:
Citazione:
Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe


programs to launch on reboot:
C:\fix.reg

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger. Lo trovi su C:\Avenger.txt, con un log aggiornato di hijackthis.
Segui poi i passaggi 1 e 2 di quella discussione a cui hai fatto riferimento riguardante le scansioni con Gmer e FindAWF,
postando quì o risultati.
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37
MessaggioInviato: 12 Dic 2007 23:34    Oggetto: Rispondi citando
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iuplfpvq

*******************

Script file located at: \??\C:\Documents and Settings\ktpwlifc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\igfxsvc.exe deleted successfully.
File C:\WINDOWS\system32\spoolw.exe deleted successfully.
Program C:\fix.reg successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.32.15, on 12/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\450LR Mouse Wireless Optical\Amoumain.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\VEXPLITE\VIRITEXP.EXE
C:\Hijackthis\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 89.96.199.138 L2authd.lineage2.com #Osiris
O1 - Hosts: 89.96.199.138 L2testauthd.lineage2.com #Osiris
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [Versato] C:\Programmi\MediaKey\MagicRun.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [3COM] C:\Programmi\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92DF6BBA-7DE5-47B4-9C0D-8CACFBBC62E5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\VEXPLITE\viritsvc.exe (file missing)

--
End of file - 5026 bytes
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37
MessaggioInviato: 12 Dic 2007 23:48    Oggetto: Rispondi citando
Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit? C ? WIN
Numero di serie del volume: 24F2-3FFF

Directory di C:\PROGRA~1\MEDIAKEY\BAK

22/02/2002 15.30 24.576 MagicRun.exe
1 File 24.576 byte
2 Directory 12.207.529.984 byte disponibili
Il volume nell'unit? C ? WIN
Numero di serie del volume: 24F2-3FFF

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 12.207.529.984 byte disponibili
Il volume nell'unit? C ? WIN
Numero di serie del volume: 24F2-3FFF

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 13.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 12.207.525.888 byte disponibili
Il volume nell'unit? C ? WIN
Numero di serie del volume: 24F2-3FFF

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

16/11/2005 12.42 48.800 ccApp.exe
1 File 48.800 byte
2 Directory 12.207.525.888 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

24576 22 Feb 2002 "C:\Programmi\MediaKey\bak\MagicRun.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
48800 16 Nov 2005 "C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe"
84640 3 Sep 2006 "C:\Documents and Settings\Valentina\Impostazioni locali\Temp\NAV14.0.0.89\Support\ccCommon\ccCommon\ccApp.exe"


end of report
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37
MessaggioInviato: 13 Dic 2007 00:12    Oggetto: Rispondi citando
http://www.freefilehosting.net/download/NDk3NTk=

http://www.freefilehosting.net/download/NDk3NjA=
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37
MessaggioInviato: 13 Dic 2007 00:19    Oggetto: Rispondi citando
Ho provato ad installare un firewall, ma ho avuto problemi....allora con Zone Alarm mi ha dato errori di installazione cosi ho provato PC Tools ma mi ha bloccato ogni accesso a internet, disinstallato anche quello ho potuto riconnettermi. Saro' io che sbaglio qualcosa ? Embarassed
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 13 Dic 2007 10:26    Oggetto: Rispondi citando
Avvia HJT e fixa queste voci:
Citazione:
O1 - Hosts: 89.96.199.138 L2authd.lineage2.com #Osiris
O1 - Hosts: 89.96.199.138 L2testauthd.lineage2.com #Osiris

Nei log di GMER vedo qualcosa, che però non sono riuscito ad identificare.
Collegati a Kaspersky online scanner
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus ed eventualmente anche il firewall. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato. Per il firewall io ti posso dare una mano solo per quanto riguarda Zone Alarm perchè lo uso anch'io. Dimmi comunque che tipo di problemi di installazione di da. Ricorda però che ogni firewall va configurato correttamente per l'accesso alla zona attendibile e per internet, quindi tu devi consentirlo ai servizi principali, che variano a seconda di quello che si ha installato, solo in caso di dubbio ,cioè di file che ti sembrano sospetti, puoi negarlo.
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37
MessaggioInviato: 13 Dic 2007 12:11    Oggetto: Rispondi citando
Eccomi qui Smile
ho messo a posto le due righe nell' host (era roba che avevo inserito io, ma che non mi serviva piu'). Poi ho trovato un sacco di icone di dialer in C:/windows erano circa una quarantina, beh ho cliccato di destro e le ho messe nel cestino, bastera? Confused
Ora Virit non ha trovato schifezze!!
Adesso faccio fare la scansione a Kaspersky
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37
MessaggioInviato: 13 Dic 2007 14:11    Oggetto: Rispondi citando
Kaspersky ha trovato parecchia roba Anxious
http://www.freefilehosting.net/download/NTAwMDk=
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 13 Dic 2007 14:59    Oggetto: Rispondi citando
Sono residui nella cache di internet e nel cestino.
Ripuliamoli per bene:
Scarica
ATF Cleaner
Avvialo e clicca su Select All e poi su Empty selected. Fai la stessa cosa con Firefox o Opera se li hai installati come browser, dal menu principale di ATF Cleaner. Inoltre installati un firewall. A tal proposito guarda questa discussione. Adesso il PC dovrebbe essere pulito. Tu riscontri ancora problemi?
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37
MessaggioInviato: 13 Dic 2007 15:19    Oggetto: Rispondi citando
Ok pulizia fatta! Mi pare che funzioni tutto correttamente Very Happy
Grazie Mille!

L'unica cosa che rimane e' mettere un firewall, ma zone alarm non si installa Embarassed faccio partire il downloader e alla fine mi appare questo messaggio:
Inizializzazione non riuscita.
'http://redirect.zonelabs.com/redirect/route?mode=1&app=inclient&date=1&dest=stub&oem=1220&prod=0&lang=it&link_id=1' non è attendibile.
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia
MessaggioInviato: 13 Dic 2007 18:49    Oggetto: Rispondi
Azali ha scritto:

L'unica cosa che rimane e' mettere un firewall, ma zone alarm non si installa Embarassed faccio partire il downloader e alla fine mi appare questo messaggio:
Inizializzazione non riuscita.
'http://redirect.zonelabs.com/redirect/route?mode=1&app=inclient&date=1&dest=stub&oem=1220&prod=0&lang=it&link_id=1' non è attendibile.

Non saprei dirti di quest'errore. Forse un problema di collegamento. Riprova e vedi se va.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi