Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
credo di avere un dialer (log di hijackthis)
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
filter
Mortale devoto
Mortale devoto


Registrato: 09/12/06 11:40
Messaggi: 12
MessaggioInviato: 26 Dic 2006 13:23    Oggetto: credo di avere un dialer (log di hijackthis) Rispondi citando
Ciao,
ho un problema con la connessione..dopo pochi minuti si disconnette tutto.
Chiedo qlk consiglio..ecco il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 11.29.00, on 26/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\mhzgba.exe
C:\windows\system32\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Rar$EX01.000\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {6B3393B9-802A-7B57-CFC3-12F3FEB95EDA} - C:\WINDOWS\eawld1.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [mhzgba.exe] C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\mhzgba.exe
O4 - HKLM\..\Run: [srvigmnh] "c:\windows\system32\srvigmnh.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Diskeeper 9 Professional Edition Registration.lnk = C:\Programmi\Executive Software\Diskeeper\ESIRegister.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe

grazie mille!!!
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 26 Dic 2006 15:46    Oggetto: Rispondi citando
Ciao, hai una brutta accoppiata, il trojan Clicker e il LinkOptimizer.

Rimuoviamoli:

Avvia HijackThis, premi Do a system scan only, spunta queste voci e poi premi FixChecked:

Citazione:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {6B3393B9-802A-7B57-CFC3-12F3FEB95EDA} - C:\WINDOWS\eawld1.dll (file missing)
O4 - HKLM\..\Run: [mhzgba.exe] C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\mhzgba.exe
O4 - HKLM\..\Run: [srvigmnh] "c:\windows\system32\srvigmnh.exe"


Scarica questi due tool camuffati per la rimozione del LinkOptimizer sul desktop:

Prevx
http://www.prevx.com/gromozon.asp

Symantec
http://www.mytempdir.com/1100940

Avvia prima il tool Prevx, quando ha finito la scansione ti chiede di riavviare il pc, tu accetta.

Riavviato il pc riavvialo di nuovo in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità)

Segnati queste operazioni perchè non potrai usare internet

Avvia il tool Symantec e fagli fare la scansione, quando ha finito:
Citazione:
Apri una cartella qualunque, vai su
Strumenti->Opzioni Cartella->scheda Visualizzazione,
spunta la voce "Visualizza cartelle e file nascosti", togli la spunta a
"Nascondi file protetti di sistema" (digli di sì).


Citazione:
Usa la ricerca di Windows e trova questi file: service32.exe, winsyst32.exe, syst32.dll, iexplore32.dll, spoolsv32.dll, cc1.txt, tuk.php, Sys.htm
(ricordati di attivare la ricerca nelle cartelle e nei file nascosti andando
in "Altre opzioni avanzate" e spuntando la voce
"Cerca nei file e nelle cartelle nascosti").


Se li trovi li cancelli

Inoltre controlla che questi file non ci siano più C:\WINDOWS\eawld1.dll, C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\mhzgba.exe (dovrebbe essere C:\Documents and Settings\Administrator\Impostazioni Locali\Temp...), c:\windows\system32\srvigmnh.exe, se ci sono li cancelli.

Vai su Start->Esegui->digita regedit, ti si apre la finestra dell'editor di registro, naviga fino a questa chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer se all'interno di essa c'è la chiave run cancellala (solo la chiave run!)

Riavvia il pc in Modalità Normale.

Posta un nuovo log di HijackThis, il log del tool Prevx (C:\Gromozon_Removal.log) e del tool Symantec (FixLinkOpt.log).
Top
Profilo Invia messaggio privato HomePage
filter
Mortale devoto
Mortale devoto


Registrato: 09/12/06 11:40
Messaggi: 12
MessaggioInviato: 26 Dic 2006 18:48    Oggetto: Rispondi citando
Grazie!!
Ecco quello che mi avevi chiesto:nel primo mi ero dimenticato di disattivare l'antivirus e questo è il risultato:

Removal tool loaded into memory
Removing ADS stream: C:\WINDOWS\system32:lzx32.sys:$DATA
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\com6.bvn
\\?\C:\WINDOWS\com6.bvn
Resetting file permissions...
Clearing attributes...
Accesso negato - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...

Removing temp files...
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni
Removing protected file: C:\Programmi\File comuni\Microsoft Shared\cipUYt.exe
Removing protected file: C:\Programmi\File comuni\Microsoft Shared\dvzH.exe
Removing protected file: C:\Programmi\File comuni\Microsoft Shared\fnDaTOz.exe
Removing protected file: C:\Programmi\File comuni\Microsoft Shared\gFYmxPu.exe
Removing protected file: C:\Programmi\File comuni\Microsoft Shared\kvwIxXA.exe
Removing protected file: C:\Programmi\File comuni\Microsoft Shared\lmdgGE.exe
Removing protected file: C:\Programmi\File comuni\Microsoft Shared\PUnFYa.exe
Removing protected file: C:\Programmi\File comuni\Microsoft Shared\rHG.exe
Removing protected file: C:\Programmi\File comuni\Microsoft Shared\zNBEZaL.exe
Removing protected file: C:\Programmi\File comuni\Services\acD.exe
Removing protected file: C:\Programmi\File comuni\Services\BxqSm.exe
Removing protected file: C:\Programmi\File comuni\Services\dgsQzCO.exe
Removing protected file: C:\Programmi\File comuni\Services\ENeQk.exe
Removing protected file: C:\Programmi\File comuni\Services\eVs.exe
Removing protected file: C:\Programmi\File comuni\Services\EYyiDYT.exe
Removing protected file: C:\Programmi\File comuni\Services\fHp.exe
Removing protected file: C:\Programmi\File comuni\Services\FvbTo.exe
Removing protected file: C:\Programmi\File comuni\Services\GsD.exe
Removing protected file: C:\Programmi\File comuni\Services\HOA.exe
Removing protected file: C:\Programmi\File comuni\Services\HWcrw.exe
Removing protected file: C:\Programmi\File comuni\Services\kcp.exe
Removing protected file: C:\Programmi\File comuni\Services\kolMsI.exe
Removing protected file: C:\Programmi\File comuni\Services\LEX.exe
Removing protected file: C:\Programmi\File comuni\Services\Mbh.exe
Removing protected file: C:\Programmi\File comuni\Services\MMsk.exe
Removing protected file: C:\Programmi\File comuni\Services\NrQQ.exe
Removing protected file: C:\Programmi\File comuni\Services\oNDVYx.exe
Removing protected file: C:\Programmi\File comuni\Services\PnHNdX.exe
Removing protected file: C:\Programmi\File comuni\Services\qKPvE.exe
Removing protected file: C:\Programmi\File comuni\Services\rEZ.exe
Removing protected file: C:\Programmi\File comuni\Services\RjsN.exe
Removing protected file: C:\Programmi\File comuni\Services\teseB.exe
Removing protected file: C:\Programmi\File comuni\Services\TFnXL.exe
Removing protected file: C:\Programmi\File comuni\Services\tGAdDp.exe
Removing protected file: C:\Programmi\File comuni\Services\ThVRTc.exe
Removing protected file: C:\Programmi\File comuni\Services\uCdt.exe
Removing protected file: C:\Programmi\File comuni\Services\VRS.exe
Removing protected file: C:\Programmi\File comuni\Services\XdhNVzC.exe
Removing protected file: C:\Programmi\File comuni\Services\xiH.exe
Removing protected file: C:\Programmi\File comuni\Services\xJQkOsQ.exe
Removing protected file: C:\Programmi\File comuni\Services\xKZ.exe
Removing protected file: C:\Programmi\File comuni\Services\XUL.exe
Removing protected file: C:\Programmi\File comuni\Services\yuq.exe
Removing protected file: C:\Programmi\File comuni\Services\yyscYfN.exe
Removing protected file: C:\Programmi\File comuni\Services\zzM.exe
Removing protected file: C:\Programmi\File comuni\System\APl.exe
Removing protected file: C:\Programmi\File comuni\System\Art.exe
Removing protected file: C:\Programmi\File comuni\System\bFF.exe
Removing protected file: C:\Programmi\File comuni\System\CYO.exe
Removing protected file: C:\Programmi\File comuni\System\DCU.exe
Removing protected file: C:\Programmi\File comuni\System\dENF.exe
Removing protected file: C:\Programmi\File comuni\System\DttkeHZ.exe
Removing protected file: C:\Programmi\File comuni\System\EXbzQH.exe
Removing protected file: C:\Programmi\File comuni\System\FVVBX.exe
Removing protected file: C:\Programmi\File comuni\System\fVZJ.exe
Removing protected file: C:\Programmi\File comuni\System\fxYH.exe
Removing protected file: C:\Programmi\File comuni\System\FzxEtVi.exe
Removing protected file: C:\Programmi\File comuni\System\gMPfKx.exe
Removing protected file: C:\Programmi\File comuni\System\HdlVa.exe
Removing protected file: C:\Programmi\File comuni\System\hrjZ.exe
Removing protected file: C:\Programmi\File comuni\System\hVuzD.exe
Removing protected file: C:\Programmi\File comuni\System\iGBgTX.exe
Removing protected file: C:\Programmi\File comuni\System\IHD.exe
Removing protected file: C:\Programmi\File comuni\System\jOgeZ.exe
Removing protected file: C:\Programmi\File comuni\System\JTY.exe
Removing protected file: C:\Programmi\File comuni\System\KqBVw.exe
Removing protected file: C:\Programmi\File comuni\System\KvhvXf.exe
Removing protected file: C:\Programmi\File comuni\System\LeNCPJs.exe
Removing protected file: C:\Programmi\File comuni\System\LXoiz.exe
Removing protected file: C:\Programmi\File comuni\System\Maa.exe
Removing protected file: C:\Programmi\File comuni\System\mDa.exe
Removing protected file: C:\Programmi\File comuni\System\mHoaH.exe
Removing protected file: C:\Programmi\File comuni\System\MJSuk.exe
Removing protected file: C:\Programmi\File comuni\System\MxS.exe
Removing protected file: C:\Programmi\File comuni\System\nDV.exe
Removing protected file: C:\Programmi\File comuni\System\NFF.exe
Removing protected file: C:\Programmi\File comuni\System\nHTjN.exe
Removing protected file: C:\Programmi\File comuni\System\nNtK.exe
Removing protected file: C:\Programmi\File comuni\System\ofX.exe
Removing protected file: C:\Programmi\File comuni\System\OUTe.exe
Removing protected file: C:\Programmi\File comuni\System\POW.exe
Removing protected file: C:\Programmi\File comuni\System\pSZSt.exe
Removing protected file: C:\Programmi\File comuni\System\pxY.exe
Removing protected file: C:\Programmi\File comuni\System\qNiCx.exe
Removing protected file: C:\Programmi\File comuni\System\QqtL.exe
Removing protected file: C:\Programmi\File comuni\System\qYL.exe
Removing protected file: C:\Programmi\File comuni\System\rcz.exe
Removing protected file: C:\Programmi\File comuni\System\rkr.exe
Removing protected file: C:\Programmi\File comuni\System\tUP.exe
Removing protected file: C:\Programmi\File comuni\System\UCSDle.exe
Removing protected file: C:\Programmi\File comuni\System\vSN.exe
Removing protected file: C:\Programmi\File comuni\System\wOxu.exe
Removing protected file: C:\Programmi\File comuni\System\wTF.exe
Removing protected file: C:\Programmi\File comuni\System\xbu.exe
Removing protected file: C:\Programmi\File comuni\System\Xbw.exe
Removing protected file: C:\Programmi\File comuni\System\XFR.exe
Removing protected file: C:\Programmi\File comuni\System\xMEe.exe
Removing protected file: C:\Programmi\File comuni\System\XNPxp.exe
Removing protected file: C:\Programmi\File comuni\System\xWqr.exe
Removing protected file: C:\Programmi\File comuni\System\yAR.exe
Removing protected file: C:\Programmi\File comuni\System\yBb.exe
Removing protected file: C:\Programmi\File comuni\System\YcsR.exe
Removing protected file: C:\Programmi\File comuni\System\YdT.exe
Removing protected file: C:\Programmi\File comuni\System\yfQrMJQ.exe
Removing protected file: C:\Programmi\File comuni\System\yHZhaW.exe
Removing protected file: C:\Programmi\File comuni\System\Ypi.exe
Removing protected file: C:\Programmi\File comuni\System\yRlBpJW.exe
Removing protected file: C:\Programmi\File comuni\System\YzE.exe
Removing protected file: C:\Programmi\File comuni\System\ZMk.exe
Gromozon-Related Malicious Code Detected!
FileName: C:\WINDOWS\eawld1.dll
Removed!


Trojan.Gromozon Removed!

Poi per sicurezza l'ho rifatto, con il seguente risultato:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.

La connessiione ora è stabile ,quindi il problema dovrebbe essere risolto.
Grazie mille!!
ciao!
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 26 Dic 2006 18:50    Oggetto: Rispondi citando
Mamma mia quanta roba Razz
Hai controllato che gli altri file non ci siano più?
Hai trovato quella chiave di registro?
Top
Profilo Invia messaggio privato HomePage
filter
Mortale devoto
Mortale devoto


Registrato: 09/12/06 11:40
Messaggi: 12
MessaggioInviato: 26 Dic 2006 19:08    Oggetto: Rispondi citando
Si,ho trovato:
service32.exe
winsyst32.exe
e anche il dialer it_0220.exe e l'ho cancellato.
Ho cancellato anche la chiave run che mi avevi indicati,e si riferiva a service32.
Sono stato connesso per 10 min al sito di alice,però poi si è sconnesso di nuovo.
Ti posto un nuovo log di hijackthis, se puo servire x controllare:

Logfile of HijackThis v1.99.1
Scan saved at 17.57.33, on 26/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\TEMP\rz?maa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Rar$EX00.469\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [rz?maa.exe] C:\WINDOWS\TEMP\rz?maa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Diskeeper 9 Professional Edition Registration.lnk = C:\Programmi\Executive Software\Diskeeper\ESIRegister.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: WebMpj - Unknown owner - C:\Programmi\File comuni\System\qYL.exe (file missing)
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 26 Dic 2006 19:19    Oggetto: Rispondi
Questo file C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\mhzgba.exe e questo C:\windows\system32\srvigmnh.exe li hai trovati?? sono da cancellare.

Riproviamo:

scaricati CCleaner e installalo

Fai le seguenti operazioni da disconnesso

Avvia HijackThis, premi Do a system scan only, spunta queste voci e poi premi FixChecked:
Citazione:
O4 - HKLM\..\Run: [rz?maa.exe] C:\WINDOWS\TEMP\rz?maa.exe
O23 - Service: WebMpj - Unknown owner - C:\Programmi\File comuni\System\qYL.exe (file missing)

Rifai le operazioni di cui sopra (Prevx in modalità normale e Symantec obbligatoriamente in Modalità Provvisoria).

Torna in Modalità Normale, Avvia CCleaner e vai su Opzioni->Avanzate, togli la spunta a "cancella file in windows temp solo se più vecchi di 48 ore",
torna su Cleaner e fai Analizza, quando ha finito clicca Avvia Cleaner.

Ricordati di postare tutti i vari log.

(Adesso che mi viene in mente.. è probabile che il file rootkit nascondesse una serie di processi e file che adesso sono visibili.. ecco perchè appaiono nuove voci su HijackThis, forse adesso si riesce a fare la rimozione definitiva).
Top
Profilo Invia messaggio privato HomePage
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi