Precedente :: Successivo |
Autore |
Messaggio |
Azali Mortale adepto

Registrato: 27/08/07 15:10 Messaggi: 37
|
Inviato: 27 Ago 2007 15:35 Oggetto: Trojan win32 agent |
|
|
Salve a tutti, ho un problema con questi trojan.
Questo e' il mio log fatto con hijackthis:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15.04.48, on 27/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\VEXPLITE\viritsvc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Trust\450LR Mouse Wireless Optical\Amoumain.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\MSATL32.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 89.186.66.247 L2authd.lineage2.com # KILAHnew
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [Versato] C:\Programmi\MediaKey\MagicRun.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [3COM] C:\Programmi\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: imfe.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{92DF6BBA-7DE5-47B4-9C0D-8CACFBBC62E5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
--
End of file - 6829 bytes
Questi sono i trojan ke mi ha trovato virit:
27/08/2007 - 12:45:42
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\Documents and Settings\Valentina\Impostazioni locali\Temporary Internet Files\Content.IE5\F2KVJ9CL\844750[1].txt Infetto da Trojan.Win32.Agent.AIE
C:\Documents and Settings\Valentina\Impostazioni locali\Temporary Internet Files\Content.IE5\O18T2Z05\877031[1].txt Infetto da Trojan.Win32.Agent.AIE
C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\4935265.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\844750.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\846875.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\859359.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\870843.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\877031.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\889062.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\iexplore_32.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\MSATL32.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\system32\igfxsvc.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\system32\spoolw.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\w32dbg.exe Infetto da Trojan.Win32.Agent.AXI
Chiavi Registro infette: 0.
Files Infetti: 15.
Files Sospetti: 0.
Files Analizzati: 34847.
Files Totali: 34847.
Il problema e' che virit mi trova questi trojan ma non me li rimuove piu' xke' sono passati i 30 gg di prova.
Norton non li riesce a rimuovere e nemmeno spybot e ad-aware
Ho provato manualmente a cancellarli ma mi sono sparite le icone dal desktop e la barra delle applicazioni. Sono riuscita a far tornare barra applicazioni e icone ma anke tutti sti trojan sono sempre li, anzi aumentano ogni volta ke riavvio il pc
Scusate se non sono molto chiara nelle spiegazioni ma non sono x niente esperta  |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 27 Ago 2007 16:56 Oggetto: |
|
|
Ciao Azali
Per cominciare, apri il notepad, e copia/incolla questo codice
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"spoolw"=-
"igfxsvc"=-
poi salva il file col nome di fix.reg in C:\ (IMPORTANTE!)
esegui hijackthis
metti il segno di spunta a queste voci:
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe
O4 - Startup: imfe.exe
clicca fix checked
Non riavviare il PC.
Scarica Avenger e mettilo un una sua cartella in C:\
http://swandog46.geekstogo.com/avenger.zip
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
Files to delete:
C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe
C:\WINDOWS\4935265.exe
C:\WINDOWS\844750.exe
C:\WINDOWS\846875.exe
C:\WINDOWS\859359.exe
C:\WINDOWS\870843.exe
C:\WINDOWS\877031.exe
C:\WINDOWS\889062.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\MSATL32.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\w32dbg.exe
programs to launch on reboot:
C:\fix.reg
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger. Lo trovi su C:\Avenger.txt, con un log aggiornato di hijackthis.
Poi, fai anche questi passaggi:
http://forum.zeusnews.com/viewtopic.php?p=194965#194965 passaggio 1 -
http://forum.zeusnews.com/viewtopic.php?p=194966#194966 passaggio 2 - |
|
Top |
|
 |
Azali Mortale adepto

Registrato: 27/08/07 15:10 Messaggi: 37
|
Inviato: 27 Ago 2007 18:43 Oggetto: |
|
|
Ciao Sante62, grazie x la tua veloce risposta ma ho seguito tutti i passaggi fino al riavvio del pc e purtroppo mi sono ritrovata di nuovo senza barra applicazioni ora non mi ricordo come avevo fatto l'altra volta a farla tornare infatti sto scrivendo da un altro pc e poi non vorrei incasinare......ke faccio ora? |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 27 Ago 2007 19:03 Oggetto: |
|
|
Apri il task Manager (CTRL+ALT+CANC) portati sul tag Applicazioni e clicca su Nuova Operazione.
All'interno della casellina digita: explorer.exe.
Vedi se va meglio.
Non dimenticare di inviarmi i log richiesti (Avenger, HJT e GMER). |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 28 Ago 2007 11:26 Oggetto: |
|
|
Sante62 ha scritto: | Apri il task Manager (CTRL+ALT+CANC) portati sul tag Applicazioni e clicca su Nuova Operazione.
All'interno della casellina digita: explorer.exe. |
o, altrimenti:
Citazione: |
avvia in mod. provvisoria, con CTRL+ALT+CANC apri Task manager
scegli: file -> nuova operazione --> digita regedit -->invio
trova queste chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
clic con destro su explorer.exe e scegli Elimina
fai lo stesso con iexplore.exe .
nel caso che non si fanno eliminare: clic con destro su explorer.exe, seleziona l'opzione autorizzazioni, seleziona il tuo account e spunta la casella controllo completo nella colonna consenti. poi di nuovo clic con destro-->elimina.
fai lo stesso con iexplore.exe
al riavvio le icone dovrebbero riapparire |
|
|
Top |
|
 |
Azali Mortale adepto

Registrato: 27/08/07 15:10 Messaggi: 37
|
Inviato: 28 Ago 2007 12:02 Oggetto: |
|
|
Ho fatto come ha detto Orange e le icone del desktop sono tornate, ecco il log :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jrxvwfjb
*******************
Script file located at: \??\C:\WINDOWS\spwcxonn.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe not found!
Deletion of file C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe failed!
Could not process line:
C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe
Status: 0xc0000034
File C:\WINDOWS\4935265.exe deleted successfully.
File C:\WINDOWS\844750.exe deleted successfully.
File C:\WINDOWS\846875.exe deleted successfully.
File C:\WINDOWS\859359.exe deleted successfully.
File C:\WINDOWS\870843.exe deleted successfully.
File C:\WINDOWS\877031.exe deleted successfully.
File C:\WINDOWS\889062.exe deleted successfully.
File C:\WINDOWS\iexplore_32.exe deleted successfully.
File C:\WINDOWS\MSATL32.exe deleted successfully.
File C:\WINDOWS\system32\igfxsvc.exe deleted successfully.
File C:\WINDOWS\system32\spoolw.exe deleted successfully.
File C:\WINDOWS\w32dbg.exe deleted successfully.
Program C:\fix.reg successfully set up to run once on reboot.
Completed script processing.
*******************
Finished! Terminate.
ora procedo con gli altri passaggi e poi posto il log
GRAZIE  |
|
Top |
|
 |
Azali Mortale adepto

Registrato: 27/08/07 15:10 Messaggi: 37
|
Inviato: 28 Ago 2007 13:56 Oggetto: |
|
|
http://www.freefilehosting.net/download/MTYzNzY=
http://www.freefilehosting.net/download/MTY0MDg=
qui i log di gmer (spero sia fatto bene ) |
|
Top |
|
 |
Azali Mortale adepto

Registrato: 27/08/07 15:10 Messaggi: 37
|
Inviato: 28 Ago 2007 14:04 Oggetto: |
|
|
Dimenticavo questo:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.01.48, on 28/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\VEXPLITE\viritsvc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Trust\450LR Mouse Wireless Optical\Amoumain.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 89.186.66.247 L2authd.lineage2.com # KILAHnew
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [Versato] C:\Programmi\MediaKey\MagicRun.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [3COM] C:\Programmi\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{92DF6BBA-7DE5-47B4-9C0D-8CACFBBC62E5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
--
End of file - 6332 bytes
e se puo servire l'ultima scansione con virit:
28/08/2007 - 11:56:43
[SCANSIONE DEL REGISTRO]
OK
[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
C:\backups\backup-20070827-174103-945-imfe.exe Infetto da Trojan.Win32.Agent.AXI
C:\Documents and Settings\Valentina\Impostazioni locali\Temporary Internet Files\Content.IE5\F2KVJ9CL\844750[1].txt Infetto da Trojan.Win32.Agent.AIE
C:\Documents and Settings\Valentina\Impostazioni locali\Temporary Internet Files\Content.IE5\O18T2Z05\877031[1].txt Infetto da Trojan.Win32.Agent.AIE
Chiavi Registro infette: 0.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 35631.
Files Totali: 35631. |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 28 Ago 2007 16:09 Oggetto: |
|
|
Ciao.
I log di GMER non presentano cose strane.
Nel log di HJT ci sono queste voci, che direi di fixare:-
O1 - Hosts: 89.186.66.247 L2authd.lineage2.com # KILAHnew
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com
Dovrebbero appartenere al sito RIPE NET di Amsterdam.
Se non le conosci fixale come hai fatto in precedenza.
Per il log di Virit invece, il primo file infetto si riferisce al Backup creato da avenger e basta che lo elimini, per il resto fai pulizia dei file temporanei con l'opzione pulitura disco oppure usa CCleaner e ATF Cleaner.
Adesso, se vuoi puoi fare una scansione online con Kaspersky:
http://forum.zeusnews.com/viewtopic.php?t=21705
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus ed eventualmente anche il firewall. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato. |
|
Top |
|
 |
Azali Mortale adepto

Registrato: 27/08/07 15:10 Messaggi: 37
|
Inviato: 28 Ago 2007 17:31 Oggetto: |
|
|
CIAO!
Ho cancellato il backup e fatto pulizia e ora dovrebbe essere tutto a posto
al riavvio anke virit nn ha trovato piu nulla
O1 - Hosts: 89.186.66.247 L2authd.lineage2.com # KILAHnew
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com
questi non mi danno problemi li ho messi io e servono x un gioco on line
Se faccio la scansione con kaspersky mando il link
Cmq GRAZIE sei stato veramente gentilissimo!!!!
 |
|
Top |
|
 |
Sante62 Dio maturo


Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia
|
Inviato: 28 Ago 2007 19:36 Oggetto: |
|
|
Bene...sono contento che hai risolto  |
|
Top |
|
 |
|