Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Trojan win32 agent
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37

MessaggioInviato: 27 Ago 2007 15:35    Oggetto: Trojan win32 agent Rispondi citando

Salve a tutti, ho un problema con questi trojan.

Questo e' il mio log fatto con hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15.04.48, on 27/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\VEXPLITE\viritsvc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Trust\450LR Mouse Wireless Optical\Amoumain.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\MSATL32.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 89.186.66.247 L2authd.lineage2.com # KILAHnew
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [Versato] C:\Programmi\MediaKey\MagicRun.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [3COM] C:\Programmi\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: imfe.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{92DF6BBA-7DE5-47B4-9C0D-8CACFBBC62E5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 6829 bytes



Questi sono i trojan ke mi ha trovato virit:
27/08/2007 - 12:45:42

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Documents and Settings\Valentina\Impostazioni locali\Temporary Internet Files\Content.IE5\F2KVJ9CL\844750[1].txt Infetto da Trojan.Win32.Agent.AIE
C:\Documents and Settings\Valentina\Impostazioni locali\Temporary Internet Files\Content.IE5\O18T2Z05\877031[1].txt Infetto da Trojan.Win32.Agent.AIE
C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\4935265.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\844750.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\846875.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\859359.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\870843.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\877031.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\889062.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\iexplore_32.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\MSATL32.exe Infetto da Trojan.Win32.Agent.AIE
C:\WINDOWS\system32\igfxsvc.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\system32\spoolw.exe Infetto da Trojan.Win32.Agent.AXI
C:\WINDOWS\w32dbg.exe Infetto da Trojan.Win32.Agent.AXI

Chiavi Registro infette: 0.
Files Infetti: 15.
Files Sospetti: 0.
Files Analizzati: 34847.
Files Totali: 34847.

Il problema e' che virit mi trova questi trojan ma non me li rimuove piu' xke' sono passati i 30 gg di prova.
Norton non li riesce a rimuovere e nemmeno spybot e ad-aware

Ho provato manualmente a cancellarli ma mi sono sparite le icone dal desktop e la barra delle applicazioni. Sono riuscita a far tornare barra applicazioni e icone ma anke tutti sti trojan sono sempre li, anzi aumentano ogni volta ke riavvio il pc Sad

Scusate se non sono molto chiara nelle spiegazioni ma non sono x niente esperta Embarassed
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 27 Ago 2007 16:56    Oggetto: Rispondi citando

Ciao Azali Very Happy

Per cominciare, apri il notepad, e copia/incolla questo codice

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"spoolw"=-
"igfxsvc"=-


poi salva il file col nome di fix.reg in C:\ (IMPORTANTE!)


esegui hijackthis
metti il segno di spunta a queste voci:

O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe
O4 - Startup: imfe.exe


clicca fix checked
Non riavviare il PC.


Scarica Avenger e mettilo un una sua cartella in C:\
http://swandog46.geekstogo.com/avenger.zip
Avvialo
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

Files to delete:
C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe
C:\WINDOWS\4935265.exe
C:\WINDOWS\844750.exe
C:\WINDOWS\846875.exe
C:\WINDOWS\859359.exe
C:\WINDOWS\870843.exe
C:\WINDOWS\877031.exe
C:\WINDOWS\889062.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\MSATL32.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\w32dbg.exe

programs to launch on reboot:
C:\fix.reg

Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato di Avenger. Lo trovi su C:\Avenger.txt, con un log aggiornato di hijackthis.

Poi, fai anche questi passaggi:
http://forum.zeusnews.com/viewtopic.php?p=194965#194965 passaggio 1 -

http://forum.zeusnews.com/viewtopic.php?p=194966#194966 passaggio 2 -
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37

MessaggioInviato: 27 Ago 2007 18:43    Oggetto: Rispondi citando

Ciao Sante62, grazie x la tua veloce risposta ma ho seguito tutti i passaggi fino al riavvio del pc e purtroppo mi sono ritrovata di nuovo senza barra applicazioni ora non mi ricordo come avevo fatto l'altra volta a farla tornare Rolling Eyes infatti sto scrivendo da un altro pc Crying or Very sad e poi non vorrei incasinare......ke faccio ora?
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 27 Ago 2007 19:03    Oggetto: Rispondi citando

Apri il task Manager (CTRL+ALT+CANC) portati sul tag Applicazioni e clicca su Nuova Operazione.
All'interno della casellina digita: explorer.exe.
Vedi se va meglio.
Non dimenticare di inviarmi i log richiesti (Avenger, HJT e GMER).
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 28 Ago 2007 11:26    Oggetto: Rispondi citando

Sante62 ha scritto:
Apri il task Manager (CTRL+ALT+CANC) portati sul tag Applicazioni e clicca su Nuova Operazione.
All'interno della casellina digita: explorer.exe.

o, altrimenti:
Citazione:

avvia in mod. provvisoria, con CTRL+ALT+CANC apri Task manager
scegli: file -> nuova operazione --> digita regedit -->invio
trova queste chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe

clic con destro su explorer.exe e scegli Elimina
fai lo stesso con iexplore.exe .

nel caso che non si fanno eliminare: clic con destro su explorer.exe, seleziona l'opzione autorizzazioni, seleziona il tuo account e spunta la casella controllo completo nella colonna consenti. poi di nuovo clic con destro-->elimina.
fai lo stesso con iexplore.exe

al riavvio le icone dovrebbero riapparire
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37

MessaggioInviato: 28 Ago 2007 12:02    Oggetto: Rispondi citando

Ho fatto come ha detto Orange e le icone del desktop sono tornate, ecco il log :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jrxvwfjb

*******************

Script file located at: \??\C:\WINDOWS\spwcxonn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe not found!
Deletion of file C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe failed!

Could not process line:
C:\Documents and Settings\Valentina\Menu Avvio\Programmi\Esecuzione automatica\imfe.exe
Status: 0xc0000034

File C:\WINDOWS\4935265.exe deleted successfully.
File C:\WINDOWS\844750.exe deleted successfully.
File C:\WINDOWS\846875.exe deleted successfully.
File C:\WINDOWS\859359.exe deleted successfully.
File C:\WINDOWS\870843.exe deleted successfully.
File C:\WINDOWS\877031.exe deleted successfully.
File C:\WINDOWS\889062.exe deleted successfully.
File C:\WINDOWS\iexplore_32.exe deleted successfully.
File C:\WINDOWS\MSATL32.exe deleted successfully.
File C:\WINDOWS\system32\igfxsvc.exe deleted successfully.
File C:\WINDOWS\system32\spoolw.exe deleted successfully.
File C:\WINDOWS\w32dbg.exe deleted successfully.
Program C:\fix.reg successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

ora procedo con gli altri passaggi e poi posto il log

GRAZIE Smile
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37

MessaggioInviato: 28 Ago 2007 13:56    Oggetto: Rispondi citando

http://www.freefilehosting.net/download/MTYzNzY=

http://www.freefilehosting.net/download/MTY0MDg=

qui i log di gmer (spero sia fatto bene Rolling Eyes )
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37

MessaggioInviato: 28 Ago 2007 14:04    Oggetto: Rispondi citando

Dimenticavo questo:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.01.48, on 28/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\VEXPLITE\viritsvc.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Trust\450LR Mouse Wireless Optical\Amoumain.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\VEXPLITE\VIRITEXP.EXE
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 89.186.66.247 L2authd.lineage2.com # KILAHnew
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programmi\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [Versato] C:\Programmi\MediaKey\MagicRun.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [3COM] C:\Programmi\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{92DF6BBA-7DE5-47B4-9C0D-8CACFBBC62E5}: NameServer = 192.168.1.1
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 6332 bytes


e se puo servire l'ultima scansione con virit:

28/08/2007 - 11:56:43

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\backups\backup-20070827-174103-945-imfe.exe Infetto da Trojan.Win32.Agent.AXI
C:\Documents and Settings\Valentina\Impostazioni locali\Temporary Internet Files\Content.IE5\F2KVJ9CL\844750[1].txt Infetto da Trojan.Win32.Agent.AIE
C:\Documents and Settings\Valentina\Impostazioni locali\Temporary Internet Files\Content.IE5\O18T2Z05\877031[1].txt Infetto da Trojan.Win32.Agent.AIE

Chiavi Registro infette: 0.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 35631.
Files Totali: 35631.
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 28 Ago 2007 16:09    Oggetto: Rispondi citando

Ciao.
I log di GMER non presentano cose strane.

Nel log di HJT ci sono queste voci, che direi di fixare:-

O1 - Hosts: 89.186.66.247 L2authd.lineage2.com # KILAHnew
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com


Dovrebbero appartenere al sito RIPE NET di Amsterdam.
Se non le conosci fixale come hai fatto in precedenza.

Per il log di Virit invece, il primo file infetto si riferisce al Backup creato da avenger e basta che lo elimini, per il resto fai pulizia dei file temporanei con l'opzione pulitura disco oppure usa CCleaner e ATF Cleaner.

Adesso, se vuoi puoi fare una scansione online con Kaspersky:
http://forum.zeusnews.com/viewtopic.php?t=21705
Quando sta scaricando i file necessari, disattiva momentaneamente l'antivirus ed eventualmente anche il firewall. Non appena inizia la scansione del PC disconnettiti da internet.
Alla fine carica il risultato su www.freefilehosting.net, riportando quì il link che ti viene assegnato.
Top
Profilo Invia messaggio privato
Azali
Mortale adepto
Mortale adepto


Registrato: 27/08/07 15:10
Messaggi: 37

MessaggioInviato: 28 Ago 2007 17:31    Oggetto: Rispondi citando

CIAO! Very Happy
Ho cancellato il backup e fatto pulizia e ora dovrebbe essere tutto a posto
al riavvio anke virit nn ha trovato piu nulla Applause

O1 - Hosts: 89.186.66.247 L2authd.lineage2.com # KILAHnew
O1 - Hosts: 89.186.66.247 L2testauthd.lineage2.com

questi non mi danno problemi li ho messi io e servono x un gioco on line

Se faccio la scansione con kaspersky mando il link Wink

Cmq GRAZIE sei stato veramente gentilissimo!!!! Grazie
Ciao
Top
Profilo Invia messaggio privato
Sante62
Dio maturo
Dio maturo


Registrato: 27/06/07 17:55
Messaggi: 3477
Residenza: Floridia

MessaggioInviato: 28 Ago 2007 19:36    Oggetto: Rispondi

Bene...sono contento che hai risolto Wink
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi