| Precedente :: Successivo |
| Autore |
Messaggio |
vivafernandez
Mortale devoto
Registrato: 29/10/07 19:28
Messaggi: 10
Residenza: il paese dei balocchi
|
 Inviato: 29 Ott 2007 19:44 Oggetto: * RavMonlog.... maledetto trojan!!!! |
 |
|
Ciao, sono Vivafernandez e sono arrivato fin qui su suggerimento di un amico al quale chiedevo se fosse possibile eliminare un file che continuamente siricrea sul mio hd esterno all'avvio, dal nome Ravmonlog... ho scoperto che è un trojan, che si rigenera e ho provato a seguire le istruzioni sul forum ma ora mi ritrovo con la lista e siccome, da quello che ho capito si tratta di file di registro e non sono così pratico da essere in grado di scegliere cosa eliminare mi chiedevo se qualcuno potesse controllare la mia hijacklist per vedere cosa c'è che nn và... Vi ringrazio anticipatamente se anche nn vi fosse possibile... beh, grazie lo stesso!!!!
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.24.59, on 29/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe
C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\FILECO~1\VIRUSD~1\ugcw.exe
C:\PROGRA~1\FILECO~1\VIRUSD~1\gcw.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Utente\Documenti\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\FILECO~1\VIRUSD~1\ugcw.exe" -start
O4 - HKLM\..\Run: [gcw] "C:\PROGRA~1\FILECO~1\VIRUSD~1\gcw.exe" -start
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [FASTTRACKInternet] C:\WINDOWS\Passepartout.exe -A *fDNpFFzdY8amyMX8fjZgDNvZE8IGwMGkOnRgDwpbQtI3xfHRLCN0T1lbI8ayzLSBLXBtmwtaVtaW4fW5ZD51Xg1dx5dGQOGlYTk8XQgLN3YXzNWwZD5tXcjfByaFhMGNc3U8nwgUR4b3vOmxdT9OXIufRzIE8MGZSDN8WMvT5zbn0MnxZXNOXwlfJtYCuf31ZCV8X10TR8an8LXwSXZtUwpfVtfC8fH1MDR8jJyLV8ZX8MSwaXBtHwjfRtZD0fWQcC5xD10fo8ZDvLXELXNs3wpMBtbShfWwcHkx3FgLN1YDlaWEcWwsG5gMFkcnya2wdWVtGNjf9pbC1I21dG58CVkL51bX0cyxcmB1m8wcFgZHmcXgZGIumVgZlydXjIWhYH4lWVgfRudF2IGNYHV8WRtM5lczjbGgZX82SBgM5vYXuI2xZG9OXNtfRvcF8bGNMXx8TBlIAscg4Z3=NXN=
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O15 - Trusted Zone: http://*.free-default-update-win-mac-free-antivirus-nospam-download.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ACCF84B-DC08-4277-983B-9B9AD7121EC7}: NameServer = 213.205.36.70 213.205.32.70
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: gzg8wud2rcccs - Unknown owner - C:\WINDOWS\system32\systs.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LXCGCustomerConnect - Unknown owner - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGserv.exe (file missing)
--
End of file - 8624 bytes
Abbracci calorosi... Vivafernandez |
|
| Top |
|
 |
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 29 Ott 2007 20:13 Oggetto: |
|
|
benvenuto vivafernandez 
di infezioni ne hai più di una 
proviamo prima i passi più semplici:
disattiva il ripristino e avvia in modalità provvisoria
avvia HiJack, seleziona Do a system scan only, metti la spunta alle voci indicate e premi Fix checked:
| Citazione: | O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [FASTTRACKInternet] C:\WINDOWS\Passepartout.exe -A
O23 - Service: gzg8wud2rcccs - Unknown owner - C:\WINDOWS\system32\systs.exe (file missing) |
poi ci sarebbero questi due che non promettono nulla di buono:
O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\FILECO~1\VIRUSD~1\ugcw.exe" -start
O4 - HKLM\..\Run: [gcw] "C:\PROGRA~1\FILECO~1\VIRUSD~1\gcw.exe" -start
in Installazione applicazioni dovresti trovare qualcosa di simile: VIRUSDqualcosa. Disinstallalo.
Non mi convince nemmeno questa:
O15 - Trusted Zone: http://*.free-default-update-win-mac-free-antivirus-nospam-download.net
Fai per cortesia queste due scansioni con Gmer e posta i link richiesti |
|
| Top |
|
|
vivafernandez
Mortale devoto
Registrato: 29/10/07 19:28
Messaggi: 10
Residenza: il paese dei balocchi
|
| Inviato: 30 Ott 2007 13:08 Oggetto: Ravmonlog... maledetto trojan... continua!!! |
|
|
Ciao Orange... Grazie mille per l'aiuto!!!! Chiedo anticipatamente scusa se risulto prolisso, stò cercando di capire bene cosa succede nel mio pc... Dunque... ho seguito le tue direttive sia con Hijack che con gmer: con hijack la scansione che ho eseguito in modalità provvisioria nn ha visualizzato due dei sette file (che ti elenco di seguito) e che tu mi hai precedentemente indicato
O4 - HKCU\..\Run: FASTTRACKInternet]C:\WINDOWS\Passepartout.exe-A
O15-TrustedZone:http://*.free-default-update-win-mac-free-antivirus-nospam-download.net
Per il primo nn saprei, nn ho cambiato nulla dall'ultima scansione, credo per il secondo 015(...)che ci sia qualche coincidenza col fatto che oggi in modalità provvisioria il pc nn abbia visualizzato il modem che si chiama TrustMd3100, forse c'è una correlazione (almeno per assonanza?!?!)
Inoltre il programma "VirusDifesa", dal pannello di controllo/installazione applicazioni nn l'ho trovato, ma sono certo di averlo disinstallato la settimana scorsa perchè è stato erroneamente installato da qualcuno che ha usato il pc in mia assenza e mi sono accorto dopo tutto questo periodo che andava in conflitto con AVG e Ad-aware ( successivamente disinstallato) nn permettendogli la scansione giornaliera!!!
Cmq questo è il log prodotto dal programma:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.52.50, on 30/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Trust\Trust MD3100 USB ADSL MODEM\CnxDslTb.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LXCGCustomerConnect - Unknown owner - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGserv.exe (file missing)
--
End of file - 5579 bytes
Volevo chiederti: ha qualche importanza questo
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe
file dal nome simile al file che mi si crea nell'hd??? ( sono abbastanza ignorante, anzi in realtà sono in fase di studio e comprensione... chiedo venia!!!!)
Infine ti linko gli indirizzi delle scanzioni eseguite con Gmer:
per la scansione autostart
http://www.freefilehosting.net/download/MzIzMTY=
per la scansione rootkit
http://www.freefilehosting.net/download/MzIzMTc=
Mille ringraziamenti... resto in attesa!!! Abbracci calorosi!!! Vivafernandez |
|
| Top |
|
|
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 30 Ott 2007 15:05 Oggetto: |
|
|
intanto fixa questa voce in provvisoria
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe
e sempre in provvisoria eliminane il file...
ora guardo gli altri logs... |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 30 Ott 2007 19:12 Oggetto: |
|
|
ciao.
scarica Avenger e scompattalo sul desktop
scarica anche questo tool e fai lo scan completo del sistema
avvia Avenger, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:
| Citazione: | Files to delete:
C:\WINDOWS\RavMonE.exe
Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|RavAV |
Clicca Done
poi sul icona del semaforo
rispondi Yes (a questo punto il PC dovrebbe riavviarsi. se così non fosse riavvialo manualmente)
al riavvio posta il log del tool, uno di Avenger e un log aggiornato di HJT fatto in modalità normale |
|
| Top |
|
|
vivafernandez
Mortale devoto
Registrato: 29/10/07 19:28
Messaggi: 10
Residenza: il paese dei balocchi
|
| Inviato: 30 Ott 2007 21:32 Oggetto: |
|
|
Ciao orange.... ho eseguito tutte le tue istruzioni, fatto tutto... ma è ancora lì!!!! il Maledetto c'è ancora!!! Forse stò sbagliando da qualche parte... accidneti nn capisco! Ti linko le cose che hanno prodotto le scansioni varie con avenger, il tool e HjT:
http://www.freefilehosting.net/download/MzIzODk=
http://www.freefilehosting.net/download/MzIzOTA=
http://www.freefilehosting.net/download/MzIzOTE=
Nn so proprio... accidenti... Scusate se vi rubo tutto questo tempo!!!!
resto in attesa... Vivafernandez :  |
|
| Top |
|
|
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 30 Ott 2007 21:44 Oggetto: |
|
|
fixa questa:
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe
poi scarica virit, aggiornalo e fai la scansione, alla fine posta il log... |
|
| Top |
|
|
vivafernandez
Mortale devoto
Registrato: 29/10/07 19:28
Messaggi: 10
Residenza: il paese dei balocchi
|
| Inviato: 31 Ott 2007 04:14 Oggetto: nn so proprio più che fare.... |
|
|
Ciao... ho fatto come suggerito...
in modalità provvisoria ho
fixato il file O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe
poi scaricato virit, aggiornato e fatto la scansione prima con l'uno poi cn hjt.... la scansione con virit l'ho dovuta ripetere diverse volte ma nn riesco a portarla a termine, mi dice che c'è un errore del programma... quindi l'ho eseguita manualmente su ogni periferica e nn so quanto possa essere veritiera, cmq la prima volta ha trovato e rmosso anche file dal registro... e dal mio hd addirittura 22 se nn sbaglio... e con hjt poi nn è più comparso...
però nell'hd SIIIII!!!!
http://www.freefilehosting.net/download/MzI0NDc=
http://www.freefilehosting.net/download/MzI0NDg=
Buonanotte... vado dormire profondamente sconfortato!!!!  |
|
| Top |
|
|
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 31 Ott 2007 07:59 Oggetto: |
|
|
| su hijackthis non c'è...fai una scansione online con kaspersky, poi salva il logfile in formato htm e caricalo su www.freefilehosting.net |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 31 Ott 2007 08:35 Oggetto: |
|
|
Fai questa scansione con SystemScan e posta il log su FreeFileHosting come indicato qui.
Edit:
prima, però, disabilita l'avvio automatico dei dispositivi USB (chiavette, HD, iPod, etc...).
Per farlo in maniera semplice, scaricati il programma TweakUI da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
| Citazione: | Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI
PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato  |
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai un check delle stesse con il tuo antivirus.
Quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato. |
|
| Top |
|
|
vivafernandez
Mortale devoto
Registrato: 29/10/07 19:28
Messaggi: 10
Residenza: il paese dei balocchi
|
| Inviato: 02 Nov 2007 17:00 Oggetto: mi sembra vada meglio... ma ditemi voi!!! |
|
|
Ciao bdoriano... grazie della consulenza e scusa se nn sono stato rapido... dunque ho fatto come mi hai detto e in più ho sostituito avg con kaspersky ( mi hanno detto che è meglio... nn so... però ha trovato un sacco di cose che avg nn ha trovato.. cmq) ti linko i log di systemscan e poi ho rifatto una scansione con hjt... aspetto nuove... grazie mille...
http://www.freefilehosting.net/download/MzI5ODg=
http://www.freefilehosting.net/download/MzI5ODk=
Grazie, abbracci belli... Vivafernandez |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 02 Nov 2007 17:31 Oggetto: |
|
|
L'avvio automatico dei dispositivi USB è ancora disabilitato, vero?
Apri il notepad, e copia/incolla questo codice
| Citazione: | Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FASTTRACKInternet"=- |
poi salva il file col nome di fix.reg in C:\ (IMPORTANTE!)
Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:
| Citazione: | Files to delete:
C:\WINDOWS\Passepartout.exe
C:\WINDOWS\RavMonE.exe
C:\WINDOWS\system32\systs.exe
Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | C:\WINDOWS\RavMonE.exe
Registry keys to delete:
HKLM\system\currentcontrolset\services\gzg8wud2rcccs
Programs to launch on reboot:
C:\fix.reg |
Clicca su Done
Clicca sul semaforo
Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il risultato con un log aggiornato di hijackthis.
Controlla con il tuo antivirus tutti i dispositivi USB che hai. |
|
| Top |
|
|
vivafernandez
Mortale devoto
Registrato: 29/10/07 19:28
Messaggi: 10
Residenza: il paese dei balocchi
|
| Inviato: 03 Nov 2007 22:43 Oggetto: |
|
|
ciao... ho fatto la scansione con avenger e questo è il log prodotto:
http://www.freefilehosting.net/download/MzMyNzQ=
mentre per hjt ( ho fatto la scnsione in provvisoria) ecco l'altro:
http://www.freefilehosting.net/download/MzMyNzU=
inoltre ho eseguito una scansione con kasper anche sui miei archivi di massa usb ma nn ha trovato nulla...
Resto in attesa,
Vivafernandez |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 03 Nov 2007 23:07 Oggetto: |
|
|
Dovresti essere a posto.
Riscontri ancora problemi? |
|
| Top |
|
|
vivafernandez
Mortale devoto
Registrato: 29/10/07 19:28
Messaggi: 10
Residenza: il paese dei balocchi
|
| Inviato: 04 Nov 2007 02:00 Oggetto: mi sembra tutto a posto |
|
|
Grande!!! No, mi sembra che vada tutto a posto, anche dai miei hd esterni nn compare più nulla e mi sembra che vada tutto bene. Adesso dovrò, credo dare un'occhiata al mio pc portatile che ha avuto a che fare con la il mio hd esterno e che forse presenta lo stesso problema... Però Ti ringrazio... se dovessi avere problemi con quello posso postarti qualche scansione? Mi chiedevo... come posso cercare di capire tra i file di registro, per esempio con il log di hjt, quali siano file estranei al sistema? A presto... Ti ringrazio ancora moltissimo...
Abbracci belli...
Vivafernandez |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Nov 2007 09:34 Oggetto: Re: mi sembra tutto a posto |
 |
|
| vivafernandez ha scritto: | | Grande!!! No, mi sembra che vada tutto a posto, anche dai miei hd esterni nn compare più nulla e mi sembra che vada tutto bene. Adesso dovrò, credo dare un'occhiata al mio pc portatile che ha avuto a che fare con la il mio hd esterno e che forse presenta lo stesso problema... Però Ti ringrazio... se dovessi avere problemi con quello posso postarti qualche scansione? |
Si, apri una discussione nuova per evitare "incasinamenti" con i logs.
| vivafernandez ha scritto: | | Mi chiedevo... come posso cercare di capire tra i file di registro, per esempio con il log di hjt, quali siano file estranei al sistema? |
Per interpretare i logs di hijackthis, niente di più facile:
vai su HijackThis.de Security e copia il tuo log nella finestra proposta, togli il segno di spunta a Mostra i voti dei visitatori e clicca su Analizza.
Dall'analisi avrai delle indicazioni di massima (abbastanza affidabili)
Segno di spunta: voce tendenzialmente ok (vedere anche le note aggiuntive a fianco)
Punto di domanda: voce sconosciuta (solitamente, poi, si fanno ricerche su internet e nei forum specifici)
Croce: voce pericolosa (da eliminare. Anche qui, prima di fare qualsiasi operazione, è meglio fare un'ulteriore ricerca su internet e nei forum specifici)
Tieni conto che, anche se hai già fatto tu questa operazione, solitamente, anche noi vogliamo vedere il log di hijackthis.
L'esperienza ci fa capire quale potrebbe essere l'infezione e individuare lo strumento adatto alla rimozione nel più breve tempo possibile.  |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
