Inviato July 20, 2006 (modificato) Vi inserisco il log risultato da hijack. potreste dargli un'occhiata? grazie mille e buon lavoro a tutti. fulven Logfile of HijackThis v1.99.1 Scan saved at 11.27.43, on 20/07/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe C:\WINDOWS\ATKKBService.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\cisvc.exe C:\Programmi\File comuni\LightScribe\LSSrvc.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programmi\ASUS\NB Probe\NBProbe.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe C:\Programmi\HP\hpcoretech\hpcmpmgr.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programmi\HP\HP Software Update\HPWuSchd2.exe C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe C:\Programmi\Skype\Phone\Skype.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe C:\Programmi\Asus\Asus ChkMail\ChkMail.exe C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe C:\Programmi\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\HPZipm12.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktopOE.exe C:\WINDOWS\system32\cidaemon.exe C:\Programmi\Outlook Express\msimn.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\Admin\Impostazioni locali\Temp\wzd733\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.libero.it/"]http://www.libero.it/[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://www.asus.com"]http://www.asus.com[/url] R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url="http://www.google.it/"]http://www.google.it/[/url] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NB Probe] C:\Programmi\ASUS\NB Probe\NBProbe.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD LT.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O15 - Trusted Zone: [url="http://www.1987324.com"]www.1987324.com[/url] O15 - Trusted Zone: [url="http://www.adslconnection.name"]www.adslconnection.name[/url] O15 - Trusted Zone: [url="http://www.otherchance.com"]www.otherchance.com[/url] O15 - Trusted Zone: [url="http://www.softlab.name"]www.softlab.name[/url] O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - [url="http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab"]http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab[/url] O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe EDIT: ho editato il tuo post per bloccare i link maligni... Modificato July 20, 2006 da Jhonsilver Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 20, 2006 [ben]fulven[/ben] presto un esperto esaminerà il tuo log...ma dovresti specificare se il pc ti da qualche problema... Ciao Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 20, 2006 Secondo me solo questa voce è da togliere: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe Ma riscontri problemi in particolare? Comunque aspetta Kuma che magari deve darti più istruzioni Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 20, 2006 Ciao e benvenuto anche da parte mia fulven Per prima cosa, collegati a VIRUS TOTAL (link nella mia firma) e fai analizzare il seguente file: C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe Posta quindi qui il responso........... -------------------------------------------------------------- Il file che ti ha indicato Steve Fox è un virus...(Sospetto si tratti di Welchia o Assarm) infatti si carica da C:\WINDOWS\ mentre il file legittimo con lo stesso identico nome si trova in C:\Windows\System32 Esegui queste operazioni ------ > (Stampa la pagina) oppure fai un copia/incolla e salva il file con le istruzioni sul desktop... (L'opzione STAMPA è in alto a destra:) Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata. (Pannello di controllo > Opzioni Cartella > Visualizzazione) Disabilita il Ripristino di configurazione su tutte le unità (nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura) Avvia il PC in Modalità Provvisoria (tasto F8 durante la fase di caricamento) Portati nella cartella: C:\WINDOWS ed elimina il file svchost.exe ___________________________ Il virus è rimosso, ma è molto probabile che se riavvii adesso, riceverai un messaggio d'errore (del tipo: il file XXX non è stato trovato, una nuova installazione potrebbe risolvere ... ecc...) Questo perchè è presente la voce nel registro che Hijack NON rimuove Per rimuove la voce dal registro, occorre agire manualmente... Se vuoi procedere fai in questo modo: Da START\ESEGUI digita regedit Portarsi all seguente chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon individuare nella finestra di destra USERINIT ed eliminare la voce: ,C:\WINDOWS\svchost.exe (virgola compresa) ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi In pratica la chiave, dopo l'eliminazione della voce infetta, dovrà presentarsi in questo modo: Allo stesso modo controllare che la voce non sia presente nella chiave SHELL Per eliminare solo la voce infetta: doppio clic sul nome della chiave: Nelle finestra che si apre evidenziare la voce ,C:\WINDOWS\svchost.exe (virgola compresa) (l'esempio mostra un'altra voce) A questo punto premere il taso di cancellazione (Back Space) e quindi OK. ____________________________________________ Riavvia il Pc in Modalità Normale, e fai questi due controlli (Antivirus e Antispy) oppure poi Rimettimi qui un log aggiornato per la fase successiva Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 23, 2006 Vi ringrazio tutti, ragazzi. Seguirò i Vs. consigli. nel frattempo avevo installato super anti spyware che vede il virus, lo mette in quarantena, ma poi ritorna. sembra si autoriproduca.... Grazie ancora Fulven Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 23, 2006 msg per Kuma. ho controllato su virus total il file indicato da te, ma se lo cerco nel mio pc, non lo trovo, così l'ho copiato e il responso è il seguente: STATUS: FINISHEDComplete scanning result of "systrvsm.exe", received in VirusTotal at 07.23.2006, 11:38:38 (CET). AntivirusVersionUpdateResultAntiVir6.35.0.2407.22.2006TR/Dialer.HH.503Authentium4.93.807.21.2006 no virus foundAvast4.7.844.007.21.2006 no virus foundAVG38607.21.2006 no virus foundBitDefender7.207.22.2006BehavesLike:Trojan.TrustedZoneCAT-QuickHeal8.0007.22.2006 no virus foundClamAVdevel-2006042607.21.2006 no virus foundDrWeb4.3307.22.2006Dialer.RiprovaeTrust-InoculateIT23.72.7507.21.2006 no virus foundeTrust-Vet12.6.230507.21.2006 no virus foundEwido4.007.22.2006 no virus foundFortinet2.77.0.007.22.2006W32/Dialer.HLA!trF-Prot3.16f07.21.2006 no virus foundF-Prot44.2.1.2907.21.2006 no virus foundIkarus0.2.65.007.21.2006 no virus foundKaspersky4.0.2.2407.23.2006 no virus foundMcAfee481207.21.2006 no virus foundMicrosoft1.150807.23.2006 no virus foundNOD32v21.167407.22.2006a variant of Win32/Dialer.NCDNorman5.90.2307.21.2006 no virus foundPanda9.0.0.407.22.2006Dialer.HLASophos4.07.007.23.2006 no virus foundSymantec8.007.23.2006 no virus foundTheHacker5.9.8.17907.21.2006 no virus foundUNA1.8307.21.2006 no virus foundVBA323.11.007.22.2006Dialer.RiprovaVirusBuster4.3.7:907.22.2006 no virus found Aditional InformationFile size: 13824 bytesMD5: db24d3e99807e031298061f79b23ca91SHA1: afe6b27af3550abcb881d3a0b0363370e0037eac many thanks Fulven Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 23, 2006 Non lo vedi, perchè probabilmente è un file nascosto... "Visualizza cartelle e file nascosti"---> Pannello di controllo > Opzioni Cartella > Visualizzazione Comunque quel file pare essere a posto... L'altro (quello infetto) lo hai eliminato ??? Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 25, 2006 Caro Kuma, ho fatto quel che mi hai consigliato e per due giorni non è più apparso nulla. avevo eliminato il file secondo le istruzioni riportate da te ed avevo anche fatto la visualizzazione dei file nascosti. ora è ricomparso. i sintomi sono i seguenti: mentre sto su internet compare una finestrella che mi vuol far connettere ad un sito porno. sul desktop, sulla cartella programmi e su preferiti compaiono: - e1explorer - un programma tipo windows mediaplayer inoltre sulle connessioni di rete compare una connessione predefinita che è quella che si collega da sola. come antivirus ho avg, ad-aware e super anti spyware. avg trova i file e me li segnala al momento della tentata connessione, io li metto in quarantena e poi svuoto la quarantena, ma poi ricompare. ad-aware non trova nulla di questi file superantispyware non trova nulla di questi file mi consigli qualcosa? Grazie Fulvio Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 25, 2006 Prova a rimettermi il log di HJT (poi, magari cambiamo anche antivirus.... Avg free ultimamente sta perdendo qualche colpo ) Rinfrescami la memoria.... che firewall stai usando ??? Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 25, 2006 il mio avg non è free. è quello che si paga. il firewall credo sia inserito in avg. non so. a presto e grazie fulvio Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 25, 2006 Caro Kuma, inserisco il nuovo log come risultato. Logfile of HijackThis v1.99.1 Scan saved at 17.34.11, on 25/07/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe C:\WINDOWS\ATKKBService.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\cisvc.exe C:\Programmi\File comuni\LightScribe\LSSrvc.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programmi\ASUS\NB Probe\NBProbe.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe C:\Programmi\HP\hpcoretech\hpcmpmgr.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programmi\HP\HP Software Update\HPWuSchd2.exe C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe C:\Programmi\Skype\Phone\Skype.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programmi\Asus\Asus ChkMail\ChkMail.exe C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe C:\Programmi\WinZip\WZQKPICK.EXE C:\Programmi\Alice ti aiuta\bin\mpbtn.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programmi\Google\Google Desktop Search\GoogleDesktopOE.exe C:\WINDOWS\system32\cidaemon.exe C:\Programmi\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NB Probe] C:\Programmi\ASUS\NB Probe\NBProbe.exe O4 - HKLM\..\Run: [synTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe O4 - HKCU\..\Run: [skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD LT.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O15 - Trusted Zone: www.1987324.com O15 - Trusted Zone: www.adslconnection.name O15 - Trusted Zone: www.otherchance.com O15 - Trusted Zone: www.softlab.name O15 - Trusted Zone: www.xxx-content.name O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 25, 2006 Ok Fulvio, allora se è la versione a pagamento dovrebbe essere OK, non capisco perchè non ti rilevi il file che ricrea il malware... Per quello che riguarda il firewall, AVG dispone di questo, solo se si tratta della versione "AVG Anti-Virus plus Firewall Edition" (la versione si chiama proprio così --- Home).... A me dal tuo log non risulta nessun firewall caricato (solo antivirus e antispy) ma non ricevi avvisi che qualche programma cerca di connettersi (oppure li hai mai ricevuti ???) Per il log... in modalità provvisoria fissa queste voci con Hijack (è quella che hai fatto controllare... ma ho trovato altre info.... poche per la verità) C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe e quindi elimina l'intera cartella C:\Documents and Settings\Admin\Dati applicazioni\torafacire DEFINITION OF: SYSTRVSM.EXE Safety Rating: Known malware, do not run Questa voce (sempre presente nel log) io non so di cosa si tratti: <_< O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd Se vuoi, puoi provare a fissare la voce, ma per il momento non eliminare il file, in modo che se non è infetto puoi recuperare il settaggio dal backup di Hijack... Scarica quindi HOSTER clicca su "Ristabilisci Host originale"... poi su "Make Host Read only" (e chiudilo) Infine , usando Internet explorer, prova a fare una scansione approfondita come spiegato qui: http://forum.wininizio.it/index.php?showtopic=36981&hl= (occhio ai falsi positivi, visto che l'euristica è settata al massimo) Se trova qualcosa, salva il rapporto ed allegamelo qui... Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 31, 2006 Problema risolto eliminando il file torafacire. grazie Kuma a presto e buone ferie Fulvio Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato July 31, 2006 OK, Perfetto :up1: buone ferie anche a te Quindi se è tutto a posto, posso chiudere questo post... (altrimenti mi accollano altri log e diventa complicato gestirli) Nel caso che avessi altri problemi sempre riguardanti a questo, mandami un PM che lo riapro... oppure apri pure un nuovo topic specificando il problema... :omaggi: Condividi questo messaggio Link di questo messaggio Condividi su altri siti