Accedi per seguire   
Seguaci 0
fulven

Trojan Horse

14 messaggi in questa discussione

Inviato (modificato)

Vi inserisco il log risultato da hijack. potreste dargli un'occhiata? grazie mille e buon lavoro a tutti.

fulven

Logfile of HijackThis v1.99.1
Scan saved at 11.27.43, on 20/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ASUS\NB Probe\NBProbe.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Outlook Express\msimn.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Admin\Impostazioni locali\Temp\wzd733\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.libero.it/"]http://www.libero.it/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://www.asus.com"]http://www.asus.com[/url]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url="http://www.google.it/"]http://www.google.it/[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NB Probe] C:\Programmi\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD LT.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O15 - Trusted Zone: [url="http://www.1987324.com"]www.1987324.com[/url]
O15 - Trusted Zone: [url="http://www.adslconnection.name"]www.adslconnection.name[/url]
O15 - Trusted Zone: [url="http://www.otherchance.com"]www.otherchance.com[/url]
O15 - Trusted Zone: [url="http://www.softlab.name"]www.softlab.name[/url]
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - [url="http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab"]http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab[/url]
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe

EDIT: ho editato il tuo post per bloccare i link maligni... :)

Modificato da Jhonsilver

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

[ben]fulven[/ben]

presto un esperto esaminerà il tuo log...ma dovresti specificare se il pc ti da qualche problema...

Ciao :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Secondo me solo questa voce è da togliere:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe

Ma riscontri problemi in particolare?

Comunque aspetta Kuma che magari deve darti più istruzioni :P

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao e benvenuto anche da parte mia fulven

Per prima cosa, collegati a VIRUS TOTAL (link nella mia firma) e fai analizzare il seguente file:

C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe

Posta quindi qui il responso...........

--------------------------------------------------------------

Il file che ti ha indicato Steve Fox è un virus...(Sospetto si tratti di Welchia o Assarm)

infatti si carica da C:\WINDOWS\

mentre il file legittimo con lo stesso identico nome si trova in C:\Windows\System32

Esegui queste operazioni ------ > (Stampa la pagina) oppure fai un copia/incolla e salva il file con le istruzioni sul desktop...

(L'opzione STAMPA è in alto a destra:)

capt0017ah.jpg

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il PC in Modalità Provvisoria (tasto F8 durante la fase di caricamento)

Portati nella cartella: C:\WINDOWS ed elimina il file svchost.exe

___________________________

Il virus è rimosso, ma è molto probabile che se riavvii adesso, riceverai un messaggio d'errore (del tipo: il file XXX non è stato trovato, una nuova installazione potrebbe risolvere ... ecc...)

Questo perchè è presente la voce nel registro che Hijack NON rimuove

Per rimuove la voce dal registro, occorre agire manualmente...

Se vuoi procedere fai in questo modo:

Da START\ESEGUI digita regedit

Portarsi all seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT ed eliminare la voce: ,C:\WINDOWS\svchost.exe

(virgola compresa)

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

In pratica la chiave, dopo l'eliminazione della voce infetta, dovrà presentarsi in questo modo:

capt0020yj.jpg

Allo stesso modo controllare che la voce non sia presente nella chiave SHELL

capt0016sb.jpg

Per eliminare solo la voce infetta:

doppio clic sul nome della chiave: capt0024rb.jpg

Nelle finestra che si apre evidenziare la voce ,C:\WINDOWS\svchost.exe (virgola compresa)

capt0031kv.jpg

(l'esempio mostra un'altra voce)

A questo punto premere il taso di cancellazione (Back Space) capt0044gc.jpg

e quindi OK.

____________________________________________

Riavvia il Pc in Modalità Normale, e fai questi due controlli

(Antivirus e Antispy)

screenshot0103fc.jpg oppure screenshot0044ao.jpg

poi

foto0038se.jpg

Rimettimi qui un log aggiornato per la fase successiva

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Vi ringrazio tutti, ragazzi.

Seguirò i Vs. consigli.

nel frattempo avevo installato super anti spyware che vede il virus, lo mette in quarantena, ma poi ritorna. sembra si autoriproduca....

Grazie ancora

Fulven

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

msg per Kuma.

ho controllato su virus total il file indicato da te, ma se lo cerco nel mio pc, non lo trovo, così l'ho copiato e il responso è il seguente:

STATUS: FINISHEDComplete scanning result of "systrvsm.exe", received in VirusTotal at 07.23.2006, 11:38:38 (CET).

AntivirusVersionUpdateResultAntiVir6.35.0.2407.22.2006TR/Dialer.HH.503Authentium4.93.807.21.2006 no virus foundAvast4.7.844.007.21.2006 no virus foundAVG38607.21.2006 no virus foundBitDefender7.207.22.2006BehavesLike:Trojan.TrustedZoneCAT-QuickHeal8.0007.22.2006 no virus foundClamAVdevel-2006042607.21.2006 no virus foundDrWeb4.3307.22.2006Dialer.RiprovaeTrust-InoculateIT23.72.7507.21.2006 no virus foundeTrust-Vet12.6.230507.21.2006 no virus foundEwido4.007.22.2006 no virus foundFortinet2.77.0.007.22.2006W32/Dialer.HLA!trF-Prot3.16f07.21.2006 no virus foundF-Prot44.2.1.2907.21.2006 no virus foundIkarus0.2.65.007.21.2006 no virus foundKaspersky4.0.2.2407.23.2006 no virus foundMcAfee481207.21.2006 no virus foundMicrosoft1.150807.23.2006 no virus foundNOD32v21.167407.22.2006a variant of Win32/Dialer.NCDNorman5.90.2307.21.2006 no virus foundPanda9.0.0.407.22.2006Dialer.HLASophos4.07.007.23.2006 no virus foundSymantec8.007.23.2006 no virus foundTheHacker5.9.8.17907.21.2006 no virus foundUNA1.8307.21.2006 no virus foundVBA323.11.007.22.2006Dialer.RiprovaVirusBuster4.3.7:907.22.2006 no virus found

Aditional InformationFile size: 13824 bytesMD5: db24d3e99807e031298061f79b23ca91SHA1: afe6b27af3550abcb881d3a0b0363370e0037eac

many thanks

Fulven

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non lo vedi, perchè probabilmente è un file nascosto...

"Visualizza cartelle e file nascosti"---> Pannello di controllo > Opzioni Cartella > Visualizzazione

Comunque quel file pare essere a posto...

L'altro (quello infetto) lo hai eliminato ???

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Caro Kuma,

ho fatto quel che mi hai consigliato e per due giorni non è più apparso nulla. avevo eliminato il file secondo le istruzioni riportate da te ed avevo anche fatto la visualizzazione dei file nascosti.

ora è ricomparso.

i sintomi sono i seguenti:

mentre sto su internet compare una finestrella che mi vuol far connettere ad un sito porno.

sul desktop, sulla cartella programmi e su preferiti compaiono:

- e1explorer

- un programma tipo windows mediaplayer

inoltre sulle connessioni di rete compare una connessione predefinita che è quella che si collega da sola.

come antivirus ho avg, ad-aware e super anti spyware.

avg trova i file e me li segnala al momento della tentata connessione, io li metto in quarantena e poi svuoto la quarantena, ma poi ricompare.

ad-aware non trova nulla di questi file

superantispyware non trova nulla di questi file

mi consigli qualcosa?

Grazie

Fulvio

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Prova a rimettermi il log di HJT

(poi, magari cambiamo anche antivirus.... Avg free ultimamente sta perdendo qualche colpo :) )

Rinfrescami la memoria.... che firewall stai usando ???

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

il mio avg non è free. è quello che si paga.

il firewall credo sia inserito in avg. non so.

a presto e grazie

fulvio

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Caro Kuma,

inserisco il nuovo log come risultato.

Logfile of HijackThis v1.99.1

Scan saved at 17.34.11, on 25/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\WINDOWS\ATKKBService.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\cisvc.exe

C:\Programmi\File comuni\LightScribe\LSSrvc.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ATK0100\HControl.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programmi\ASUS\NB Probe\NBProbe.exe

C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe

C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe

C:\Programmi\HP\hpcoretech\hpcmpmgr.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe

C:\Programmi\Skype\Phone\Skype.exe

C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe

C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Programmi\Asus\Asus ChkMail\ChkMail.exe

C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programmi\WinZip\WZQKPICK.EXE

C:\Programmi\Alice ti aiuta\bin\mpbtn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe

C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\Programmi\Google\Google Desktop Search\GoogleDesktopOE.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Programmi\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.it/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NB Probe] C:\Programmi\ASUS\NB Probe\NBProbe.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd

O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\ASUSTeK\ASUSDVD\PDVDServ.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Elements 4.0\apdproxy.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe

O4 - HKCU\..\Run: [skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe

O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD LT.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O15 - Trusted Zone: www.1987324.com

O15 - Trusted Zone: www.adslconnection.name

O15 - Trusted Zone: www.otherchance.com

O15 - Trusted Zone: www.softlab.name

O15 - Trusted Zone: www.xxx-content.name

O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/insta...staller_gmn.cab

O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: spmgr - Unknown owner - C:\Programmi\ASUS\NB Probe\SPM\spmgr.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ok Fulvio, allora se è la versione a pagamento dovrebbe essere OK, non capisco perchè non ti rilevi il file che ricrea il malware...

Per quello che riguarda il firewall, AVG dispone di questo, solo se si tratta della versione "AVG Anti-Virus plus Firewall Edition" (la versione si chiama proprio così --- Home)....

A me dal tuo log non risulta nessun firewall caricato (solo antivirus e antispy)

ma non ricevi avvisi che qualche programma cerca di connettersi (oppure li hai mai ricevuti ???)

Per il log...

in modalità provvisoria fissa queste voci con Hijack (è quella che hai fatto controllare... ma ho trovato altre info.... poche per la verità)

C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe

O4 - HKLM\..\Run: [oaeiu] C:\Documents and Settings\Admin\Dati applicazioni\torafacire\systrvsm.exe

e quindi elimina l'intera cartella

C:\Documents and Settings\Admin\Dati applicazioni\torafacire

DEFINITION OF: SYSTRVSM.EXE


  • Safety Rating: Known malware, do not run

Questa voce (sempre presente nel log) io non so di cosa si tratti: <_<

O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd

Se vuoi, puoi provare a fissare la voce, ma per il momento non eliminare il file, in modo che se non è infetto puoi recuperare il settaggio dal backup di Hijack...

Scarica quindi HOSTER clicca su "Ristabilisci Host originale"...

poi su "Make Host Read only" (e chiudilo)

Infine , usando Internet explorer, prova a fare una scansione approfondita come spiegato qui:

http://forum.wininizio.it/index.php?showtopic=36981&hl=

(occhio ai falsi positivi, visto che l'euristica è settata al massimo)

Se trova qualcosa, salva il rapporto ed allegamelo qui...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Problema risolto eliminando il file torafacire.

grazie Kuma a presto e buone ferie

Fulvio

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

OK, Perfetto :up1:

buone ferie anche a te :)

Quindi se è tutto a posto, posso chiudere questo post...

(altrimenti mi accollano altri log e diventa complicato gestirli)

Nel caso che avessi altri problemi sempre riguardanti a questo, mandami un PM che lo riapro...

oppure apri pure un nuovo topic specificando il problema...

:omaggi:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ospite
Questa discussione è chiusa.
Accedi per seguire   
Seguaci 0