Dialer al bacio

[oracolo]

Buongiorno a tutti.

Ho un computer sul quale si presenta spesso una icona con disegnate delle labbra rosse sulla cartella c:\windows\temp. E' un dialer, mi crea una nuova connessione ad internet col nome appunto "Internet" ma senza nome utente, password e numero di composizione. Il file sulla temp riesco a cancellarlo, chiaramente prima devo terminarlo perché mi dice che è attivo, inoltre cancello la relativa riga sul run del regedit, ma dopo qualche giorno ritorna. Ho fatto scansioni col NOD32, Ad-Aware, Spybot S&D, sysclean del pc cillin.

Vi posto il resoconto di hijackthis dopo che ho tolto quel tro**io, io non ci vedo nulla di balordo.

Unica cosa, ho cancellato un file chiamato mdsc.ini sulla system32. Potrebbe essere quello che richiamava un sito del cavolo e installava il dialer?

Logfile of HijackThis v1.99.1

Scan saved at 17.40.07, on 06/01/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

c:\windows\system32\svchost.exe

C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programmi\ltmoh\Ltmoh.exe

C:\Programmi\Acer\Notebook Manager\almxptray.exe

C:\Programmi\Eset\nod32krn.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Launch Manager\LaunchAp.exe

C:\VEXPLITE\viritsvc.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\CtrlVol.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

C:\Programmi\File comuni\Real\Update_OB\realsched.exe

C:\Programmi\Eset\nod32kui.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\VEXPLITE\MONLITE.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Programmi\Messenger\msmsgs.exe

C:\Programmi\Olympus\DeviceDetector\DevDtct2.exe

C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Programmi\Microsoft Reference\Bookshelf 99\qshelf99.exe

C:\Documents and Settings\Letizia Girolami\Desktop\Antivirus\sysclean.com

C:\Documents and Settings\Letizia Girolami\Desktop\Antivirus\sysclean.exe

C:\Documents and Settings\Letizia Girolami\Desktop\Antivirus\VSCANTM.BIN

C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Documents and Settings\Letizia Girolami\Desktop\marco\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmi\Acer\Notebook Manager\almxptray.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

O4 - Startup: QuickShelf 99.lnk = C:\Programmi\Microsoft Reference\Bookshelf 99\qshelf99.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Device Detector 2.lnk = C:\Programmi\Olympus\DeviceDetector\DevDtct2.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

O23 - Service: wlmsngr - Unknown owner - C:\WINDOWS\wlmsngr.exe (file missing)

O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

[$angelique!?]

[ben]Marco A[/ben]

[$angelique!?]

Ciao Marco A,

hai fatto benissimo ad eliminare mdsc.ini, (se dovesse ripresentarsi useremo killbox).

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

Ccleaner (pulizia generale) + Eusing Free Registry Cleaner 1.2 (Pulizia del Registro)

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Disabilita il Ripristino di configurazione su tutte le unità

(nota che questo ELIMINERà TUTTI i punti di ripristino, quindi se non riscontri più problemi, crea almeno un nuovo punto di ripristino dopo questa procedura)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a questa voce e clicca su "fix checked"

O23 - Service: wlmsngr - Unknown owner - C:\WINDOWS\wlmsngr.exe (file missing)

Da StART\ESEGUI digita:

sc stop wlmsngr (e dai l'OK)

sc delete wlmsngr (e dai l'OK)

Ripulisci il sistema con Ccleaner

ma prima di effettuare la pulizia, vai in Opzioni\Avanzate e togli la spunta a :

(in seguito... Ccleaner usalo una volta al mese... se lo usi più spesso NON svuotare la cartella prefetch... se svuoti questa cartella troppo spesso potresti rallentare il sistema)

Pulisci il registro con Eusing Free Registry Cleaner 1.2 (Pulizia del Registro)

Riavvia il pc in modalità normale ristabilisci il ripristino di configurazione e crea un nuovo punto di ripristino

Collegati per una scansione On-line a: (Antivirus e Antispy)

poi

Se non vuoi essere esposto ad alcune vulnerabilità, dovresti installare il Service Pack 2

In particolare per quel file che pare sia già stato rimosso (wlmsngr.exe)

Installa queste (non servono se installerai il SP2)

KB835732

KB828741

KB828028

[zizi]

Ciao, ho lo stesso identico problema...solo che ne file log di hjthis.....nn ho quella stessa chiave

mi potresti dare una mano?

[Steve75]

Ciao, ho lo stesso identico problema...solo che ne file log di hjthis.....nn ho quella stessa chiave

mi potresti dare una mano?

[ben]zizi[/ben]

Ciao ,

di solito quel dialer è legato ad rootkit DialCall.... comincia a fare uno scan con AVG Antirootkit

Dai una ripulita a cookie,cache e prefetch con Ccleaner

(Quando lo installi ricordati che se lasci le spunte di defuat ,verrà installata anche la toolbar yahoo)

(prima di usarlo vai in Opzioni/avanzate e togli la spunta da :Elimina file temp di Windows solo se piu vecchi di 48 ore)

Elimina eventuale connessione creata

fai anche uno scan online Kaspersky in questo modo

Posta sia il log dello scan online e segnalaci il risultato di AVG

Controlla anche di non avere i file riportati in questa pagina

http://www.wininizio.it/forum/index.php?showtopic=51185

[zizi]

CIAO!!

come si utilizza il ccleaner......nn vorrei eliminare file importanti

[Kuma]

Lascia le impostazioni di default e nella schermata principale clicca su "Avvia Cleaner"

di danni non ne fa ed elimina solo i file spazzatura che si sono accumulati

[zizi]

ciao....oltre al rootkit, si mette anche la linea a fare capricci.....c'è un guasto.....mi hanno detto al 187......ma oltre il guasto, cmq, ho fatto pulizia con ccleaner.....ha tolto tutto......ma il file continua a ricomparire nella cartella temp.................

[zizi]

se serve , mentre kaspersky sta facendo la scansione on line

metto il log fi hjck

Logfile of HijackThis v1.99.1

Scan saved at 12.21.12, on 13/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\system32\services.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Programmi\ltmoh\Ltmoh.exe

C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

C:\Programmi\Aspire Arcade\PCMService.exe

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe

C:\Programmi\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Alice ti aiuta\bin\mpbtn.exe

C:\Acer\eManager\anbmServ.exe

C:\Programmi\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programmi\Mozilla Firefox\firefox.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Documents and Settings\Augusto\Desktop\hijackthis - anti-spyware - ESEC AUTO\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Aspire Arcade\PCMService.exe"

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{225BB809-1636-46B5-9E38-F4A8B1557856}: NameServer = 85.37.17.50 85.38.28.76

O17 - HKLM\System\CS1\Services\Tcpip\..\{225BB809-1636-46B5-9E38-F4A8B1557856}: NameServer = 85.37.17.50 85.38.28.76

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

[zizi]

questo invece è il risultato di kaspersky

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\DEFAULT Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SOFTWARE Object is locked skipped

C:\WINDOWS\system32\config\SYSTEM Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\Paramete.evt Object is locked skipped

C:\WINDOWS\system32\drivers\atapi.sys Object is locked skipped

C:\WINDOWS\system32\drivers\sptd7661.sys Object is locked skipped

C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\tskvjlos.exe Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\SoftwareDistribution\EventCache\{8714CCD0-E979-4101-AA93-1AD69639902C}.bin Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Augusto\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Augusto\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Augusto\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Augusto\Impostazioni locali\Cronologia\History.IE5\MSHist012007021320070214\index.dat Object is locked skipped

C:\Documents and Settings\Augusto\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Augusto\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Augusto\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Augusto\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\Cache\_CACHE_MAP_ Object is locked skipped

C:\Documents and Settings\Augusto\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\Cache\_CACHE_001_ Object is locked skipped

C:\Documents and Settings\Augusto\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\Cache\_CACHE_002_ Object is locked skipped

C:\Documents and Settings\Augusto\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\Cache\_CACHE_003_ Object is locked skipped

C:\Documents and Settings\Augusto\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Augusto\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\history.dat Object is locked skipped

C:\Documents and Settings\Augusto\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\formhistory.dat Object is locked skipped

C:\Documents and Settings\Augusto\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\cert8.db Object is locked skipped

C:\Documents and Settings\Augusto\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\key3.db Object is locked skipped

C:\Documents and Settings\Augusto\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\search.sqlite Object is locked skipped

C:\Documents and Settings\Augusto\Dati applicazioni\Mozilla\Firefox\Profiles\kk1iz6zk.default\parent.lock Object is locked skipped

C:\Documents and Settings\Augusto\Dati applicazioni\Sun\Java\Deployment\log\plugin150_10.trace Object is locked skipped

C:\Programmi\ESET\logs\virlog.dat Object is locked skipped

C:\Programmi\ESET\logs\warnlog.dat Object is locked skipped

C:\Programmi\ESET\cache\CACHE.NDB Object is locked skipped

C:\Programmi\Alice ti aiuta\log\mpbtn.log Object is locked skipped

[Steve75]

Ciao ,

i log sono puliti , anche se non interi

Comunque ;

hai fatto lo scan con AVG ?

Hai consoltutato il link ?

Al limite potresti fare anche uno scan con PREVX1

[zizi]

(B) ...che significa che nn sono completi

cmq.....ho seguito alla lettera il link....e nn ho quei file descritti

.....però, purtroppo il file labbra rosse.....si è ripresentato puntuale

[Kuma]

Ciao...

il tuo rootkit si chiama Rustock B...

Prova con uno di questi remover tools

http://www.greatis.com/security/Rustock(lz...ee_removal_tool

ISTRUZIONI

1. Apri reanimator.exe.
   
2. Clicca su "Remove Rustock Rootkit".
   
3. Sarai avvistato che stai per usare "RootkitNO" .
   
4. Avvialo!
   
5. Sarai avvisato di riavviareil r computer.
   
6. Dopo il riavvio, il file Rustock sarà rimosso usando Partizan.
   

Al termine del processo di rimozione, puoi rimuoverePartizan dall'avvio di Windows .

Click su "UnInstall Partizan" .

Puoi anche eliminare la cartella "RootkitNo" dal disco dove hai installato Windows.

info

Tool n°2

http://www.uploads.ejvindh.net/rustbfix.exe

[zizi]

Ciao

Spero di nn cantare vittoria troppo presto.....ma sembra che il ba*****o file al momento nn si ricrei

ormai sono + di 24 ore.......prima, nel giro di 12 ore me lo ritrovavo nella cartella temp.......

GRAZIE, per il momento ;)

[Kuma]

Ciao,

facci sapere, che se la soluzione è valida potrebbe anche servire ad altri

[zizi]

fino ad adesso è valido il primo tool (di fatto il secondo nn l'ho dovuto usare) quindi nn saprei

confermo che fino ad ora il file nn si è ripresentato.......adesso sono abbastanza tranquillo

grazie mille a tutti

[Kuma]

Grazie a te e felice che hai risolto