Invasione Sul Mio Pc!

[Shura_Cheskassky]

In fase di caricamento di Xp mi appare il seguente errore "Errore il sistema non riesce a trovare il file itddd.exe"

Qualcuno sa come fare a non visualizzare più tale errore?

[Beep Beep]

è un virus ---->> http://www.virit.com/startup/scheda.asp?num=1488

scarica hijackthis e fai una scansione in modalità provvisoria.

Salva il log, e allegalo successivamente sul forum, così vediamo cosa ranzare via

[Shura_Cheskassky]

Grazie ti faccio sapere al più presto :eyme: ]

[Shura_Cheskassky]

Ecco il file log che mi ha dato dopo la scansione:

Logfile of HijackThis v1.99.1

Scan saved at 11.04.44, on 23/06/05

Platform: Windows NT 4 SP6 (WinNT 4.00.1381)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\RpcSs.exe

C:\WINNT\system32\LEXBCES.EXE

C:\WINNT\system32\spoolss.exe

D:\program files\lotus\notes\ntmulti.exe

C:\WINNT\System32\NALNTSRV.EXE

C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

c:\winnt\system32\pstores.exe

C:\WINNT\system32\MSTask.exe

C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe

C:\WINNT\System32\wm.exe

C:\NOVELL\ZENRC\wuser32.exe

C:\NOVELL\ZENRC\WUOLService.exe

C:\WINNT\System32\WMRUNDLL.EXE

d:\PROGRA~1\IBM\CLIENT~1\cwbbs.exe

d:\PROGRA~1\IBM\CLIENT~1\cwbntred.exe

C:\WINNT\system32\nddeagnt.exe

d:\Programmi\IBM\Client Access\CWBPROVD.EXE

C:\WINNT\IV65C1.EXE

C:\WINNT\Explorer.exe

C:\WINNT\System32\SysTray.Exe

D:\Programmi\IBM\Client Access\cwbuitsk.exe

d:\Programmi\IBM\Client Access\CWBSVD.EXE

C:\WINNT\System32\NWTRAY.EXE

C:\WINNT\System32\loadwc.exe

C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe

C:\WINNT\System32\qttask.exe

D:\Programmi\Microsoft Office\Office\MSOFFICE.EXE

C:\WINNT\System32\ddhelp.exe

d:\PROGRA~1\WinZip\winzip32.exe

C:\TEMP\HijackThis.exe

D:\Programmi\Microsoft Office\Office\Winword.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.it.msn.com/access/allinone.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.10.10.15/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\pcpro.mondadori.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da PC Professionale

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxyserv:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.10.10.15; webserver.industrie.bitron.net;10*;indsrv*;webserv*;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINNT\System32\SEARCH~1.DLL

F2 - REG:system.ini: UserInit=d:\PROGRA~1\IBM\CLIENT~1\cwbbs.exe,d:\PROGRA~1\IBM\CLIENT~1\cwbntred.exe,d:\PROGRA~1\IBM\CLIENT~1\cwbprovd.exe,userinit,nddeagnt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [Client Access Service] "d:\Programmi\IBM\Client Access\CwbSvStr.Exe"

O4 - HKLM\..\Run: [Client Access Taskbar] "d:\Programmi\IBM\Client Access\cwbuitsk.exe"

O4 - HKLM\..\Run: [Client Access API Daemon] "d:\Programmi\IBM\Client Access\cwbappcd.exe"

O4 - HKLM\..\Run: [Client Access Help Update] "d:\Programmi\IBM\Client Access\cwbinhlp.exe"

O4 - HKLM\..\Run: [Client Access Check Version] "d:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN

O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O4 - HKLM\..\Run: [browserWebCheck] loadwc.exe

O4 - HKLM\..\Run: [schedulingAgent] mstinit.exe /logon

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [hpfsched] C:\WINNT\hpfsched.exe

O4 - HKLM\..\Run: [] "C:\Programmi\Trend Micro\OfficeScan Client\"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINNT\System32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [systems] C:\WINNT\System32\itDDD.exe

O4 - Global Startup: Barra degli strumenti Microsoft Office.lnk = D:\Programmi\Microsoft Office\Office\MSOFFICE.EXE

O4 - Global Startup: ConQsr.bat

O13 - WWW. Prefix: http://

O14 - IERESET.INF: START_PAGE_URL=http:\\pcpro.mondadori.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = industrie.bitron.net

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = industrie.bitron.net

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = industrie.bitron.net

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.10.10.4 10.10.10.5

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = industrie.bitron.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.10.10.4 10.10.10.5

O23 - Service: Comando remoto Client Access (Cwbrxd) - IBM Corporation - C:\WINNT\CWBRXD.EXE

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE

O23 - Service: Multi-user Cleanup Service - Unknown owner - D:\program files\lotus\notes\ntmulti.exe

O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE

O23 - Service: Remote management (Novell WUser Agent) - Novell, Inc. - C:\NOVELL\ZENRC\wuser32.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe

O23 - Service: Novell Workstation Manager (WM) - Novell, Inc. - C:\WINNT\System32\wm.exe

O23 - Service: WUOLservice (WUOLService) - Novell, Inc. - C:\NOVELL\ZENRC\WUOLService.exe

cosa devo eliminare? :eyme:

[Beep Beep]

C:\WINNT\IV65C1.EXE

C:\WINNT\System32\itDDD.exe

ConQsr.bat

direi di iniziare da questi. Gli altri mi sembrano apposto

[Shura_Cheskassky]

C:\WINNT\IV65C1.EXE

C:\WINNT\System32\itDDD.exe

ConQsr.bat

il primo non lo trovo IV65C1.EXE mentre itDDD.exe l'ho già eliminato.

Cos'è ConQsr.bat?

Grazie

[Beep Beep]

non lo so anche con google non c'erano riferimenti, per questo ti ho scritto di eliminarla.

Alla fine, fai anche una bella passata con adaware, o spy-bot

[Shura_Cheskassky]

Già fatto sia con spy-bot che con Ad-ware ma il segnale di errore rimane.

[mau69]

buongiorno, sono nuovo, ho anche io problemi con itddd.exe

ho installato hijackthis, cancellato il file itddd.exe, sgrunt, archiciosex, ma in windows/system non riesco a cancellare itddd.exe

cosa devo fare?

grazie

[Predator]

Guarda seul task manager se ci sono processi associati ad esso, in caso affermativo, killali (ossia li termini ) epoi torni sulla cartella di windows. Se non è un file protetto dovrebbe lasciarti a cancellarlo.

Un altro metodo sarebbe entrare in modalità provvisoria e provare a cancellarlo da là.

[mau69]

buongiorno, sono nuovo, ho anche io problemi con itddd.exe

ho installato hijackthis, cancellato il file itddd.exe, sgrunt, archiciosex, ma in windows/system non riesco a cancellare itddd.exe

cosa devo fare?

grazie

60126[/snapback]

grazie 1.000 predator per la pronta risposta, ma sono riuscito a cancellarlo, spero definitivamente!

[Darnota]

In fase di caricamento di Xp mi appare il seguente errore "Errore il sistema non riesce a trovare il file itddd.exe"

Qualcuno sa come fare a non visualizzare più tale errore?

55101[/snapback]

@ shura

O13 - WWW. Prefix: http://

questo lo fixerei

buongiorno, sono nuovo, ho anche io problemi con itddd.exe

ho installato hijackthis, cancellato il file itddd.exe, sgrunt, archiciosex, ma in windows/system non riesco a cancellare itddd.exe

cosa devo fare?

grazie

60126[/snapback]

il Troj/Dloader-PP è un downloader Trojan si istalla nel sistema operativo e fà installare e girare programmi senza notificarlo ed all'insaputa dell'utente

con molta probabilità il file può rimanere latente nel registro è andrebbe eliminato

entrate in modalità provvissoria\start\esegui\digidate regedit e date invio

cliccate su modifica\trova digidate itddd.exe proseguite la ricerca usando il tasto f3

se si presenta il file usate il canc è eliminatelo

dovreste trovarlo in questa stringa:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Systems

<System>\itDDD.exe

lanciate on line

http://www.anti-trojan.net/en/onlinecheck.aspx

PRESTATE MASSIMA ATTENZIONE A SEGUIRE LE ISTRUZIONI

OGNI OPERAZIONE SUI FILES DI REGISTRO POTREBBE CREARE SERI PROBLEMI

AL SISTEMA OPERATIVO

[Darnota]

Già fatto sia con spy-bot che con Ad-ware ma il segnale di errore rimane.

55479[/snapback]

usa il cerca del s.o. trova IV65C1.EXE tasto destro proprietà e vedi a chi appartiene

[vittima]

SALVE,

SONO NUOVA DI QUESTO FORUM..E SOPRATTUTTO VI SONO ENTRATA A CAUSA DEL VIRUS ITDDD.EXE CHE SI E' AUTOMATICAMENTE INSTALLATO SUL MIO PC.

HO PROVATO AD ENTRARE NEL REGISTO EDITOR E NON SONO RIUSCITA A CANCELLARLO DEFINITIVAMENTE.

ALTRI LINK TROVATI IN QUESTE PAGINE NON MI PERMETTE DI VISUALIZZARLI.

POTETE DARMI UNA MANO IN MANIERA SEMPLICE E CELERE?

GRAZIE.

[barbarella]

Ciao e Benvenuta

Per favore non scrivere in maiuscolo, equivale ad urlare.

Per il tuo problema un pò di pazienza, qualcuno risponderà al tuo quesito.

[barbarella]

Scusa Vittima ma non hai un antivirus?

[Darnota]

SALVE,

SONO NUOVA DI QUESTO FORUM..E SOPRATTUTTO VI SONO ENTRATA A CAUSA DEL VIRUS ITDDD.EXE CHE SI E' AUTOMATICAMENTE INSTALLATO SUL MIO PC.

HO PROVATO AD ENTRARE NEL REGISTO EDITOR E NON SONO RIUSCITA A CANCELLARLO DEFINITIVAMENTE.

ALTRI LINK TROVATI IN QUESTE PAGINE NON MI PERMETTE DI VISUALIZZARLI.

POTETE DARMI UNA MANO IN MANIERA SEMPLICE E CELERE?

GRAZIE.

62272[/snapback]

Ciao e benvenuta

bisogna ringraziare il virus per averci fatto incontrare

scherzi a parte non è così semplice devi darmi più informazioni

s.o. antivirus e firewall

e comunque scarica HijackThis 1.99.1

poi posta il log in formato .txt

il file lo trovi [probabilmente nella cartella "documenti" come .log e si apre in genere con "notepad"]

poi

file\salva con nome\ quando vedi sulla tendina nome file cambia da .log a .txt

vedrai anche la scritta

salva come \documento di testo(*.txt)

dai invio

così ne troverai un altro come .txt

poi la procedura sul forum da: rispondi\modalità avanzata\ "gestisci allegati"\sfoglia ecc....

procedimento un po' lungo ma così non puoi sbagliare

ciao

ps

ricordati che se scrivi maiuscolo (nei forum)è come gridare meglio minuscolo

[campovolo]

Ciao a tutti sono nuovo del forum. Più volte le discussioni che ho letto su WinInizio mi sono state utilissime per risolvere problemi di vario genere col pc e ora ho pensato bene di registrarmi per sondare il terreno su un problema assillante che riguarda il processo itDDD.exe / ctfmon.exe / doppia esecuzione del processo IEXPLORE.EXE......leggendo qua e là ne ho provate parecchie per eliminare itDDD.exe dall' HijachThis all'eliminazione chiavi reg. comparse da un minuto all'altro..ma nulla da fare. C'è qualche volontario che ha voglia di darmi una mano?? Un grazie in anticipo! :leggi:

[Guest chinaski]

ciao campovolo e Benvenuto

ho unito la tua discussione a questa, segui pure gli ottimi consigli di Beep Beep Darnota e gli altri

[Darnota]

riguarda il processo itDDD.exe / ctfmon.exe / doppia esecuzione del processo IEXPLORE.EXE......leggendo qua e là ne ho provate parecchie per eliminare itDDD.exe dall' HijachThis all'eliminazione chiavi reg.  comparse da un minuto all'altro..ma nulla da fare.

Ciao Camp

va esaminato con attenzione il log di HJ postalo come allegato in formato .txt

( il file lo trovi [probabilmente nella cartella "documenti" come .log e si apre in genere con "notepad"]

poi

file\salva con nome\ quando vedi sulla tendina nome file cambia da .log a .txt

vedrai anche la scritta

salva come \documento di testo(*.txt)

dai invio

così ne troverai un altro come .txt

poi la procedura sul forum da: rispondi\modalità avanzata\ "gestisci allegati"\sfoglia ecc....

procedimento un po' lungo ma così non puoi sbagliare)

determinare se ctfmon.exe che un processo normale del s.o. non sia sato corrotto da worm\backdoor

itDDD.exe è collegato al Troj/Dloader-PP di cui se vuoi le specifiche leggi

( http://www.sophos.com/virusinfo/analyses/trojdloaderpp.html )

IEXPLORE.EXE ha un lunghissimo elenco di trojan,worm ec che possono corromperlo

quando hai operato per "disinfestare" eri in modalità provvisoria?

ti do alcuni av on line

http://scan.sygatetech.com/pretrojanscan.html

http://www.windowsecurity.com/trojanscan/

pulisci il sistema con

ccleaner

ciao