Accedi per seguire   
Seguaci 0
AnnaLucia

Mi Controllate Questo Log Per Favore

7 messaggi in questa discussione

VirIt mi ha trovato questi virus:

C:\Documents and Settings\Proprietario\Impostazioni locali\Temp\tzycfa.exe Infetto da Trojan.Win32.Dialer.IH

C:\WINDOWS\system32\irdvxc.exe Infetto da Worm.Allaple.D

C:\WINDOWS\system32\lzx32.sys Infetto da Trojan.Win32.Costrat.D

Ma non riesco ad eliminarli....

Allora ho lanciato hijackthis...Per favore mi controllate questo log?

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 16.33.10, on 30/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\WinRAR\WinRAR.exe

C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\Rar$EX00.781\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice.it

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/servlet/P...;build=STANDARD

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [updateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Programmi\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKLM\..\Run: [tzycfa.exe] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\tzycfa.exe

O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe

O4 - HKCU\..\Run: [backupNotify] c:\Programmi\HP\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\MSMSGS.EXE" /background

O4 - HKUS\S-1-5-18\..\Run: [MS System Call Function] MSSCF32.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [MS System Call Function] MSSCF32.exe (User 'Default user')

O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe

O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?

O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1164635504972

O20 - AppInit_DLLs: Prova.dll

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--

End of file - 7767 bytes

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

:P Ciao AnnaLucia,

il log di hijackthis devi eseguirlo in modalità normale,

la scansione di Virit l'hai fatta anche in modalità provvisoria?

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao! In verità li ho eseguiti in moadlità normale entrambi e comunque virit mi è scaduto quindi trova i virus ma non li limina..... :P in più ho scoperto che si sono installate 2 connesioni strane che tentavano di connettersi da sole e mi staccavano l'adsl, ora le ho eliminate. :) Mi puoi aiutare? puoi controllarmi il log di hijack e dirmi cosa eliminare per favore? Aspetto tue notizie! :P

Anna

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Scusa, hai ragione, è questo il log in modalità normale:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 2.18.08, on 31/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\VEXPLITE\viritsvc.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\VEXPLITE\MONLITE.EXE

C:\Programmi\Messenger\MSMSGS.EXE

C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programmi\Alice ti aiuta\bin\mpbtn.exe

C:\Programmi\Java\j2re1.4.2_03\bin\bak\jusched.exe

C:\VEXPLITE\VIRITEXP.EXE

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\WinRAR\WinRAR.exe

C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\Rar$EX00.875\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice.it

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/servlet/P...;build=STANDARD

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [updateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Programmi\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKLM\..\Run: [tzycfa.exe] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\tzycfa.exe

O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe

O4 - HKCU\..\Run: [backupNotify] c:\Programmi\HP\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\MSMSGS.EXE" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [MS System Call Function] MSSCF32.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [MS System Call Function] MSSCF32.exe (User 'Default user')

O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe

O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1164635504972

O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBC1033-497D-428E-ABA1-22847122E3A7}: NameServer = 85.37.17.9 85.38.28.75

O17 - HKLM\System\CS1\Services\Tcpip\..\{2EBC1033-497D-428E-ABA1-22847122E3A7}: NameServer = 85.37.17.9 85.38.28.75

O20 - AppInit_DLLs: Prova.dll

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--

End of file - 8366 bytes

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao AnnaLucia cerca di usare dei titoli che possano far capire il problema :)

titoloinaccettabilent8.png

_______________________________________________________

Prima proviamo a togliere il Gromozon

Che versione di Virit hai usato ????? (Fai una scansione in Modalità provvisoria ed allega il suo log)

Per sicurezza, dai una passata anche con questi:

1. http://securityresponse.symantec.com/avcenter/FixLinkopt.exe (in modalità provvisoria)

2. http://www.prevx.com/gromozon.asp

Da START\ESEGUI digita: control userpasswords2 clicca su Ok

riporta qui i nomi presenti.

----------

Questa parte la devi fare dopo (non tutte le voci potrebbero essere presenti)

Scarica questi programmi che ti serviranno anche per una futura manutenzione:

ATF cleaner

http://www.atribune.org/ccount/click.php?id=1(pulizia generale) + Eusing Free Registry Cleaner 1.2 (Pulizia del Registro)

Ricordati di mettere HIJACK in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee.... è importante se vuoi salvare i backup

Esegui queste operazioni essendo disconnesso e con tutte le applicazioni chiuse ------ > (salva in un file queste istruzioni )

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

Avvia il sistema in Modalità Provvisoria

CON TUTTE LE APPLICAZIONI CHIUSE....

Avvia ATF Cleaner

(se usi Firefox o Opera, selezionali dal menu in alto)

metti la spunta su "Select All" per ogni browser

e clicca su "Empty Select"

.Avvia Hijack e clicca su "do a system scan only"

Metti la spunta a queste voci (potrebbero non esserci tutte) e clicca su "fix checked

C:\WINDOWS\ALCXMNTR.EXE

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [tzycfa.exe] C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\tzycfa.exe

O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe

O4 - HKUS\S-1-5-18\..\Run: [MS System Call Function] MSSCF32.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [MS System Call Function] MSSCF32.exe (User 'Default user')

O20 - AppInit_DLLs: Prova.dll

Trova e se ci sono elimina questi files o cartelle

C:\DOCUMENT AND SETTING\PROPRIETARIO\IMPOSTAZIONI LOCALI\Temp\tzycfa.exe

???\MSSCF32.exe (da cercare, probabilmente in \System32)

???\ Prova.dll (da cercare)

Pulisci il registro con Eusing Free Registry Cleaner 1.x (Pulizia del Registro)

NB___se le voci non compaiono in modalità provvisoria vanno fissate da quella normale.

rifai il log e mettilo qui per un ulteriore controllo (il log va fatto in modalità normale)

specificando se il problema ti pare che si sia risolto

----------------

Se dopo la pulizia, (aspetta un paio di giorni) il sistema ti sembra che funzioni correttamente, Disabilita il Ripristino di configurazione su tutte le unità;

(nota che questo ELIMINERà TUTTI i punti di ripristino, ed eventuali virus in esso contenuti..)

Quindi riabilitalo almeno sull'unità dove hai installato il sistema operativo (solitamente il disco C:\) e crea un nuovo punto di ripristino pulito

--

Allega tutti i log richiesti, e se possibile aggiorna il sistema con il Service Pack 2

(il worm w32-rbot te lo sei beccata perchè il sistema non è aggiornato [exploit])

___________

Se questo non dovesse bastare, prova ad installare le versione di prova di PrevX

http://fileinfo.prevx.com/adware/qq2a28589...SSCF32.EXE.html

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho fatto tutto e ora posto i risultati:

1. Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer.

2. Lanciando la stringa control userpasswords2 compaiono i nomi Administrator e Proprietario

La versione di VirIt è la 6.1.96 (tra l’altro mi è scaduta) e questi sono i trojan che ha trovato dopo che ho fatto pulizia con i vari programmi che mi hai consigliato di installare e lanciare:

[sCANSIONE DEL REGISTRO]

OK

[C:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

C:\hp\KBD\KBD.EXE Possibile variante da Trojan.Win32.Agent.DW

C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe Possibile variante da Trojan.Win32.Agent.DW

C:\Programmi\ClamWin\bin\ClamTray.exe Possibile variante da Trojan.Win32.Agent.DW

C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe Possibile variante da Trojan.Win32.Agent.DW

C:\Programmi\HP\Digital Imaging\bin\backupnotify.exe Possibile variante da Trojan.Win32.Agent.DW

C:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe Possibile variante da Trojan.Win32.Agent.DW

C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe Possibile variante da Trojan.Win32.Agent.DW

C:\Programmi\Multimedia Card Reader\shwicon2k.exe Possibile variante da Trojan.Win32.Agent.DW

C:\WINDOWS\system32\lzx32.sys Infetto da Trojan.Win32.Costrat.D

[D:]

MASTER BOOT RECORD: OK

BOOT SECTOR: OK

[E:]

[F:]

[H:]

BOOT SECTOR: OK

[i:]

BOOT SECTOR: OK

[J:]

BOOT SECTOR: OK

[K:]

BOOT SECTOR: OK

[L:]

BOOT SECTOR: OK

Chiavi Registro infette: 0.

Files Infetti: 9.

Files Sospetti: 0.

Files Analizzati: 128288.

Files Totali: 128288.

Chiavi Registro rimosse: 0.

Virus Rimossi: 0.

HIjackthis purtroppo in modalità provvisoria mi salva il log in un formato non riconosciuto dal mio pc perciò ti allego il log fatto in modalità normale:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 15.05.13, on 02/04/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\windows\system32\svchost.exe

C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Programmi\Prevx1\PXAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\VEXPLITE\viritsvc.exe

C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe

C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe

C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\VEXPLITE\MONLITE.EXE

C:\Programmi\Prevx1\PXConsole.exe

C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programmi\Alice ti aiuta\bin\mpbtn.exe

C:\VEXPLITE\viritexp.exe

C:\Programmi\Java\j2re1.4.2_03\bin\bak\jusched.exe

C:\WINDOWS\System32\HPZipm12.exe

c:\programmi\internet explorer\iexplore.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programmi\Microsoft Office\Office10\WINWORD.EXE

C:\Programmi\WinRAR\WinRAR.exe

C:\DOCUME~1\PROPRI~1\IMPOST~1\Temp\Rar$EX01.297\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/.../search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice.it

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.symantec.com/techsupp/servlet/P...;build=STANDARD

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [updateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Programmi\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE

O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"

O4 - HKCU\..\Run: [backupNotify] c:\Programmi\HP\Digital Imaging\bin\backupnotify.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\MSMSGS.EXE" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')

O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe

O4 - Global Startup: Avvio veloce di Adobe Acrobat.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1164635504972

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Prevx Agent (PREVXAgent) - Prevx - C:\Programmi\Prevx1\PXAgent.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--

End of file - 8789 bytes

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

il link optimizer pare non esserci...

Il log di Hijack è pulito

Quello di virit, individua come possibili infezioni dei file legittimi (non ne siamo sicuri che lo siano)

-----------------------------------------------------

Per il momento procedi in questo modo: (stampa le istruzioni)

Scarica GMER: http://www.majorgeeks.com/GMER_d5198.html

Lanciare GMER, comparirà una schermata dove avverte che sono state trovate anomalie nel sistema (GMER has found system modification […]). Non effettuare la scansione immediatamente. Muoversi alla voce in alto denominata ">>>" e poi SERVICES;

- eliminare il servizio denominato pe386 che fa riferimento alla locazione //??/C:\WINDOWS\System32:lzx32.sys. Per fare ciò, fare click con il tasto destro del mouse e fare "delete service". Dare OK nei messaggi successivi. Verrà mostrato un errore nella rimozione del file, mentre il servizio verrà rimosso tranquillamente;

- Lanciare il registro di sistema (Start\Esegui -->regedit) e muoversi alla chiave di registro HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\, eliminare il valore 1 = Winsys.exe;

- riavviare il PC. Al successivo riavvio eliminare manualmente i file svhost.dll e winsys.exe presenti sotto la directory di Windows (C:\WINDOWS) NON da altre cartelle.. sopratutto Svhost.dll

rilanciare GMER. Muoversi come sopra indicato, solo che invece di cliccare su Services cliccare su Rootkit. Fare una scansione spuntando solo la casella "files" e "ADS". Verrà trovato un file nascosto negli ADS in C:\WINDOWS\System32:lzx32.sys. Fare click con il tasto destro e fare Delete File;

- controllare nel task manager la presenza di un processo denominato it_0xxx.exe (dove xx sono numeri casuali). Se presente, terminarlo ed eliminare il file it_0xxx.exe presente sotto la directory nascosta dei files temporanei (C:\documents and settings\\Impostazioni locali\temp\);

- eliminare la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\5T29L1D34B;

-----------------------------------------------------

Tip grazie a Marco Giuliani

-----------------------------------------------------

Per gli altri file , che sembrano legittimi (come puoi vedere tu stessa:

C:\hp\KBD\KBD.EXE

C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Programmi\ClamWin\bin\ClamTray.exe

C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe

C:\Programmi\HP\Digital Imaging\bin\backupnotify.exe

C:\Programmi\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe

C:\Programmi\Multimedia Card Reader\shwicon2k.exe

Prima di eliminarli, falli analizzare su VIRUS TOTAL (nella mia firma)

Se li elimini i programmi andaranno reinstallati

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0