Internet Si Disconnette

[fragola]

Ciao a tutti!

Da qualche tempo mi cade la connessione internet, non del modem...di alice.....secondo voi cosa può essere?che antivirus posso usare per fare una scansione?oppure devo fare qualche altro procedimento?

grazie ciaooooo!

[$angelique!?]

[ben]fragola[/ben]

Ciao e benvenuta...

iniziamo con dei controlli...

posta un log di Hijackthis ed allega un report di Kaspersky.

[fragola]

questo è il log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 19.44.41, on 29/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programmi\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\carpserv.exe

C:\WINDOWS\system32\NeroCheck.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\Administrator\Documenti\installer\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Virgilio Toolbar - {D3403F28-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Virgilio Toolbar\VirgilioBand.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095687283297

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{300F155B-A0FE-4268-91F0-85B72ABF4FB8}: NameServer = 151.99.0.100

O17 - HKLM\System\CCS\Services\Tcpip\..\{D15C7449-0659-45CE-A239-262A54DF781E}: NameServer = 85.37.17.4 85.38.28.70

O20 - AppInit_DLLs:

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)

O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe

--

End of file - 6273 bytes

[fragola]

non riesco ad allegare il file di kaspersky!mi si blocca il pc!comunque ha trovato due virus!

Modificato May 29, 2007 da fragola

[Luke57]

Ciao, scarica findawf da qui:

http://noahdfear.geekstogo.com/FindAWF.exe

lo avvi, si aprirà un finestra dos, premi invio. Al termine della scansione, si aprirà un file di testo con il report della scansione. Allega il file o riporta il suo contenuto in un post.

[fragola]

eccolo

questo è il log di find awf!

Find AWF report by noahdfear ©2006

bak folders found

~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\QUICKT~1\BAK

16/02/2007 10.54 282.624 qttask.exe

1 File 282.624 byte

2 Directory 56.291.680.256 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\WINDOWS\SYSTEM32\BAK

20/08/2004 00.39 15.360 ctfmon.exe

25/05/2007 20.19 37.641 lsasss.exe

09/07/2001 12.50 155.648 NeroCheck.exe

3 File 208.649 byte

2 Directory 56.291.676.160 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte

2 Directory 56.291.676.160 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

0 File 0 byte

2 Directory 56.291.676.160 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\FILECO~1\NOKIA\NCLTOOLS\BAK

0 File 0 byte

2 Directory 56.291.676.160 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

0 File 0 byte

2 Directory 56.291.676.160 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

0 File 0 byte

2 Directory 56.291.676.160 byte disponibili

Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~

23568 29 May 2007 "C:\Programmi\QuickTime\qttask.exe"

282624 16 Feb 2007 "C:\Programmi\QuickTime\bak\qttask.exe"

15360 20 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"

15360 20 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"

23568 29 May 2007 "C:\WINDOWS\system32\lsasss.exe"

37641 25 May 2007 "C:\WINDOWS\system32\bak\lsasss.exe"

37641 25 May 2007 "C:\WINDOWS\system32\NeroCheck.exe1180461619"

155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"

end of report

MA è ANCORA INSTANT ACCESS????????COSA FACCIO...PORTO A FORMATTARE???????NON VA PIù VIA!

Modificato May 29, 2007 da fragola

[Steve75]

ciao ,

proviamo a vedere se con Avenger riusciamo ad eliminare il tutto.... fai cosi ;

* Scarica ATF Cleaner

- Avvialo con un doppio click

- clicca sul menu main

- seleziona la casella Select All

- clicca sul pulsante Empty selected

- aspetta l'avviso Done Cleaning.

(se non vuoi eliminare le password togli la spunta)

(se usi opera o firefox,spunta anche le loro sezioni)

* Assicurati di avere accesso a file e cartelle nascosti

(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)

1) metti la spunta su: Visualizza file e cartelle nascoste

2) Disattiva: nascondi file protetti di sistema

* disattiva il ripristino configurazione di sistema

* scarica e decomprimi avenger sul desktop

- con un doppio click avvia il file avenger.exe

- Seleziona "Input Script Manually"

- Clicca sulla lente di ingrandimento

- Nella finestra che si aprirà "View/edit script"

- copia / incolla quanto segue

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

files to delete:

C:\Programmi\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\lsasss.exe

C:\WINDOWS\system32\bak\lsasss.exe

C:\WINDOWS\system32\NeroCheck.exe1180461619

files to move:

C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe

C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe

- Clicca sul tasto Done

- Poi sull'icona del semaforo

- Rispondi Yes

Il pc dovrebbe riavviarsi ( se così non fosse, fallo tu)

Posta il log C:\Avenger.txt

Con hijackthis fixa queste due voci ;

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

O20 - AppInit_DLLs:

**PS_Dovresti installare un firewall diverso da quello di windows -> QUI

[fragola]

AVENGER MI DICE FATAL ERROR.

[fragola]

ecco:

//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.

Error code: 0

Line: registry valuess to delete:

//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\iqrduyhy

*******************

Script file located at: \??\C:\WINDOWS\eylgxvnr.txt

Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programmi\QuickTime\qttask.exe deleted successfully.

File C:\WINDOWS\system32\ctfmon.exe deleted successfully.

File C:\WINDOWS\system32\lsasss.exe deleted successfully.

File C:\WINDOWS\system32\bak\lsasss.exe deleted successfully.

File C:\WINDOWS\system32\NeroCheck.exe1180461619 deleted successfully.

File move operation C:\Programmi\QuickTime\bak\qttask.exe|C:\Programmi\QuickTime\qttask.exe completed successfully.

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.

File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

ho fatto anche un log awf:

Find AWF report by noahdfear ©2006

bak folders found

~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\QUICKT~1\BAK

0 File 0 byte

2 Directory 56.732.041.216 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte

2 Directory 56.732.041.216 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte

2 Directory 56.732.037.120 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

0 File 0 byte

2 Directory 56.732.037.120 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\FILECO~1\NOKIA\NCLTOOLS\BAK

0 File 0 byte

2 Directory 56.732.037.120 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

0 File 0 byte

2 Directory 56.732.037.120 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

0 File 0 byte

2 Directory 56.732.037.120 byte disponibili

Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~

end of report

EDIT__

Posta anche il log HJT

Modificato May 29, 2007 da Steve75

[Steve75]

ottimo lavoro :up1:

hai fixato le due voci con HJT? sono sparite?

riscontri ancora problemi ?

[fragola]

fixato???ehm...cosa vuol dire???

questo è il log

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 23.38.08, on 29/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programmi\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\carpserv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programmi\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\1180473775.dat.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Programmi\MSN Messenger\usnsvc.exe

C:\Documents and Settings\Administrator\Documenti\installer\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/oggi/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Virgilio Toolbar - {D3403F28-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Virgilio Toolbar\VirgilioBand.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O15 - Trusted Zone: *.whataboutarabit.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095687283297

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{300F155B-A0FE-4268-91F0-85B72ABF4FB8}: NameServer = 151.99.0.100

O17 - HKLM\System\CCS\Services\Tcpip\..\{D15C7449-0659-45CE-A239-262A54DF781E}: NameServer = 85.37.17.4 85.38.28.70

O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)

O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe

--

End of file - 6505 bytes

Modificato May 29, 2007 da fragola

[Steve75]

fixato???ehm...cosa vuol dire???

fixare = mettere la spunta e premere su fix checked ...

[fragola]

no..a quali file la metto?

Steve devo andare!grazie mille!se mi dici quali file spuntare domani lo faccio!grazie!

Modificato May 29, 2007 da fragola

[Steve75]

Con hijackthis fixa queste due voci ;

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

O20 - AppInit_DLLs:

**PS_Dovresti installare un firewall diverso da quello di windows -> QUI

[fragola]

Ciao steve!il primo l'ho fixato :up1: ...il secondo non c'è! <_<

[Steve75]

Ciao steve!il primo l'ho fixato :up1: ...il secondo non c'è! <_<

ok, ci ha pensato avenger evidentemente.....

riscontri ancora problemi?

[fragola]

No per ora no Steve!grazie!

Comunque volevo chiederti dato che mi hai fatto usare findawf, i file bak sono associati a instant access?perchè non capisco come fa a tornare ancora.

Questa volta l'icona sul desktop non me l'aveva creata (ma forse perchè l'ho eliminato prima che si espandesse troppo).

Cosa faccio se è ancora lui?????può essere che nel procedimento taglia incolla che mi aveva fatto fare kuma avevo sbagliato qualcosa?

[Steve75]

se le cartelle bak sono vuote vuol dire che InstantAccess è stato debellato ..... altrimenti bisogna ripetere l'operazione

[fragola]

e ma è già la terza o quarta volta che torna!

comunque mi è appena caduta la connessione!

[Steve75]

posta un log di FindAWF.... comunque devi capire che se trascuri anche un solo file infetto , al riavvio tornerà tutto come prima .....

[fragola]

Ma io li cancelo sempre tutti come mi dite!poi pian piano si crea......anche se il log era pulito! <_<

come mai????

Find AWF report by noahdfear ©2006

bak folders found

~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\QUICKT~1\BAK

16/02/2007 10.54 282.624 qttask.exe

1 File 282.624 byte

2 Directory 56.663.752.704 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\WINDOWS\SYSTEM32\BAK

20/08/2004 00.39 15.360 ctfmon.exe

29/05/2007 23.22 23.568 lsasss.exe

09/07/2001 12.50 155.648 NeroCheck.exe

3 File 194.576 byte

2 Directory 56.663.748.608 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte

2 Directory 56.663.748.608 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

0 File 0 byte

2 Directory 56.663.748.608 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\FILECO~1\NOKIA\NCLTOOLS\BAK

0 File 0 byte

2 Directory 56.663.748.608 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

0 File 0 byte

2 Directory 56.663.748.608 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

0 File 0 byte

2 Directory 56.663.748.608 byte disponibili

Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~

23568 29 May 2007 "C:\Programmi\QuickTime\qttask.exe"

282624 16 Feb 2007 "C:\Programmi\QuickTime\bak\qttask.exe"

15360 20 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"

15360 20 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"

23568 29 May 2007 "C:\WINDOWS\system32\lsasss.exe"

23568 29 May 2007 "C:\WINDOWS\system32\bak\lsasss.exe"

155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"

end of report

steve ieri sera erano puliti!che faccio????

Modificato May 30, 2007 da fragola

[Kuma]

Ciao....

Riproviamo ancora una volta con Avenger <_<

Però guardando le date, penso che uno dei files che spostiamo sia infetto (e non legittimo) e quindi reinfetta tutto...

pertanto:

1. disinstalla QUICK TIME da installazione applicazioni

2. riprova con Avenger

--

Lo script è questo:

files to delete:

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\lsasss.exe

C:\WINDOWS\system32\bak\lsasss.exe

files to move

C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\SYSTEM32\BAK\NeroCheck.exe | C:\WINDOWS\SYSTEM32\NeroCheck.exe

Folders to delete:

C:\Programmi\QuickTime

C:\WINDOWS\SYSTEM32\BAK

Reinstalla QUICK TIME da qui: http://www.apple.com/quicktime/download/win.html

TOGLI le tre spunte che vedi sopra il pulsante "Download"

Riallega i due log

[fragola]

oh Kuma ciao!

stasera provo e poi ti metto i log!grazie della pazienza!

[fragola]

AVENGER:

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\vlxebsbj

*******************

Script file located at: \??\C:\WINDOWS\hpqdsrfn.txt

Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ctfmon.exe deleted successfully.

File C:\WINDOWS\system32\lsasss.exe deleted successfully.

File C:\WINDOWS\system32\bak\lsasss.exe deleted successfully.

File files to move not found!

Deletion of file files to move failed!

Could not process line:

files to move

Status: 0xc0000034

Could not open file C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe for deletion

Deletion of file C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe failed!

Could not process line:

C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

Status: 0xc0000033

Could not open file C:\WINDOWS\SYSTEM32\BAK\NeroCheck.exe | C:\WINDOWS\SYSTEM32\NeroCheck.exe for deletion

Deletion of file C:\WINDOWS\SYSTEM32\BAK\NeroCheck.exe | C:\WINDOWS\SYSTEM32\NeroCheck.exe failed!

Could not process line:

C:\WINDOWS\SYSTEM32\BAK\NeroCheck.exe | C:\WINDOWS\SYSTEM32\NeroCheck.exe

Status: 0xc0000033

Folder C:\Programmi\QuickTime deleted successfully.

Folder C:\WINDOWS\SYSTEM32\BAK deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

FINDAWF:

Find AWF report by noahdfear ©2006

bak folders found

~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte

2 Directory 56.790.458.368 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

0 File 0 byte

2 Directory 56.790.458.368 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\FILECO~1\NOKIA\NCLTOOLS\BAK

0 File 0 byte

2 Directory 56.790.454.272 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

0 File 0 byte

2 Directory 56.790.454.272 byte disponibili

Il volume nell'unit… C non ha etichetta.

Numero di serie del volume: DC2E-C920

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

0 File 0 byte

2 Directory 56.790.454.272 byte disponibili

Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~

end of report

SEMBRA PULITO.

TI FARò SAPERE SE MI SI DISCONNETTE ANCORA!

[Kuma]

No, aspetta... <_< <_< <_<

qualcosa non quadra...

Scarica il file che ti allego e copialo in C:\Windows\System32

Se non te lo fa copiare, procedi in modalità provvisoria

DISINSTALLA senza avviarlo NERO e reinstallalo da capo...

Elimina tutte le cartelle BAK:

C:\PROGRAMMI\FILE COMUNI\SYMANTEC\BAK

C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

C:\PROGRA~1\FILECO~1\NOKIA\NCLTOOLS\BAK

C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK