PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Eliminare Blazingtools perfect keylogger

Altre pagine della discussione:




Mission
Apprendista Apprendista
Mission
Apprendista Apprendista
Mission
Apprendista
Apprendista

Avatar


Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245
Riporta il testo di: Mission Rispondibullet Topic: Post n° 85.102 - Postato: 23/Novembre/2008 alle 18:52


Ciao ragazzi, ho fatto lo nscanning al pc di mio fratello, una cosa da paura, 209 ad aware. però ce nn'è che il lavasoft ad aware non mi cancella ve lo posto qui. Se potete darmi una mano mi fareste un grosso favore:

Blazingtools perfect keylogger    categoria: keylogger

Sapreste dirmi che devo fare?
Vi ringrazio ragazzi.



Mission
Apprendista Apprendista
Mission
Apprendista Apprendista
Mission
Apprendista
Apprendista

Avatar


Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245
Riporta il testo di: Mission Rispondibullet Topic: Post n° 85.103 - Postato: 23/Novembre/2008 alle 20:14


se servisse vi posto anche la stringa dell'hijack

************************************
LOG EDITATO
Vengono riportate sotto solo le voci dannosi
da fixare
************************************


Modificato da RAVEN - 23/Novembre/2008 alle 20:43



Daniele Alias Mission



RAVEN
Moderatore Moderatore
RAVEN
Moderatore Moderatore
RAVEN
Moderatore
Moderatore

Avatar


Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.197
Riporta il testo di: RAVEN Rispondibullet Topic: Post n° 85.104 - Postato: 23/Novembre/2008 alle 20:36


Fixa queste voci
 
Questa qui è sicuramente un programma maligno indesiderato!
 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

Inoltre hai un processo chiamato C:\WINDOWS\Explorer.EXE

Il fatto che l'estensione sia MAIUSCOLA indica un casino !!!

Segui quanto indicato qui per risolvere
 

 
Infine Fixa anche queste
 
O2 - BHO: Rmn plugin - {21D7135F-AEE9-45e7-A0C1-791A4654BFF1} - svc32.dll (file missing)
O2 - BHO: (no name) - {2263DC8F-6C50-4078-9272-E0BF25A9B236} - C:\WINDOWS\system32\khfghEUO.dll (file missing)
O2 - BHO: (no name) - {2BBC3CC6-6AD3-4D2A-868F-B803FB615066} - C:\WINDOWS\system32\efcBQiGy.dll (file missing)
O2 - BHO: {57917f81-923b-54aa-bec4-6c92d14c0024} - {4200c41d-29c6-4ceb-aa45-b32918f71975} - C:\WINDOWS\system32\olrryo.dll (file missing)
O2 - BHO: (no name) - {6ED59772-F4EB-4FDE-BBB3-E939952686BF} - C:\WINDOWS\system32\opnomkIA.dll (file missing)
O20 - Winlogon Notify: efcBQiGy - efcBQiGy.dll (file missing)
O20 - Winlogon Notify: opnomkIA - opnomkIA.dll (file missing)
C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe (file missing)
 
Sai che programma è quello che punta qui ?
 
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
E questo ti dice niente ?
 
O20 - AppInit_DLLs: olrryo.dll
A me non piacciono, specialmente il secondo ma non trovo nessuna informazione in merito...
 
Quando hai finito riavvia, pulisci il sistema con CCleaner e vedi come va, quindi riposta un altro log


Modificato da RAVEN - 23/Novembre/2008 alle 20:42



Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI



Mission
Apprendista Apprendista
Mission
Apprendista Apprendista
Mission
Apprendista
Apprendista

Avatar


Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245
Riporta il testo di: Mission Rispondibullet Topic: Post n° 85.105 - Postato: 23/Novembre/2008 alle 20:43


cioè è qualcosa di serio?
Devo spuntare anche quelle che mi hai scritto in nero?



Mission
Apprendista Apprendista
Mission
Apprendista Apprendista
Mission
Apprendista
Apprendista

Avatar


Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245
Riporta il testo di: Mission Rispondibullet Topic: Post n° 85.106 - Postato: 23/Novembre/2008 alle 21:21


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

Questa in rosso non me la elimina, la spunto la tolgo, e se poi rifaccio lo scan ricompare
Che devo fare?



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 85.149 - Postato: 25/Novembre/2008 alle 16:06


Eh.. stai combinato maluccio...

Per quando riguarda Explorer.EXE ... non c'è da preoccuparsi...
non è il caso tuo... Wink

Riguardo il resto.. diciamo che hai avuto un bel po' tra spyware/adware...
(anche molto pericolosi se utilizzi o hai utilizzato dati sensibili... tipo carte di
credito.. o conti online...)

Scarica questi programmi:

Avenger
Sysclean e relative estensione virus aggiornata... -> lpt675.zip

(da qui a qualche giorno... il file delle estensioni potrebbe scadere,  quindi potresti non
trovarlo..., se accadesse... vai alla seguente pagina e scarica in nuovo file:

http://www.trendmicro.com/download/viruspattern.asp

Ricorda di scaricare quello per Windows... Wink)

Elimina il ripristino configurazione di sistema.. come trovi indicato nella seguente
discussione...

REGOLA : LEGGERE Prima di postare un LOG

Fai ripartire il pc  in modalità provvisoria... e avvia hijackthis... e fixa le seguenti voci:
Segue del testo riportato...

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe,
O2 - BHO: (no name) - {065E26D3-3213-4F26-A673-BD621160AE6E} - C:\WINDOWS\system32\khfdbyxv.dll (file missing)
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [BearFlix] "C:\Programmi\BearFlix\BearFlix.exe" /pause
O4 - HKLM\..\Run: [e8c4d23f] rundll32.exe "C:\WINDOWS\system32\hadfwbcf.dll",b
O4 - HKLM\..\Run: [info sect setup online] C:\Documents and Settings\All Users\Dati applicazioni\ABOUT TEAM INFO SECT\Jugs Amen.exe
O4 - HKCU\..\Run: [qeymagu] "c:\documents and settings\cristian\impostazioni locali\dati applicazioni\qeymagu.exe" qeymagu

Fine testo riportato...
Dato che ti trovi... vai in star -> esegui... e digita:   regedit

e premi invio per fare accettare...

vai nel menù di regedit... in modifica...  clicca su trova e digita:  userinit

e cerca la stringa nel file di registro...

quando la trova... controlla che il suo valore sia uguale al seguente:

C:\WINDOWS\SYSTEM32\Userinit.exe,

(con la virgola finale)

e non sia uguale a: 

C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe,

Se il volore avesse ancora la parte che ti ho indicato in rosso...
fai doppio clic sopra e modifca il valore cancellando quello che ti ho indicato in rosso...

Il valore dovrà essere: C:\WINDOWS\SYSTEM32\Userinit.exe,

virgola finale... compresa!

Dopo di che.. chiudi regedit...

Scompatta avenger in una cartella... (lo devi scompattare perchè è un zip) e fallo partire...
Seleziona il seguente script ed incollalo nella casella bianca nella finestra
del programma avenger
Segue del testo riportato...

Folders to delete:
C:\Documents and Settings\All Users\Dati applicazioni\ABOUT TEAM INFO SECT

Files to replace with dummy:
C:\WINDOWS\system32\khfdbyxv.dll
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\hadfwbcf.dll
c:\documents and settings\cristian\impostazioni locali\dati applicazioni\qeymagu.exe

Fine testo riportato...
Riguardo bearshare (io lo toglierei...)
bearflix dovrebbe essere più tranquillo... Ma entrambi hanno comportamenti
non tanto raccomandabili...

Incolla lo script che ti ho appena indicato... e clicca su execute...

Il pc verrà riavviato ed i file cancellati...

Riavvia in modalità provvisoria...

Metti sysclean  ed il pattern .zip in una cartella... e scompatta l'archivio
compresso .zip nella stessa cartella con sysclean... in modo che i file che sono
contenuti nel pattern si trovino nella stessa cartella con sysclean)

Entra nella cartella con Sysclean e fai partire Sysclean...
Controlla che ci sia il segno di spunta in

Automatically clean or delete detected files

se non ci fosse... mettilo... e clicca su scan... (controlla che la scanzione venga fatta...)
Alla fine della scansione viene prodotto un log che finisce nella cartella...
il log si chiama: Sysclean.log

Facci sapere cosa ha trovato e cosa ha eliminato... (percorso file compreso...)

Dopo di che... riavvia e ricontrolla con un log di hijackthis...

Ciao




SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Mission
Apprendista Apprendista
Mission
Apprendista Apprendista
Mission
Apprendista
Apprendista

Avatar


Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245
Riporta il testo di: Mission Rispondibullet Topic: Post n° 85.155 - Postato: 25/Novembre/2008 alle 19:17


 2008-11-25, 17:24:16,   Running scanner "C:\Documents and Settings\Cristian\Desktop\Nuova cartella\VSCANTM.BIN"...
2008-11-25, 18:48:47,   Scanner "C:\Documents and Settings\Cristian\Desktop\Nuova cartella\VSCANTM.BIN" has finished running.
2008-11-25, 18:48:47,   VSCANTM Log:

2008-11-25, 18:48:47,   Files Detected:
Copyright (c) 1990 - 2006 Trend Micro Inc.
Report Date : 11/25/2008 17:24:17
VSAPI Engine Version : 8.910-1002
VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked
 
Virus Pattern Version : 675 (336474/336474 Patterns) (2008/11/24) (567500)

Command Line: C:\Documents and Settings\Cristian\Desktop\Nuova cartella\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR C:\*.* /P=C:\Documents and Settings\Cristian\Desktop\Nuova cartella\lpt$vpn.675

C:\Documents and Settings\Cristian\Impostazioni locali\Temp\1011011300000cb4bh4u6jcdei\ins4FF.exe [TROJ_ZLOB.DSF]
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\1011011300000cb4bh4u6jcdei\jar_cache5481.tmp (1/4 Viruses Found)
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\1011012000000cb41ygu8jjzda\ins4FF.exe [TROJ_ZLOB.DSF]
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\1011012000000cb41ygu8jjzda\jar_cache5481.tmp (1/4 Viruses Found)
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\1011012100000cb4nlqy3cqyun\ins4FF.exe [TROJ_ZLOB.DSF]
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\1011012100000cb4nlqy3cqyun\jar_cache5481.tmp (1/4 Viruses Found)
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\10111435000008ec66n2l7qosc\ins4FF.exe [TROJ_ZLOB.DSF]
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\10111435000008ec66n2l7qosc\jar_cache5481.tmp (1/4 Viruses Found)
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\10111435000008ec66n2l7qosc\NI.UWAS6T_0001_N91M2208\setup.exe [Cryp_Naix-5]
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\ins4FF.exe [TROJ_ZLOB.DSF]
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\jar_cache5481.tmp (1/4 Viruses Found)
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\NI.UWAS6T_0001_N91M2208\setup.exe [Cryp_Naix-5]
C:\Documents and Settings\Cristian\Impostazioni locali\Temp\sta2A2.exe [TROJ_OBFUSCA.BLP]
C:\Programmi\Navilog1\gnc.exe [Cryp_Bits]
62218 files have been read.
62218 files have been checked.
62025 files have been scanned.
167654 files have been scanned. (including files in archived)
14 files containing viruses.
Found 14 viruses totally.
Maybe 0 viruses totally.
Stop At: 11/25/2008 18:48:45    1 hour 24 minutes 27 seconds (5066.33 seconds) has elapsed.(81.429 msec/file)
---------*---------*---------*---------*---------*---------*---------*---------*
2008-11-25, 18:48:47,   Files Clean:
Copyright (c) 1990 - 2006 Trend Micro Inc.
Report Date : 11/25/2008 17:24:17
VSAPI Engine Version : 8.910-1002
VSCANTM Version : 3.00-1018 (Official Build)

VSGetVirusPatternInformation is invoked
 
Virus Pattern Version : 675 (336474/336474 Patterns) (2008/11/24) (567500)

Command Line: C:\Documents and Settings\Cristian\Desktop\Nuova cartella\VSCANTM.BIN /NBPM /S /CLEANALL /LD /LC /LCF /NM /NB /DCEGENCLEAN /HIDEDCECONSOLE /C /ACTIVEACTION=5 /VSBKENC+ /HOSPITAL=.\BACKUP /LR C:\*.* /P=C:\Documents and Settings\Cristian\Desktop\Nuova cartella\lpt$vpn.675

62218 files have been read.
62218 files have been checked.
62025 files have been scanned.
167654 files have been scanned. (including files in archived)
14 files containing viruses.
Found 14 viruses totally.
Maybe 0 viruses totally.
Stop At: 11/25/2008 18:48:45    1 hour 24 minutes 27 seconds (5066.33 seconds) has elapsed.(81.429 msec/file)
---------*---------*---------*---------*---------*---------*---------*---------*

Log editato... rimangono solo le voci interessanti...
(l'antivirus ha avuto alcuni problemi a funzionare come indicato nel log...
ma comunque ha rilevato i malware nella cartella temp)



Modificato da prgn - 26/Novembre/2008 alle 19:18



Daniele Alias Mission



Mission
Apprendista Apprendista
Mission
Apprendista Apprendista
Mission
Apprendista
Apprendista

Avatar


Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245
Riporta il testo di: Mission Rispondibullet Topic: Post n° 85.159 - Postato: 25/Novembre/2008 alle 21:52


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opexxd successfully.
Script file read successfully.

Backups directory opexxd successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Documents and Settings\All Users\Dati applicazioni\ABOUT TEAM INFO SECT" deleted successfully.

Error:  file "C:\WINDOWS\system32\khfdbyxv.dll" not found!
Replacement with dummy of file "C:\WINDOWS\system32\khfdbyxv.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\twext.exe" replaced with dummy successfully.
File "C:\WINDOWS\system32\hadfwbcf.dll" replaced with dummy successfully.
File "c:\documents and settings\cristian\impostazioni locali\dati applicazioni\qeymagu.exe" replaced with dummy successfully.

Completed script processing.



Log hijackthis editato... rimangono solo le voci sospette

O2 - BHO: (no name) - {85a4e430-2254-4400-8a28-63a542458d08} - C:\WINDOWS\system32\wedusoha.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [mejugojadu] Rundll32.exe "C:\WINDOWS\system32\mahozege.dll",s
O4 - HKLM\..\Run: [e8c4d23f] rundll32.exe "C:\WINDOWS\system32\mivekele.dll",b
O4 - HKLM\..\Run: [CPMebf7e1a3] Rundll32.exe "c:\windows\system32\yatiroku.dll",a
O4 - HKCU\..\Run: [ProgramEq] C:\DOCUME~1\Cristian\DATIAP~1\ArmyRef\Uploaddash.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\yabikuse.dll c:\windows\system32\yatiroku.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yatiroku.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yatiroku.dll


Modificato da prgn - 26/Novembre/2008 alle 19:15



Daniele Alias Mission



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 85.161 - Postato: 26/Novembre/2008 alle 00:12


Come minimo un po' di cose son state fatte... e rimpiazzato un po' di file
malevoli... con file "fantoccio" non pericolosi...

per ripristinare la modalità provvisoria... prova a scaricare il file da questa pagina:
 
http://www.megalab.it/3250

Apri il file compresso... e fai doppio clic sul file .reg (in questo modo dovresti
ripristinare la modalità provvisoria...)
 
Scarica (visto che ci troviamo controlliamo anche se ci sono rootkit...): 
rootkitbuster2.2.1014.zip
 
Vai in modalità provvisoria... fai partire hijackthis e fixa le seguenti voci:
Segue del testo riportato...

O2 - BHO: (no name) - {85a4e430-2254-4400-8a28-63a542458d08} - C:\WINDOWS\system32\wedusoha.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [mejugojadu] Rundll32.exe "C:\WINDOWS\system32\mahozege.dll",s
O4 - HKLM\..\Run: [e8c4d23f] rundll32.exe "C:\WINDOWS\system32\mivekele.dll",b
O4 - HKLM\..\Run: [CPMebf7e1a3] Rundll32.exe "c:\windows\system32\yatiroku.dll",a
O4 - HKCU\..\Run: [ProgramEq] C:\DOCUME~1\Cristian\DATIAP~1\ArmyRef\Uploaddash.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\yabikuse.dll c:\windows\system32\yatiroku.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yatiroku.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yatiroku.dll

Fine testo riportato...
Adesso fai partire Avenger ed incolla il seguente script:
Segue del testo riportato...

Files to replace with dummy:
C:\WINDOWS\system32\wedusoha.dll
C:\WINDOWS\system32\mahozege.dll
C:\WINDOWS\system32\mivekele.dll
c:\windows\system32\yatiroku.dll
C:\WINDOWS\system32\yabikuse.dll
C:\DOCUME~1\Cristian\DATIAP~1\ArmyRef\Uploaddash.exe

Folders to delete:
%temp%
C:\WINDOWS\TEMP

Fine testo riportato...
incollalo e premi Execute...
Sarei tentato di eradicare manualmente anche SweetIM...
ma poichè riempie il registro di riferimenti... cercalo in Installazioni applicazioni
e disinstallalo... (e poi cancelliamo anche le direcotory...)

Quando ti si è riavviato.. fai partire Ccleaner e fai una pulizia del registro di
sistema...
Vai in C:\Windows\Prefetch  e cancella tutti i file che trovi nella cartella...
tranne il file Layout.ini

Fai la stessa cosa con i job che trovi nella cartella task che trovi sempre in windows...

Adesso avvia regedit e cerca userinit  e cancella la parte che è in più... come
ti ho indicato nel post precedente...

devi eliminare la parte in rosso:
C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe,

Dopo di che... fai fare uno scan a Rootkit Buster... e vediamo se ti rileva qualcosa...

Alla fine... fai riavviare e posta i risultati di Avenger ed un altro scan di hijackthis...

Ciao





SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



Mission
Apprendista Apprendista
Mission
Apprendista Apprendista
Mission
Apprendista
Apprendista

Avatar


Iscritto dal : 04/Gennaio/2006
Status: Offline
Posts: 245
Riporta il testo di: Mission Rispondibullet Topic: Post n° 85.173 - Postato: 26/Novembre/2008 alle 18:52


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven~1\syncer\McciTrayApp.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Antivirus 2009\av2009.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {85a4e430-2254-4400-8a28-63a542458d08} - C:\WINDOWS\system32\wedusoha.dll (file missing)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven~1\syncer\McciTrayApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [e8c4d23f] rundll32.exe "C:\WINDOWS\system32\finahomi.dll",b
O4 - HKLM\..\Run: [CPMebf7e1a3] Rundll32.exe "c:\windows\system32\feyadote.dll",a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [ProgramEq] C:\DOCUME~1\Cristian\DATIAP~1\ArmyRef\Uploaddash.exe
O4 - HKCU\..\Run: [38378695454257560350838500004467] C:\Programmi\Antivirus 2009\av2009.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: raid_tool.exe.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: Yahoo! Chess - http://origin.games.yahoo.net/games/clients/y/ct5_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\yabikuse.dll c:\windows\system32\feyadote.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\feyadote.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\feyadote.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Programmi\iPod\bin\iPodService.exe (file missing)
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 9756 bytes


ecco la nuova stringa, mi sa che c'ho un macello dentro il pc che se potesse mi picchierebbe



Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,035 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni