PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: strano disco rimovibile chiamato "W"

Altre pagine della discussione:




juve
Principiante Principiante
juve
Principiante Principiante
juve
Principiante
Principiante

Avatar


Iscritto dal : 28/Maggio/2005
Da: Italy
Status: Offline
Posts: 150
Riporta il testo di: juve Rispondibullet Topic: Post n° 61.020 - Postato: 12/Ottobre/2006 alle 12:24


ciao a tutti, da un paio di giorni mi trovo nelle risorse del computer un disco rimovibile chiamato "W". il tasto destro mi dà solo 2 opzioni ovvero "open my files" e "crea collegamento". cliccando con il sinistro mi connette ad un sito con indirizzo www.scalalap... quindi senza aspettare l'apertura della pagina mi reindirizza su un sito con www.what-you-want.bz dove ovviamente trovo cartelle con sesso anale, scambi di coppie ecc ecc.

come da istruzioni ho scansionato il tutto con adaware, spyboot e avg in provvisoria e ho avviato hijack eliminando le stringhe con .biz e nomi strani (analcord e roba simile). il problema peò rimane ed è questo disco rimovibile.

vi posto un log di hijack

Logfile of HijackThis v1.99.1
Scan saved at 12.21.51, on 12/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Dario\Desktop\Collegamenti desktop inutilizzati\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://it.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http: //it.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http: //it.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http: //it.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [fix] C:\WINDOWS\system32\thecat.exe
O4 - HKLM\..\Run: [MSGlobal] C:\WINDOWS\system32\Idro.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Microsoft Security] C:\WINDOWS\system32\msantivir.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .htm: C:\Programmi\Internet Explorer\PLUGINS\npvmidi.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuCon trolLite_EN.cab
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloade r.cab
O16 - DPF: {EA5B2F8A-2094-47A1-ADC5-373E93EAF936} - http://www.cywanstorage.biz/DRT65/IBWire.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

 



bebo61
Principiante Principiante
bebo61
Principiante Principiante
bebo61
Principiante
Principiante

Avatar


Iscritto dal : 29/Marzo/2005
Da: Italy
Status: Offline
Posts: 18
Riporta il testo di: bebo61 Rispondibullet Topic: Post n° 61.021 - Postato: 12/Ottobre/2006 alle 12:33


E' capitato anche a me su un PC in ufficio. Esattamente così anch'io ho fatto la scanzione di cui però ora non dispongo casomai la posterò più tardi.
Si tratta di una schiofezza di trojan?? O no??


Grazie a tutti


Modificato da bebo61



Ciao a tutti



RAVEN
Moderatore Moderatore
RAVEN
Moderatore Moderatore
RAVEN
Moderatore
Moderatore

Avatar


Iscritto dal : 04/Settembre/2001
Da: Italy
Status: Offline
Posts: 16.201
Riporta il testo di: RAVEN Rispondibullet Topic: Post n° 61.032 - Postato: 12/Ottobre/2006 alle 16:13



Stefano Ravagni - 'tanto prima o poi ti buco!'...disse il baco alla noce

SOSTIENICI



juve
Principiante Principiante
juve
Principiante Principiante
juve
Principiante
Principiante

Avatar


Iscritto dal : 28/Maggio/2005
Da: Italy
Status: Offline
Posts: 150
Riporta il testo di: juve Rispondibullet Topic: Post n° 61.084 - Postato: 13/Ottobre/2006 alle 20:30


ho letto e come ho scritto ho postato il log di hijack dopo aver effettuato scansioni con adaware, spyboot e avg.

poi ho postato il log



Dexter
Esperto Esperto
Dexter
Esperto Esperto
Dexter
Esperto
Esperto

Avatar


Iscritto dal : 04/Luglio/2005
Da: Italy
Status: Offline
Posts: 2.303
Riporta il testo di: Dexter Rispondibullet Topic: Post n° 61.193 - Postato: 15/Ottobre/2006 alle 23:01


Ciao Juve...

Allora dovresti dovresti fixxare le seguenti voci:

Segue del testo riportato...

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =  http://it.rd.yahoo.com/customize/ie/defaults/sp/msg r7/*http: //it.search.yahoo.com
O4 - HKLM\..\Run: [fix> C:\WINDOWS\system32\thecat.exe
O4 - HKLM\..\Run: [MSGlobal> C:\WINDOWS\system32\Idro.exe
O4 - HKCU\..\Run: [Microsoft Security> C:\WINDOWS\system32\msantivir.exe
O16 - DPF: {EA5B2F8A-2094-47A1-ADC5-373E93EAF936} - http://www.cywanstorage.biz/DRT65/IBWire.exe

Fine testo riportato...


Poi cerca seguenti file e cancellali:

C:\WINDOWS\system32\thecat.exe
C:\WINDOWS\system32\Idro.exe
C:\WINDOWS\system32\msantivir.exe

Se non te li lascia cancellare allora scaricati Killbox. Una volta scaricato mettilo in una cartella tutta sua. aprilo metti la spunta su Delete on Reboot, poi scegli All Files infine clikka sulla cartella gialla e seleziona uno ad uno i files indicati, infine clikka sulla croce Bianca. Ti chiederà di riavviare.
***ATTENZIONE***
Assicurati di vedere nella barra del titolo 3 files, 0 folders
Perké potresti cancellare l'intera cartella

Poi fai una pulitina con CCleaner, sia dei files che del registro, se è la prima volta che lo installi prima di avviare il cleaner vai su: Opzioni>Avanzate e togli la spunta a Cancella file in Windows Temp.... dopo la pulizia dei file vai su Problemi> Trova Problemi infine Ripara Selezionati... ti kiederà se salvare una copia di backup te rispondi Si e salvalo in una cartella. Infine ripara tutti....

Postami un log aggiornato...


Modificato da Dexter


juve
Principiante Principiante
juve
Principiante Principiante
juve
Principiante
Principiante

Avatar


Iscritto dal : 28/Maggio/2005
Da: Italy
Status: Offline
Posts: 150
Riporta il testo di: juve Rispondibullet Topic: Post n° 61.215 - Postato: 16/Ottobre/2006 alle 17:29


ciao dexter, a dir la verità di quelle 5 stringhe che mi indicavi di fixare ne ho trovate solo 2 e le ho fixate. poi i 3 file che mi dicevi di cancellare non li ho trovati. comunque ho passato ccleaner ed ora ti posto un log afggiornato di hijack

Logfile of HijackThis v1.99.1
Scan saved at 17.29.27, on 16/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Dario\Documenti\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://it.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http: //it.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http: //it.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programmi\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .htm: C:\Programmi\Internet Explorer\PLUGINS\npvmidi.dll
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuCon trolLite_EN.cab
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloade r.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

 



Dexter
Esperto Esperto
Dexter
Esperto Esperto
Dexter
Esperto
Esperto

Avatar


Iscritto dal : 04/Luglio/2005
Da: Italy
Status: Offline
Posts: 2.303
Riporta il testo di: Dexter Rispondibullet Topic: Post n° 61.216 - Postato: 16/Ottobre/2006 alle 17:46


Ora il log è pulito...
Fai una scansione con panda, salva i risultati in un block notes e poi postami i risultati....

Prova a fare così
- apri una qualsiasi finestra
- dal menu seleziona strumenti >> opzioni cartella
- seleziona il tab visualizzazione
- metti la spunta alla casella visualizza file e cartelle nascoste
- togli la spunta alla casella nascondi file di sistema (consigliato) (trovi l´ozione più in basso)
- clicca Si, poi Applica, poi OK

e cerca nuovamente i file...


juve
Principiante Principiante
juve
Principiante Principiante
juve
Principiante
Principiante

Avatar


Iscritto dal : 28/Maggio/2005
Da: Italy
Status: Offline
Posts: 150
Riporta il testo di: juve Rispondibullet Topic: Post n° 61.219 - Postato: 16/Ottobre/2006 alle 18:36



ecco il risultato della scansione con panda

 

Incident        &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;   Status                          Location        &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;         &nbs p;        

Dialer:dialer.asl       & nbsp;         & nbsp;         & nbsp;         & nbsp;         & nbsp;         & nbsp;     Not disinfected        & nbsp;      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Ext\Stats\{A1426AC5-8CE5-4A00-B71E-011D35709AC6}                                                                                                                                                                  
Spyware:Cookie/Xiti        ;           ;           ;           ;           ;           ;    Not disinfected        & nbsp;      C:\Documents and Settings\Dario\Cookies\dario@xiti[1] .txt         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;        
Dialer:Dialer.GQK       & nbsp;         & nbsp;         & nbsp;         & nbsp;         & nbsp;         & nbsp;     Not disinfected        & nbsp;      C:\Documents and Settings\Dario\Desktop\Collegamenti desktop inutilizzati\backups\backup-20060512-145024-773.inf &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp; 
Virus:Trj/Spamer.BC        ;           ;           ;           ;           ;           ;    Not disinfected        & nbsp;      C:\WINDOWS\Downloaded Program Files\CONFLICT.1\idro.exe[cefalo.exe]                                                                                                                                                                                                               
Virus:Trj/Spamer.BC        ;           ;           ;           ;           ;           ;    Not disinfected        & nbsp;      C:\WINDOWS\Downloaded Program Files\idro.exe[cefalo.exe]                                                                                                                                                                                                                           
Virus:Bck/Bancodor.BD      &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;  Disinfected



juve
Principiante Principiante
juve
Principiante Principiante
juve
Principiante
Principiante

Avatar


Iscritto dal : 28/Maggio/2005
Da: Italy
Status: Offline
Posts: 150
Riporta il testo di: juve Rispondibullet Topic: Post n° 61.220 - Postato: 16/Ottobre/2006 alle 18:54


secondo me è un post un pò incasinato: provo a ripostarlo con un pò d'ordine...

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 

Dialer:dialer.asl       Not disinfected    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Ext\Stats\{A1426AC5-8CE5-4A00-B71E-011D35709AC6}                                                                                                                                                                  
Spyware:Cookie/Xiti     Not disinfected        & nbsp;         & nbsp;      C:\Documents and Settings\Dario\Cookies\dario@xiti[1] .txt         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;         &n bsp;        
Dialer:Dialer.GQK       Not disinfected        & nbsp;         & nbsp;       C:\Documents and Settings\Dario\Desktop\Collegamenti desktop inutilizzati\backups\backup-20060512-145024-773.inf &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp;         &nb sp; 
Virus:Trj/Spamer.BC     Not disinfected        & nbsp;      C:\WINDOWS\Downloaded Program Files\CONFLICT.1\idro.exe[cefalo.exe]                                                                                                                                                                                                               
Virus:Trj/Spamer.BC     Not disinfected        & nbsp;    C:\WINDOWS\Downloaded Program Files\idro.exe[cefalo.exe]                                                                                                                                                                                                                           
Virus:Bck/Bancodor.BD   Disinfected        & nbsp;        C:\WINDOWS\system32\nortonav.dll    &nbs p;         &nbs p;         &nbs p;         &nbs p;                                                                                                                                                                                                               



Dexter
Esperto Esperto
Dexter
Esperto Esperto
Dexter
Esperto
Esperto

Avatar


Iscritto dal : 04/Luglio/2005
Da: Italy
Status: Offline
Posts: 2.303
Riporta il testo di: Dexter Rispondibullet Topic: Post n° 61.222 - Postato: 16/Ottobre/2006 alle 18:58


Ok allora i due Trojan sono stati disinfettati e anke il backdoor...

Pulisci nuovamente con CCleaner per eliminare il cookie...

Poi da start>esegui>Regedit
cerca questa chiave
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\ Ext\Stats\{A1426AC5-8CE5-4A00-B71E-011D35709AC6}

e cancella il valore in rosso...
****************
C'è ankora il disco???


Modificato da Dexter


Altre pagine della discussione:






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,039 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni