PDA

Visualizza versione completa : Problema causato da virus malware gen.


skoria89
08-10-2008, 09.16.19
ciao a tutti..allora, un paio di giorni fà il mio povero pc è stato invaso da una marea di virus. :wall:
Alla fine ho risolto con Malwarebytes. trovati 320 file infetti...cancellati tutti, riavviato e tutto è tornato a posto.
però sicuramente cancellando tutti quei file è saltato fuori un altro problema
il desktop si vede come se fosse una cartella, di fianco ci sono le opzioni di una cartella "operazioni cartella".
risorse del computer, pannello di controllo e cestino sono tutti rinominati come cartella e l'icona è cambiata!
come potrei risolvere? da che cosa dipende? :mm:
grazie a tutti per l'aiuto

cascavel
08-10-2008, 09.19.19
ciao scarica hijackthis ==> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe avvialo e seleziona la voce do a systemscan and save a logfile allega il log creato al prossimo post con estensione .txt

skoria89
08-10-2008, 09.29.01
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.26.15, on 08/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
D:\avast antivirus\aswUpdSv.exe
D:\avast antivirus\ashServ.exe
C:\windows\Explorer.EXE
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\windows\system32\ctfmon.exe
C:\windows\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\windows\System32\svchost.exe
D:\avast antivirus\ashMaiSv.exe
D:\avast antivirus\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\windows\explorer.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Gabriele\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.698698698.info/?rid=gio1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.ht m
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.ht m
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: Online TV Toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Programmi\Online_TV\tbOnl0.dll
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Online TV Toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Programmi\Online_TV\tbOnl0.dll
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: QXK Olive - {B77580CE-20A9-40A4-B753-441637A8A2FF} - C:\windows\nkefbltdnxa.dll
O2 - BHO: {05f92d2f-7ab3-3479-bad4-36db5850944e} - {e4490585-bd63-4dab-9743-3ba7f2d29f50} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O3 - Toolbar: Online TV Toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Programmi\Online_TV\tbOnl0.dll
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbSha0.dll
O3 - Toolbar: dkwqgnbe - {A3C23EB4-498D-4005-AA26-C988B1D2073A} - C:\windows\dkwqgnbe.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [zzz_ImInstaller_IncrediMail] C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\ImInstaller\IncrediMailSetup.exe -startup -product IncrediMail
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [IEA] C:\Programmi\Antivirus\scan.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM')
O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM')
O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user')
O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica link utilizzando Mega Manager... - C:\Programmi\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: InterCasino Italia - {3543D964-CE64-47E6-B730-152732DAF0E6} - http://italia.intercasino.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: InterCasino Italia - {3543D964-CE64-47E6-B730-152732DAF0E6} - http://italia.intercasino.com/ (file missing) (HKCU)
O15 - Trusted Zone: www.2mug.com
O15 - Trusted Zone: www.698698698.info
O15 - Trusted Zone: www.archiviosex.com
O15 - Trusted Zone: www.happyfile.net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-632c4622cecb2263.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7AEE465-6187-48EE-8B67-D164916FDA1C}: NameServer = 213.205.36.70 213.205.32.70
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: c:\windows\system32\__c0047c58.dat
O21 - SSODL: xgpsarbm - {254833FB-25DD-4BC1-8E7A-C5E81546EE43} - C:\windows\xgpsarbm.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\avast antivirus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\avast antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\avast antivirus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\avast antivirus\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Programmi\File comuni\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Gabriele/IMPOST~1/Temp/msohtmlclip1/01/clip_image001.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/Gabriele/IMPOST~1/Temp/msohtmlclip1/02/clip_image001.gif

--
End of file - 8990 bytes

cascavel
08-10-2008, 09.48.16
scarica Combofix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop.

prima di fare questa operazione esci dalla rete e spegni il tuo antivirus e sistemi di sicurezza vari.
Doppio click su combofix.exe, accetta il disclaimer che ti avverte sull'uso del tool, segui le indicazioni a video e non fare nient'altro con il pc
al termine, verrà creato un file log chiamato C:\ComboFix.txt.
allega il log creato al prossimo post in formato .TXT insieme ad un altro log di hijackthis eseguito dopo combofix

skoria89
08-10-2008, 10.25.27
dovrei aver fatto tutto :) grazie di tutto
il problema c'è sempre.

leofelix
08-10-2008, 13.22.32
O15 - Trusted Zone: www.2mug.com
O15 - Trusted Zone: www.698698698.info
O15 - Trusted Zone: www.archiviosex.com
O15 - Trusted Zone: www.happyfile.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.698698698.info/?rid=gio1

O9 - Extra button: InterCasino Italia - {3543D964-CE64-47E6-B730-152732DAF0E6} - http://italia.intercasino.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: InterCasino Italia - {3543D964-CE64-47E6-B730-152732DAF0E6} - http://italia.intercasino.com/ (file missing) (HKCU)

O2 - BHO: QXK Olive - {B77580CE-20A9-40A4-B753-441637A8A2FF} - C:\windows\nkefbltdnxa.dll
O21 - SSODL: xgpsarbm - {254833FB-25DD-4BC1-8E7A-C5E81546EE43} - C:\windows\xgpsarbm.dll

seleziona intanto le voci che ho indicato in alto riaprendo HijackThis quindi clicca su "Fix Checked"


Noto che hai Avast installato e anche un prodotto Symantec (norton) e uno Kaspersky (non si capisce se è la Kasperky Internet Security o un fantomatico antispam a se stante della stessa software house)

Inoltre questa voce non mi sembra regolare

O4 - HKCU\..\Run: [IEA] C:\Programmi\Antivirus\scan.exe

Che marca di antivirus sarebbe? Ammesso che sia davvero un antivirus e non un Rogue (applicazione fuoriviante che simula un antivirus o un antispyware generando falsi positivi e invece infettando il sistema)

Questo è il nome di alcuni dei Trojans, Spyware e Rogue Antivirus che hai contratto:

http://it.mcafee.com/virusInfo/default.asp?id=description&virus_k=150856

http://www.prevx.com/filenames/2281683541845529927-0/XGPSARBM2EDLL.html

e il malware chiamato VideoAccessCodec

Ora, aggiorna il MalwareByes'AntiMalware e ripeti la scansione.

scaricati SpyBot Search & Destroy 1.6 da uno di questi mirror

http://www.safer-networking.org/it/mirrors/index.html


aggiornalo immunizza il sistema e il file HOSTS dal programma stesso quindi fagli fare un'altra scansione.

Scarica CCleaner da qui
http://www.ccleaner.com/download/builds/downloading-slim

installalo e pulisci tutti i files temp, junk del sistema e dei browser.

Una volta ripulito il sistema, scarica Gargaroz per riabilitare le funzioni disattivate di Windows, il programmino lo trovi in questa pagina assieme alle istruzioni

http://www.megalab.it/3409

attendo tue notizie

skoria89
09-10-2008, 02.25.33
Non è cambiato nulla.
Ho fatto tutto quello che mi hai consigliato di fare.
con spybot ha rilevato un sacco di trojan e altri problemi...ho eliminato tutto..poi ho provato a fare un altra scansione con malwarebytes ma nulla.
Ho installato anche antivir per evitare che collegandomi a internet prendessi altri virus perchè avsat inspiegabilmente si è disattivato da solo!
Ho fatto la scansione anche con quello è non mi ha rilevato nulla!
Ho provato con ccleaner e anche quello nulla!
Dopodichè ho riprovato per la trentesima volta ad usare gargaroz ma nulla...riavvio il pc ma tutto rimane invariato.
"programmi non si vedeno e per aprire i programmi devo andare nella cartella di installazione ed aprirli da li, in start dove ci sono i programmi usati di recente si vede tutto nero, ad ogni avvio mi si mostrano dei computer nella barra affianco all'orologio e mi dice connesso ad internet velocità 7 mega ed invece io ho la 4 mega, e anche il desktop è rimasto uguale! :wall:
Allego l'ultima scansione che ho fatto con HiJackThis!

cascavel
09-10-2008, 16.38.16
Non è cambiato nulla.
Ho fatto tutto quello .......il desktop è rimasto uguale! :wall:
Allego l'ultima scansione che ho fatto con HiJackThis!

scarica SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe


Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione
Clicca su Install
Finita l'installazione riavvia il sistema in modalità provvisoria http://www.megalab.it/articoli.php?id=817
Una volta in modalità provvisoria doppio click sul file RunThis.bat
clicca su Y e ENTER per lanciare la pulizia.

Al riavvio SDFix porterà a termine la procedura e visualizzerà un messaggio nel quale indica la fine della pulizia e l'opzione per visualizzare il log.
riavvia in modalita' normale esegui nuovamente hijackthis ed allega il log al prossimo post insieme al log di SDFix

skoria89
10-10-2008, 05.43.15
ultima scansione hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:34:24, on 10/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\windows\System32\svchost.exe
C:\windows\system32\rundll32.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\windows\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\Gabriele\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.settorezero.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:\\www.settorezero.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.ht m
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.ht m
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: Online TV Toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Programmi\Online_TV\tbOnl0.dll
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Online TV Toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Programmi\Online_TV\tbOnl0.dll
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbSha0.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
O3 - Toolbar: Online TV Toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Programmi\Online_TV\tbOnl0.dll
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programmi\Share_Accelerator_MM\tbSha0.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [zzz_ImInstaller_IncrediMail] C:\Documents and Settings\Gabriele\Impostazioni locali\Temp\ImInstaller\IncrediMailSetup.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - S-1-5-18 Startup: OP_CACHE.ATR (User 'SYSTEM')
O4 - S-1-5-18 Startup: OP_CACHE.IDX (User 'SYSTEM')
O4 - .DEFAULT Startup: OP_CACHE.ATR (User 'Default user')
O4 - .DEFAULT Startup: OP_CACHE.IDX (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica link utilizzando Mega Manager... - C:\Programmi\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-632c4622cecb2263.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

--
End of file - 8146 bytes

leofelix
10-10-2008, 06.13.09
dunque, poi cascavel ti dirà presumo cosa fare ancora,

intanto nota qui:
R3 - URLSearchHook: Online TV Toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Programmi\Online_TV\tbOnl0.dll
O2 - BHO: Online TV Toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Programmi\Online_TV\tbOnl0.dll
O3 - Toolbar: Online TV Toolbar - {40d1c3a7-4ffb-4443-b3a0-a64b2df7fc3b} - C:\Programmi\Online_TV\tbOnl0.dll

questo voci rappresentano malware ancora presente
vedi:
http://www.spywareterminator.com/it/item/3017/DigiMode-Toolbar.html

seleziona da HiJackThis quelle voci e quindi clicca su "Fix Checked"

CCleaner non serve a disinfettare il sistema ma a eliminare files inutili e superflui;)

E' naturale che Avast sia stato reso inutilizzabile dal malware, non è salutare avere due antivirus con protezione in tempo reale nello stesso sistema, meglio disinstallare Avast quindi e mantenere Avira.

Mal che vada ci sarebbe un altro sistema, leggi questo post
http://forum.wintricks.it/showpost.php?p=1543100&postcount=4

skoria89
10-10-2008, 09.02.38
ok ho cancellato quiei file che mi hai detto..
se faccio quello che c'è scritto in questo post: http://forum.wintricks.it/showpost....100&postcount=4
mi rimane tutto quello che ho nel pc o e come se stessi formattando??
Comunque grazie per l'aiuto che mi state dando :)
Adesso riavvio e se non va mi salvo tutto quello che mi serve in un cd e formatto!

leofelix
10-10-2008, 11.19.58
diciamo quasi come se avessi formattato, leggi bene:
"fatto questo riavvia il PC è ti ritroverai un XP vergine come al primo avvio.
Il tuo vecchio utente ignorato dal sistema,sarà al solito posto C:\Documents and Settings\Nome Utente.
Prima di fare qualunque operazione,fai una bella scansione con un antivirus possibilmente stand-alone e una passata con MalwareBytes.
le infezioni saranno ripulite con facilità perchè sconosciute al nuovo sistema e non presenti nel neo registro."


Quindi salva i dati che non sono sicuramente infetti su CD (password, codici, immagini, documenti importanti, driver).. eventualmente, dopo aver fatto il lavoro e aggiornato il sistema, passi i file nel CD su www.virustotal.com per verificare se sono infetti.

per il resto di nulla:)

Vedo ancora del potenziale malware, a con la procedura indicata appunto ti ritrovi un sistema come nuovo.. o quasi;)

[EDIT] noto solo ora questo post
http://forum.wintricks.it/showpost.php?p=1543543&postcount=6

non escludo che potrebbe aiutarti a ripristinare facilmente alcune impostazioni perdute

Giorgius
11-10-2008, 10.11.57
Quando la situazione Trojan/Malware è a livelli di questo tipo è sempre consigliabile l'opzione "salvataggio dati" e successiva formattazione dell'hard disk... Visti gli attuali (per ora) bassi costi degli hard disk, meglio tenere un secondo disco pronto da usare "a rotazione" quando il Winzozzo, monnezzato dalle schifezze della rete è arrivato alla frutta... ;)

cascavel
11-10-2008, 16.07.45
Quando la situazione Trojan/Malware è a livelli di questo tipo è sempre consigliabile l'opzione "salvataggio dati" e successiva formattazione dell'hard disk... Visti gli attuali (per ora) bassi costi degli hard disk, meglio tenere un secondo disco pronto da usare "a rotazione" quando il Winzozzo, monnezzato dalle schifezze della rete è arrivato alla frutta... ;)
sono d'accordo, prova se vuoi un ultimo tentativo:scarica la versione free di questo http://www.superantispyware.com/?tag...PERANTISPYWARE installalo, aggiornalo ed avvialo : clicca su preferences, repairs clicca su reset desktop components e scegli perform repairs. quando avra' finito riavvia il sistema.... e fagli fare anche una scansione completa.