Warning: your computer is infected - Page 3

interceptor · 24-12-2007, 13.02.30

...mi sa che sono io in lotta con questo virus................adesso mi leggo tutto e mi adopero.........grrrrrrrrrrrrrrrrrrrrrrr

stefy:) · 12-01-2008, 15.57.30

anche io stessissimo identico problema e sto seguendo i passi indicati prima... devo dire che nano scan non ha rilevato nulla, vundo non finisce ancora la scansione, Gmer invece in rosso ha rilevato un processo e 2 rootkit per ora...

sto nel frattempo facendo fare a Bit defencer la scansione online, ad aware spybot e avast non hanno rilevato nulla!

mentre qui ho i log della scansione fatta con

Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------

--== Dump Hidden File on C:\ ==--
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj.dat
FullPathLength: 93
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x820
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj.exe
FullPathLength: 93
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x820
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj_nav.dat
FullPathLength: 97
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x820
ShareAccess : 0x0
Type : 0x0
[HIDDEN_FILE]:
FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj_navps.dat
FullPathLength: 99
DesiredAccess : 0x0
Options : 0x0
Attributes : 0x820
ShareAccess : 0x0
Type : 0x0
4 hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.

--== Dump Hidden Process ==--
[HIDDEN_PROCESS]:
ParentId : 00000180
ID : 000007A4
Type : 0x00000001
Name : reqbolfkwj.exe
ImageName : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj.exe

--== Dump Hidden Driver ==--
No hidden drivers found. e con

Trend Micro HijackThis v2.0.2
Scan saved at 14.54.47, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Fmctrl.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Amministratore\Documenti\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [gcasDtServ] gcasDtServ.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{837F9223-A053-4347-A36E-0B3AF9FB3F7A}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O24 - Desktop Component 0: (no name) - http://img182.imageshack.us/img182/1...arfalle9fy.jpg

--
End of file - 5335 bytes
ma io non so leggerli questi risulati

help me please

leofelix · 13-01-2008, 08.06.43

ciao stefy; )
e benvenuta/o nel forum
dunque, in effetti il tuo sistema sembrerebbe infetto da delle rootkit.
Hai in seguito letto quel manuale su come usare Gmer che avevo postato?
Eccolo Qui

Prova a utilizzare questi programmi allora:

1) Panda Antirootkit decomprimi l'eseguibile sul desktop quindi eseguilo perché faccia un controllo approfondito (ti chiederà di riavviare)

2) RogueRemover free una volta scaricato, va aggiornato quindi esegui la scansione: in genere rimuove quasi tutti le 'applicazioni fuorvianti'

3) SUPERAntiSpyware free 3.9 (link diretto per il download) questo nella scansione 'full' non è velocissimo, ma trova di tutto ed elimina di tutto.

4) scarica ed esegui in modalità provvisoria (tasto F8 più volte durante il riavvio) il Norman Malware Cleaner (è normale che rimuova le voci host, è solo un tool, non sostituisce un antivirus completo)

Inoltre come avrai notato l'AVAST si è rivelato inefficace contro le rootkit e non solo. Quindi ti suggerirei di disinstallarlo.
Al contrario il gratuito AntiVir Personal Edition Classic oltre a essere molto leggero, rileva e disinfetta molte più minacce informatiche e ha un modulo di rilevazione rootkit.
Dopo aver aver utilizzato le risorse che ti ho indicato, prova a installarlo e fargli fare anche una scansione anti rootkit, lo trovi qui Download AntiVir free

Altra cosa: dal log di HiJackThis al momento vedo che hai il Teatimer di SpyBot S & D attivo, meglio disabilitarlo.. e che non usi il Sun Java EnvironMent più recente che è la ver 1.6 update 4, oltre a un Internet Explorer 6.0 SP 2 'personalizzato da alice'... direi che sarebbe ora di passare a Windows Internet Explorer 7.0, che è più sicuro Download IE 7.0 Ita

Infine, una volta che - spero - tu sia riuscito/a a disinfettare il sistema:

A) installa le estensioni per Firefox chiamate no script e adblock plus
La navigazione sarà molto sicura dopo

B) E naturalmente ti suggerirei di approfittare dell'offerta per ottenere AVIRA Antivirus PE PREMIUM per 6 mesi gratis

attendo tue notizie spero positive

stefy:) · 13-01-2008, 16.08.57

Ciao wow quanti suggerimenti,
allora con GMER una volta eliminate le voi in rosso sembrava ke il rpoblema fosse risolto, ma poi riavviando il pc, il problema si è riprensenatato!
allora in ad block di mozzilla ho messo tutte le finestre e i nuovi link ke mi si aprivano e pare ke per ora va bene!
inoltre ho messo il foìiltro per i java script pubblicitari ke aprono nuove finestre e per i flash!

poi mi dovrei spiegare come funziona ad block plus!

per quanto riguarda il tea timer è insieme a spybot ...

panda rootkit mi ha trovato 4 rootkit ke ho eliminato,
rogueremover, non ha rilevato nulla,
internet explorer non lo uso proprio, uso solo mozzilla

leofelix · 13-01-2008, 17.08.39

allora stefy ; )
Sei già a buon punto

prima cosa da fare quando si è sicuramente infetti è quella di disabilitare il 'ripristino di configurazione" dal momento che questo metodo per quanto utile conserva anche eventuali virus/spyware contratti per cui a ogni riavvio te li ritrovi quasi sempre al loro posto.
Come fare? basta fare pulsante destro del mouse su 'risorse del computer' e spuntare la voce "disattiva ripristino di sistema" (la cosa è solo temporanea, una volta disinfettato il computer, il 'ripristino di sistema' va riattivato).
---

Poiché alcuni files infetti risulteranno incancellabili perché in uso dal sistema, munisciti di una utility come ad esempio il gratuito FileAssassin per disintegrare letteralmente quei files infetti (in ogni caso sia in HiJackThis sia in Gmer ci sono degli strumenti che fanno grosso modo la stessa cosa) altrimenti va bene anche Unlocker link diretto per il download

ATTENZIONE: Questi i software su indicati sono da utilizzare con cautela

------

Un altro programma che ti servirà sicuramente è il gratuito CCleaner (link diretto download) da utilizzare 'cum salis grano': togli la spunta sui 'disinstallatori di windows', sui log, su eventuali password memorizzate, fa' sì che il files temporanei siano cancellati dopo 48 ore, metti la spunta invece solo nei navigatori e in alcune componenti di sistema, tranne Ms Office.
Quindi via, una bella passata al sistema per ripulirlo dai cosiddetti 'junk files' (lascia perdere la pulizia del registro, per ora)

-----

Il Fatto che tu (come me del resto) utilizzi come browser predefinito Mozilla Firefox, non significa che tu non debba mantenere il sistema aggiornato, per tanto anche Internet Explorer va aggiornato, non solo per la sicurezza ma anche per la stabilità del sistema stesso

PS: inoltre la barra di google per IE non ti serve, quindi direi che è meglio che tu la disinstalli; ce ne è una molto più sicura e meno ingombrante anche per Firefox

---

TeaTimer è una parte di SpyBot che soffre notoriamente di bug, si può disattivare attraverso il programma stesso, anzi è preferibile farlo (e non lo dico solo io)

-------
L'estensione 'adblock plus' non richiede che 'sottoscrivere' alcuni servizi gratuiti tra quelli presenti per bloccare banner e pubblicità indesiderata, quindi quando ti si presenterà un banner che non vuoi visualizzare, apparirà una 'linguetta' sopra con scritto 'blocca' (sta a te quindi decidere se bloccare o meno il banner)

---

Ora dovresti avere la pazienza di:

A) Disattivare il 'ripristino di configurazione' (temporaneamente)
B) ripetere le scansioni con gli strumenti indicati (ove indicato in 'modalità provvisoria' - come col 'Norman Malware Cleaner' ad esempio)
C) laddove un file infetto non sia cancellabile utilizza uno dei tools come Unlocker o FileAssassin per fare fuori i files sicuramente infetti
D ) Anche se i files infetti vengono eliminati, talvolta rimangono in esecuzione automatica nel Registro di configurazione , nel caso il sistema dovesse ancora cercarli una volta disinfettato, un tool come RegAssassin potrà tornarti utile, nel caso sono qui.. basta chiedere, nei miei limiti ovviamente

----

Ok, perdona se sono stato prolisso, ma ho cercato di spiegare nella maniera più chiara e precisa possibile...

Per ora ti auguro buon lavoro e in bocca al lupo..

in attesa di esiti favorevoli da parte tua

Buona domenica

stefy:) · 13-01-2008, 23.20.10

oddio grazie per gli innumerevoli consigli.. cercherò di procedere un passo alla volta!!
rogueremover non ha trovato nulla
ma pavark si ed ho cancellato, pare ke per adesso nn si riaprono, ma può essere che io essendo amm,.ce di un forumsu forumfree, prenda da lì il problema?

stefy:) · 14-01-2008, 00.06.32

Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------

--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.

--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

PULITO

Panda antirootkit

PULITO

rogueremover

PULITO
invece ci sono stati registrati da adblock 13 accessi a quel file e 8 file bloccati

E CMQ NN SI APRE PIU' NULLA

E QUESTO E' IL NUOVO LOG DI
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.09.00, on 14/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Fmctrl.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Amministratore\Documenti\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [gcasDtServ] gcasDtServ.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: IAMS-CD a 4 zampe-Gatto.lnk = C:\Programmi\IAMS-CD a 4 zampe-Gatto\Control.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{837F9223-A053-4347-A36E-0B3AF9FB3F7A}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 5660 bytes

Savannah_jay · 14-01-2008, 13.33.14

Salve.
Scusate l'intrusione, ma da qualche giorno litigo con questo stesso "coso" descritto qui, e non trovo una soluzione. In piu', il mio computer ha questo maledetto vista, per cui gmer non è utilizzabile. Riuscite mica per miracolo ad aiutare anche me?

stefy:) · 14-01-2008, 13.53.53

anche io sto andando per tentativi con xp, prova a leggere le altre discussioni e a vedere se ne esce fuori qualcosa

Savannah_jay · 14-01-2008, 15.07.54

Ho provato le scansioni in modalità provvisoria con tutti i programmi che avevo installato, ma nulla. 'sto coso è ancora là....

leofelix · 15-01-2008, 02.50.09

x stefy ; )

dunque, scusa, ma oggi la connessione mi ha abbandonato più volte.
Dunque, leggendo il tuo log vedo:

"O4 - Startup: IAMS-CD a 4 zampe-Gatto.lnk = C:\Programmi\IAMS-CD a 4 zampe-Gatto\Control.exe"

Non conosco questa voce e mi suona sospetto che sia in esecuzione automatica.
Tu hai idea di cosa si tratti?
--------------
Non preoccuparti per ora di cosa blocca o non blocca 'adblock plus'
facciamo una cosa per volta ok?

Parlavi di un forum su forumfree..
ehm da quanto ne so io è forumfree non offre un buon servizio, anzi sia Siteadvisor ( http://www.siteadvisor.com/download/ff.html ) sia Finjan Secure Browsing (http://securebrowsing.finjan.com/ ) - due valide estensioni per Firefox e volendo anche per Internet Explorer - me lo segnalano come sito fraudolento e che sfrutta vulnerabilità dei navigatori.
Fossi in te cercherei un forum altrove (conosco forumup.it che è pulito e sicuro, per esempio)

-------------

Tornando alla rootikit.
Domande:
1) hai eseguito una scansione col SUPERAntispyware free che ti avevo suggerito?
2) Gmer non ti segnala più voci in rosso?
-----------

Ecco se alle ultime due domande tutto risulta regolare (ovvero: sistema pulito col SUPERAntiSpyware free e nessuna voce in rosso con Gmer)
Allora, sarebbe ora di procedere disinstallando al più presto AVAST Home (in ogni caso è stato quasi sicuramente disabilitato dalle infezioni) e installando al suo posto l'AVIRA Antivirus PREMIUM in offerta GRATIS per 6 mesi che come ti ho detto protegge anche da spyware e ha un modulo di rilevazione e dinsfezione rootkit molto efficace.

Attendo tue notizie in merito

leofelix · 15-01-2008, 03.04.57

Quota:

Inviato da Savannah_jay

Salve.
Scusate l'intrusione, ma da qualche giorno litigo con questo stesso "coso" descritto qui, e non trovo una soluzione. In piu', il mio computer ha questo maledetto vista, per cui gmer non è utilizzabile. Riuscite mica per miracolo ad aiutare anche me?

Di nulla e benvenuto/a in questo forum.
Purtroppo conosco pochissimo Vista.
Potresti aprire una nuova richiesta a parte sempre nella sezione Sicurezza e Privacy iniziando per postare un log di una scansione del tuo sistema con HiJackThis che puoi scaricare da Qui

Altri volenterosi wintrickers potranno aiutarti meglio di me

-----------
in ogni caso su questo sito trovi una lista notevole di programmi quasi tutti gratuiti contro le rootkit (il Gmer me lo da' per funzionante in ambiente Vista)

In bocca al lupo

Savannah_jay · 15-01-2008, 20.43.31

Allora.... ho risolto il problema!!! Chi me lo doveva dire, la soluzione l'ho trovata su di un sito francese. Mi ha aiutato un programma che si chiama Navilog1, ed ora sono libera!
In ogni caso, grazie per l'aiuto e la disponibilità

leofelix · 16-01-2008, 07.18.48

prego,
anzi grazie a te, il programma di cui parli non lo conoscevo.
Ho fatto le dovute ricerche e quanto pare promette bene contro l'instant access e altro malware del genere

24-12-2007, 13.02.30	#31
interceptor Senior Member Registrato: 22-03-2001 Loc.: prov. di Bari Messaggi: 381	...mi sa che sono io in lotta con questo virus................adesso mi leggo tutto e mi adopero.........grrrrrrrrrrrrrrrrrrrrrrr ___________________________________ SCIAU!!!!! ...genius at work...

13-01-2008, 08.06.43	#33
leofelix Gold Member Top Poster Registrato: 10-12-2005 Messaggi: 3.514	@ stefy;) ciao stefy; ) e benvenuta/o nel forum dunque, in effetti il tuo sistema sembrerebbe infetto da delle rootkit. Hai in seguito letto quel manuale su come usare Gmer che avevo postato? Eccolo Qui Prova a utilizzare questi programmi allora: 1) Panda Antirootkit decomprimi l'eseguibile sul desktop quindi eseguilo perché faccia un controllo approfondito (ti chiederà di riavviare) 2) RogueRemover free una volta scaricato, va aggiornato quindi esegui la scansione: in genere rimuove quasi tutti le 'applicazioni fuorvianti' 3) SUPERAntiSpyware free 3.9 (link diretto per il download) questo nella scansione 'full' non è velocissimo, ma trova di tutto ed elimina di tutto. 4) scarica ed esegui in modalità provvisoria (tasto F8 più volte durante il riavvio) il Norman Malware Cleaner (è normale che rimuova le voci host, è solo un tool, non sostituisce un antivirus completo) Inoltre come avrai notato l'AVAST si è rivelato inefficace contro le rootkit e non solo. Quindi ti suggerirei di disinstallarlo. Al contrario il gratuito AntiVir Personal Edition Classic oltre a essere molto leggero, rileva e disinfetta molte più minacce informatiche e ha un modulo di rilevazione rootkit. Dopo aver aver utilizzato le risorse che ti ho indicato, prova a installarlo e fargli fare anche una scansione anti rootkit, lo trovi qui Download AntiVir free Altra cosa: dal log di HiJackThis al momento vedo che hai il Teatimer di SpyBot S & D attivo, meglio disabilitarlo.. e che non usi il Sun Java EnvironMent più recente che è la ver 1.6 update 4, oltre a un Internet Explorer 6.0 SP 2 'personalizzato da alice'... direi che sarebbe ora di passare a Windows Internet Explorer 7.0, che è più sicuro Download IE 7.0 Ita Infine, una volta che - spero - tu sia riuscito/a a disinfettare il sistema: A) installa le estensioni per Firefox chiamate no script e adblock plus La navigazione sarà molto sicura dopo B) E naturalmente ti suggerirei di approfittare dell'offerta per ottenere AVIRA Antivirus PE PREMIUM per 6 mesi gratis attendo tue notizie spero positive Ultima modifica di leofelix : 13-01-2008 alle ore 15.51.59

13-01-2008, 17.08.39	#35
leofelix Gold Member Top Poster Registrato: 10-12-2005 Messaggi: 3.514	allora stefy ; ) Sei già a buon punto prima cosa da fare quando si è sicuramente infetti è quella di disabilitare il 'ripristino di configurazione" dal momento che questo metodo per quanto utile conserva anche eventuali virus/spyware contratti per cui a ogni riavvio te li ritrovi quasi sempre al loro posto. Come fare? basta fare pulsante destro del mouse su 'risorse del computer' e spuntare la voce "disattiva ripristino di sistema" (la cosa è solo temporanea, una volta disinfettato il computer, il 'ripristino di sistema' va riattivato). --- Poiché alcuni files infetti risulteranno incancellabili perché in uso dal sistema, munisciti di una utility come ad esempio il gratuito FileAssassin per disintegrare letteralmente quei files infetti (in ogni caso sia in HiJackThis sia in Gmer ci sono degli strumenti che fanno grosso modo la stessa cosa) altrimenti va bene anche Unlocker link diretto per il download ATTENZIONE: Questi i software su indicati sono da utilizzare con cautela ------ Un altro programma che ti servirà sicuramente è il gratuito CCleaner (link diretto download) da utilizzare 'cum salis grano': togli la spunta sui 'disinstallatori di windows', sui log, su eventuali password memorizzate, fa' sì che il files temporanei siano cancellati dopo 48 ore, metti la spunta invece solo nei navigatori e in alcune componenti di sistema, tranne Ms Office. Quindi via, una bella passata al sistema per ripulirlo dai cosiddetti 'junk files' (lascia perdere la pulizia del registro, per ora) ----- Il Fatto che tu (come me del resto) utilizzi come browser predefinito Mozilla Firefox, non significa che tu non debba mantenere il sistema aggiornato, per tanto anche Internet Explorer va aggiornato, non solo per la sicurezza ma anche per la stabilità del sistema stesso PS: inoltre la barra di google per IE non ti serve, quindi direi che è meglio che tu la disinstalli; ce ne è una molto più sicura e meno ingombrante anche per Firefox --- TeaTimer è una parte di SpyBot che soffre notoriamente di bug, si può disattivare attraverso il programma stesso, anzi è preferibile farlo (e non lo dico solo io) ------- L'estensione 'adblock plus' non richiede che 'sottoscrivere' alcuni servizi gratuiti tra quelli presenti per bloccare banner e pubblicità indesiderata, quindi quando ti si presenterà un banner che non vuoi visualizzare, apparirà una 'linguetta' sopra con scritto 'blocca' (sta a te quindi decidere se bloccare o meno il banner) --- Ora dovresti avere la pazienza di: A) Disattivare il 'ripristino di configurazione' (temporaneamente) B) ripetere le scansioni con gli strumenti indicati (ove indicato in 'modalità provvisoria' - come col 'Norman Malware Cleaner' ad esempio) C) laddove un file infetto non sia cancellabile utilizza uno dei tools come Unlocker o FileAssassin per fare fuori i files sicuramente infetti D ) Anche se i files infetti vengono eliminati, talvolta rimangono in esecuzione automatica nel Registro di configurazione , nel caso il sistema dovesse ancora cercarli una volta disinfettato, un tool come RegAssassin potrà tornarti utile, nel caso sono qui.. basta chiedere, nei miei limiti ovviamente ---- Ok, perdona se sono stato prolisso, ma ho cercato di spiegare nella maniera più chiara e precisa possibile... Per ora ti auguro buon lavoro e in bocca al lupo.. in attesa di esiti favorevoli da parte tua Buona domenica Ultima modifica di leofelix : 13-01-2008 alle ore 17.12.12

14-01-2008, 00.06.32	#37
stefy:) Newbie Registrato: 12-01-2008 Messaggi: 5	Trend Micro RootkitBuster 1.6 Beta. \| Module version: 1.6.0.1052 +---------------------------------------------------- --== Dump Hidden File on C:\ ==-- No hidden files found. --== Dump Hidden Registry Value on HKLM ==-- No hidden registry entries found. --== Dump Hidden Process ==-- No hidden processes found. --== Dump Hidden Driver ==-- No hidden drivers found. PULITO Panda antirootkit PULITO rogueremover PULITO invece ci sono stati registrati da adblock 13 accessi a quel file e 8 file bloccati E CMQ NN SI APRE PIU' NULLA E QUESTO E' IL NUOVO LOG DI Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 0.09.00, on 14/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\Fmctrl.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe C:\Programmi\Digisoft AntiDialer\AntiDialer.exe C:\Programmi\WinZip\WZQKPICK.EXE C:\Programmi\Mozilla Firefox\firefox.exe C:\Documents and Settings\Amministratore\Documenti\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [gcasDtServ] gcasDtServ.exe O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: IAMS-CD a 4 zampe-Gatto.lnk = C:\Programmi\IAMS-CD a 4 zampe-Gatto\Control.exe O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{837F9223-A053-4347-A36E-0B3AF9FB3F7A}: NameServer = 193.12.150.2 212.247.152.2 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 5660 bytes Ultima modifica di stefy:) : 14-01-2008 alle ore 00.10.12

15-01-2008, 02.50.09	#41
leofelix Gold Member Top Poster Registrato: 10-12-2005 Messaggi: 3.514	@ stefy;) x stefy ; ) dunque, scusa, ma oggi la connessione mi ha abbandonato più volte. Dunque, leggendo il tuo log vedo: "O4 - Startup: IAMS-CD a 4 zampe-Gatto.lnk = C:\Programmi\IAMS-CD a 4 zampe-Gatto\Control.exe" Non conosco questa voce e mi suona sospetto che sia in esecuzione automatica. Tu hai idea di cosa si tratti? -------------- Non preoccuparti per ora di cosa blocca o non blocca 'adblock plus' facciamo una cosa per volta ok? Parlavi di un forum su forumfree.. ehm da quanto ne so io è forumfree non offre un buon servizio, anzi sia Siteadvisor ( http://www.siteadvisor.com/download/ff.html ) sia Finjan Secure Browsing (http://securebrowsing.finjan.com/ ) - due valide estensioni per Firefox e volendo anche per Internet Explorer - me lo segnalano come sito fraudolento e che sfrutta vulnerabilità dei navigatori. Fossi in te cercherei un forum altrove (conosco forumup.it che è pulito e sicuro, per esempio) ------------- Tornando alla rootikit. Domande: 1) hai eseguito una scansione col SUPERAntispyware free che ti avevo suggerito? 2) Gmer non ti segnala più voci in rosso? ----------- Ecco se alle ultime due domande tutto risulta regolare (ovvero: sistema pulito col SUPERAntiSpyware free e nessuna voce in rosso con Gmer) Allora, sarebbe ora di procedere disinstallando al più presto AVAST Home (in ogni caso è stato quasi sicuramente disabilitato dalle infezioni) e installando al suo posto l'AVIRA Antivirus PREMIUM in offerta GRATIS per 6 mesi che come ti ho detto protegge anche da spyware e ha un modulo di rilevazione e dinsfezione rootkit molto efficace. Attendo tue notizie in merito Ultima modifica di leofelix : 15-01-2008 alle ore 03.06.15

12-01-2008, 15.57.30	#32
stefy:) Newbie Registrato: 12-01-2008 Messaggi: 5	anche io stessissimo identico problema e sto seguendo i passi indicati prima... devo dire che nano scan non ha rilevato nulla, vundo non finisce ancora la scansione, Gmer invece in rosso ha rilevato un processo e 2 rootkit per ora... sto nel frattempo facendo fare a Bit defencer la scansione online, ad aware spybot e avast non hanno rilevato nulla! mentre qui ho i log della scansione fatta con Trend Micro RootkitBuster 1.6 Beta. \| Module version: 1.6.0.1052 +---------------------------------------------------- --== Dump Hidden File on C:\ ==-- [HIDDEN_FILE]: FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj.dat FullPathLength: 93 DesiredAccess : 0x0 Options : 0x0 Attributes : 0x820 ShareAccess : 0x0 Type : 0x0 [HIDDEN_FILE]: FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj.exe FullPathLength: 93 DesiredAccess : 0x0 Options : 0x0 Attributes : 0x820 ShareAccess : 0x0 Type : 0x0 [HIDDEN_FILE]: FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj_nav.dat FullPathLength: 97 DesiredAccess : 0x0 Options : 0x0 Attributes : 0x820 ShareAccess : 0x0 Type : 0x0 [HIDDEN_FILE]: FullPath : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj_navps.dat FullPathLength: 99 DesiredAccess : 0x0 Options : 0x0 Attributes : 0x820 ShareAccess : 0x0 Type : 0x0 4 hidden files found. --== Dump Hidden Registry Value on HKLM ==-- No hidden registry entries found. --== Dump Hidden Process ==-- [HIDDEN_PROCESS]: ParentId : 00000180 ID : 000007A4 Type : 0x00000001 Name : reqbolfkwj.exe ImageName : C:\Documents and Settings\Amministratore\Impostazioni locali\Dati applicazioni\reqbolfkwj.exe --== Dump Hidden Driver ==-- No hidden drivers found. e con Trend Micro HijackThis v2.0.2 Scan saved at 14.54.47, on 12/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Fmctrl.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe C:\Programmi\Digisoft AntiDialer\AntiDialer.exe C:\Programmi\WinZip\WZQKPICK.EXE C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\Outlook Express\msimn.exe C:\Programmi\Messenger\msmsgs.exe C:\Documents and Settings\Amministratore\Documenti\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/dial_up R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [gcasDtServ] gcasDtServ.exe O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Epp\Detector.exe O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.alice.it O17 - HKLM\System\CCS\Services\Tcpip\..\{837F9223-A053-4347-A36E-0B3AF9FB3F7A}: NameServer = 193.12.150.2 212.247.152.2 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O24 - Desktop Component 0: (no name) - http://img182.imageshack.us/img182/1...arfalle9fy.jpg -- End of file - 5335 bytes ma io non so leggerli questi risulati help me please

13-01-2008, 16.08.57	#34
stefy:) Newbie Registrato: 12-01-2008 Messaggi: 5	Ciao wow quanti suggerimenti, allora con GMER una volta eliminate le voi in rosso sembrava ke il rpoblema fosse risolto, ma poi riavviando il pc, il problema si è riprensenatato! allora in ad block di mozzilla ho messo tutte le finestre e i nuovi link ke mi si aprivano e pare ke per ora va bene! inoltre ho messo il foìiltro per i java script pubblicitari ke aprono nuove finestre e per i flash! poi mi dovrei spiegare come funziona ad block plus! per quanto riguarda il tea timer è insieme a spybot ... panda rootkit mi ha trovato 4 rootkit ke ho eliminato, rogueremover, non ha rilevato nulla, internet explorer non lo uso proprio, uso solo mozzilla

13-01-2008, 23.20.10	#36
stefy:) Newbie Registrato: 12-01-2008 Messaggi: 5	oddio grazie per gli innumerevoli consigli.. cercherò di procedere un passo alla volta!! rogueremover non ha trovato nulla ma pavark si ed ho cancellato, pare ke per adesso nn si riaprono, ma può essere che io essendo amm,.ce di un forumsu forumfree, prenda da lì il problema?

14-01-2008, 13.33.14	#38
Savannah_jay Newbie Registrato: 14-01-2008 Messaggi: 3	Salve. Scusate l'intrusione, ma da qualche giorno litigo con questo stesso "coso" descritto qui, e non trovo una soluzione. In piu', il mio computer ha questo maledetto vista, per cui gmer non è utilizzabile. Riuscite mica per miracolo ad aiutare anche me?

14-01-2008, 13.53.53	#39
stefy:) Newbie Registrato: 12-01-2008 Messaggi: 5	anche io sto andando per tentativi con xp, prova a leggere le altre discussioni e a vedere se ne esce fuori qualcosa

14-01-2008, 15.07.54	#40
Savannah_jay Newbie Registrato: 14-01-2008 Messaggi: 3	Ho provato le scansioni in modalità provvisoria con tutti i programmi che avevo installato, ma nulla. 'sto coso è ancora là....

15-01-2008, 20.43.31	#43
Savannah_jay Newbie Registrato: 14-01-2008 Messaggi: 3	Allora.... ho risolto il problema!!! Chi me lo doveva dire, la soluzione l'ho trovata su di un sito francese. Mi ha aiutato un programma che si chiama Navilog1, ed ora sono libera! In ogni caso, grazie per l'aiuto e la disponibilità

16-01-2008, 07.18.48	#44
leofelix Gold Member Top Poster Registrato: 10-12-2005 Messaggi: 3.514	prego, anzi grazie a te, il programma di cui parli non lo conoscevo. Ho fatto le dovute ricerche e quanto pare promette bene contro l'instant access e altro malware del genere

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Norman Malware Cleaner - AIUTO	sikano	Sicurezza&Privacy	7	11-04-2008 16.28.32
condivisione cartelle tra due computer	harlekin	Windows 7/Vista/XP/ 2003	2	05-01-2007 16.30.05
[*BUNTU] problema riproduzione video con aixgl	Paramir	Linux e altri Sistemi Operativi	5	30-11-2006 14.35.43
[FEDORA] C3 - installazione pacchetto tar.gz adattatore wireless digicom	babbo	Linux e altri Sistemi Operativi	31	06-06-2006 23.19.09
VirusScan 9 - Aggiornamenti KO?	K[o]dy	Sicurezza&Privacy	7	03-06-2005 00.44.31