www.MegaLab.it

da **mmaarrcoo** » mar lug 25, 2006 2:33 pm

ciao a tutti è un po' che appena mi collego ad interne avast mi avverte di

win32-Agent-AJP[tool] ..
non so cosa fare oltre a chiudi sessione che mi racomanda avast..

ma al nuovo riavvio del pc..... sono da capo... [sbigot]

vi allego la scansione fatta con HijackThis.. non ci capisco niente...
ho fatto scansioni con ad-aware, spyware doctor.. ma niente da fare...
aiutatemi!! [cry+]

Logfile of HijackThis v1.99.1
Scan saved at 15.27.01, on 25/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\SVRemote\PCIRemote.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\marco\Desktop\hijackthish\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: m1a2 - {521693AA-7453-47ED-9959-3BD47DAA1B1A} - C:\WINDOWS\system32\msx.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Intense - {FB47056B-B34D-410E-819A-E8A51CC8E2EB} - C:\WINDOWS\system32\kaboom.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Programmi\Systran\4_0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Programmi\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programmi\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [SVRemote] c:\Program Files\SVRemote\PCIRemote.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe

da **Amantide** » mar lug 25, 2006 2:58 pm

Ti sei preso il virus chiamato Bomka. Prova ad usare questo tool, Bomkafix.
Se non riesci a risolvere segui queste istruzioni per l'eliminazione manuale
http://www.scanspyware.net/info/Bomka.htm
http://www.precisesecurity.com/computer-virus/avtb-jan025.htm
Se incontri il problema di Impossibile eliminare il file in uso usa il Delete Doctor e non dimenticare a disabilitare il ripristino di sistema ed abilitare la visualizzazione dei file nascosti e di sistema.

da **Amantide** » mar lug 25, 2006 3:04 pm

Usa anche questo tool, MSX.DLL Remover

da **mmaarrcoo** » mar lug 25, 2006 3:58 pm

ok..
stò provando ...
ma non ci sono spiegazioni in italiano?

da **mmaarrcoo** » mar lug 25, 2006 4:38 pm

chiedo troppo di sapere cosa dovrei fare in sintesi di quello che è scritto in inglese???
sono ignorante in inglese [cry]

ho fatto la scansione con nod32bonka ma non trova niente...
l'antivirus [cry+]

però continua a suonare....

da **crazy.cat** » mar lug 25, 2006 4:51 pm

Amantide ha scritto:Se incontri il problema di Impossibile eliminare il file in uso usa il Delete Doctor

Come ti aveva suggerito Amantide, seleziona con delete doctor, questo file dll
O2 - BHO: m1a2 - {521693AA-7453-47ED-9959-3BD47DAA1B1A} - C:\WINDOWS\system32\msx.dll
Rifai la scansione con hijackthis, metti il flag su questa riga e premi fix. poi riavvii subito il pc e vedi come va.

da **Amantide** » mar lug 25, 2006 6:17 pm

Prima dalla modalita provvisoria disattivando il ripristino di sistema prova ad usare il remover specifico Bomkafix, è quello che ti avevo segnalato prima.
Se nonostante questo il problema si dovrebbe presentarsi ancora munisciti di Delete Doctor, nelle proprietà cartella abilita la visualizzazione dei file nascosti e di sistema, vai nella cartella C:\ Windows\System32 ed elimina questi file
kaboom.dll
iewatch.exe
A0003016.exe
VideoCodec3_05b.exe
sysmon.exe
msx.dll
gtrack.dll
ietool[1].exe
ietool[2].exe
ietool[3].exe
Dopo di che scarichi RegRun Reanimator e lo estrai da qualche parte. Dopo scarichi il file icqchk_kill.rnr ( per scaricarlo fai Tasto destro-->Scarica con nome) e lo metti nella stessa cartella.
Fatto ciò riavvii il pc in modalita provvisoria (F8 all' avvio) e apri il file Reanimator.exe
Vai in menu Reanimator-->Execute Reanimator Job, trovi e scegli il file icqchk_kill.rnr
Riavvia il computer nella modalità provvisoria e ripeti l'operazione.
Alla fine riavvii il computer nella modalità normare, apri il Reanimator.exe, vai su Reanimator e poi su Scan for Viruses.
Il programma RegRun Reanimator serve per ripulire il registro dalle chiavi infette, cosi non dovrai cercarle ed eliminarle manualmente.
Sembra tutto [:-D]

Se ti serve ancora l'aiuto siamo qui.

da **crazy.cat** » mar lug 25, 2006 6:22 pm

Amantide ha scritto:vai nella cartella C:\ Windows\System32 ed elimina questi file

Aggiungerei, se ci sono, perché potrebbe esserci solo la dll che si vede nel log.

da **Amantide** » mar lug 25, 2006 6:25 pm

Si, hai ragione. Ma intanto i file msx.dll e kaboom.dll ci sono (purtroppo) e sono da elminare.

da **crazy.cat** » mar lug 25, 2006 6:28 pm

E' vero mi era sfuggita questa riga
O2 - BHO: Intense - {FB47056B-B34D-410E-819A-E8A51CC8E2EB} - C:\WINDOWS\system32\kaboom.dll

(Ho caldoooooooooooooooo)

da **Amantide** » mar lug 25, 2006 6:30 pm

E alloooooora!!!! Ma quindi anche tu sei un essere umano?! [:-D]

da **mmaarrcoo** » mer lug 26, 2006 1:40 am

ok!!

ho fatto tutto quello che mi avete detto!!
sembra che il problema sia risolto...
domani provo il pc con calma!!!
e vi faccio sapere....

comunque grzie millle siete geni!!!!!!!!!!!!
[applauso]

www.MegaLab.it

problema win32-Agent-AJP[tool] ...

problema win32-Agent-AJP[tool] ...

Chi c’è in linea