www.MegaLab.it

da **BilloKenobi** » mar ago 29, 2006 3:13 pm

@ marcus

ok, ci sono stasera

@crazy.cat

le voci relative sono

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {346D8699-DAC7-DD78-5CD4-CA50A929983C} - C:\WINDOWS\ohrda1.dll (file missing) e credo centri (nella nuova variante) anche
O4 - Startup: w32.exe

se puoi leggi qui. è illuminante [applauso]

http://www.suspectfile.com/forum/viewtopic.php?t=156

da **marcus** » mar ago 29, 2006 5:09 pm

io adesso sono in svizzera collegato con una rete svizzera, quindi il bluwind.ch che mi hai detto di fixare è della connessione..per lo meno penso.questa sera ti ripostoil log e mi dici.

da **Amantide** » mar ago 29, 2006 6:15 pm

BilloKenobi ha scritto:@crazy.cat

le voci relative sono

...
O4 - Startup: w32.exe

hmmm... hmmm...
Veramente il w32.exe è una schifezza a sè stante, il backdoor.sokeven, e non ha nulla che vedere con il linkoptimizer.

@ Marcus

Intanto elimina questo di virus, seguendo le istruzioni che ti descrivo, dopo di che buttati sulla ricerca/eliminazione di un possibile linkoptimizer. Per prima cosa affrontiamo i virus visibili e dopo passiamo ai fantasmi.

1. Disattiva il ripristino configurazione di sistema.
2. Dal task manager termina l'esecuzione di w32.exe
3. Elimina il file in rosso, all' occorenza con l'aiuto di Delete Doctor
4. Abilita la visualizzazione dei file nascosti e di sistema (Pannello di controllo--> Opzioni Cartella--> Visualizzazione)
5. Vedi se esiste una copia del file anche nella cartella C:\Windows\System32 ed eliminalo. ( C:\Windows\System32\w32.exe)
6. Apri il regedit ed elimini questi valori in rosso, che si troveranno nel pannello di destra

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\w32="w32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\w32="w32.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\w32="w32.exe"

ed anche questa sottochiave in rosso, che si troverà nel pannello di sinistra

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\w32
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\w32
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\w32

devi eliminare intera cartella che si chiama w32.

da **marcus** » mar ago 29, 2006 6:52 pm

perõ nel percorso che mi hai indicato Windows\programmi\ trovo un w32tm..devo elimiare ance questo?
il w32 che ho elimiato io si trovava in esecuzione automatica

da **marcus** » mar ago 29, 2006 6:55 pm

vi riposto il log appena fatto con hij

da **marcus** » mar ago 29, 2006 6:56 pm

Logfile of HijackThis v1.99.1
Scan saved at 19.31.09, on 29/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programmi\FSI-antivirus\F-Prot\fpavupdm.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\programmi\u-storage tool2.91\ustorage.exe
C:\Programmi\FSI-antivirus\F-Prot\F-StopW.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://blueadit.bluewin.ch/regservice/ ... ste_i.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {346D8699-DAC7-DD78-5CD4-CA50A929983C} - C:\WINDOWS\ohrda1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [UStorag] c:\programmi\u-storage tool2.91\ustorage.exe sys_auto_run C:\Programmi\U-Storage Tool2.91
O4 - HKLM\..\Run: [F-StopW] C:\Programmi\FSI-antivirus\F-Prot\F-StopW.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programmi\FSI-antivirus\F-Prot\fpavupdm.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

da **marcus** » mar ago 29, 2006 7:20 pm

ho cercato le chiavi che mi dicevi, ma non nè ho trovato nessuna.
ne sullo schermo a desr nè a sintra.
Se ridai un occhiata al log magari..non so forse ieri eliminando w32 manualmente è cambiato qualcosa

da **Amantide** » mar ago 29, 2006 7:27 pm

marcus ha scritto:Se ridai un occhiata al log magari..non so forse ieri eliminando w32 manualmente è cambiato qualcosa

Sembra che il sokeven sia stato eliminato.... ora dedicati alla ricerca di linkoptimizer.

da **BilloKenobi** » mar ago 29, 2006 8:15 pm

Amantide ha scritto:
BilloKenobi ha scritto:@crazy.cat

le voci relative sono

...
O4 - Startup: w32.exe

hmmm... hmmm...
Veramente il w32.exe è una schifezza a sè stante, il backdoor.sokeven, e non ha nulla che vedere con il linkoptimizer.

non per insistere, ma la nuova versione del LO, che è nata pochi giorni fa, include il w32.exe,che in questo caso non è più il virus che dicevi tu, ma il programma che fa partire l'infezione del LO. sono pochi lgi antivirus che lo rilevano come dannoso, e non sono troppo precisi nel farlo

ecco un'analisi della suspectfile

http://www.suspectfile.com/forum/viewtopic.php?t=261

da **marcus** » mar ago 29, 2006 9:37 pm

ci sei? procedo con i programmi che mi hai detto?
nel frattempo m hanno dato anche altre soluzioni scaricando beatdefender, sophos e virit, ma funziona solo beatdefender e tra l'altro non trova neinte
Gli altri due non so perch,ma non si avviano
comunque se sei d'accoro iniziamo con il tuo metodo

da **BilloKenobi** » mar ago 29, 2006 10:54 pm

quando vuoi. scusa se non c'ero, ma ho avuto contrattempi

per cominciare estrai Gmer e fai uno scan delle sezioni Rootkit e Autostart, e postami entrambi i log (c'è un pulsante copia)

da **marcus** » sab set 02, 2006 10:54 pm

sono stato assente per lavoro, ma continuo ad avere il bastardissimo linkoptimizer, almeno penso vi riposto l'ennesimo log
Devo dire che comincio ad essere disperato.

@billkenobi
gmer non parte..che fare?

Logfile of HijackThis v1.99.1
Scan saved at 23.23.02, on 02/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\programmi\u-storage tool2.91\ustorage.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Sicurezza\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://blueadit.bluewin.ch/regservice/ ... ste_i.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {346D8699-DAC7-DD78-5CD4-CA50A929983C} - C:\WINDOWS\ohrda1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [UStorag] c:\programmi\u-storage tool2.91\ustorage.exe sys_auto_run C:\Programmi\U-Storage Tool2.91
O4 - HKLM\..\Run: [F-StopW] C:\Programmi\FSI-antivirus\F-Prot\F-StopW.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: F-Prot Antivirus Update Monitor - Unknown owner - C:\Programmi\FSI-antivirus\F-Prot\fpavupdm.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\PROGRAMMI\SICUREZZA\viritsvc.exe (file missing)

da **Amantide** » dom set 03, 2006 3:15 pm

Rispondendo alla tua domanda:
Non ho potuto testare appieno il tool di rimozione per LinkOptimizer, non avendo questo malware ricevevo subito il messaggio che sul mio computer non è presente il LO. Comunque il tool è molto facile da utilizzare, all'inizio devi premere solo Scan e se verrà trovato qualcosa immagino che uscirà fuori opzione per rimuoverlo.
Facci sapere com'è andata.

da **marcus** » mar set 05, 2006 6:14 pm

Ciao amantide e a tutti
ebbene dopo aver usato il tool di rimozione per LO postato da andorra nell'altra sezione il pc ha ripreso a funzionare bene. Devo dire la verità non ci potevo credere..
In realtà rifacendo il log con hijackthis non trovo una gran differenza, magari questa sera ve lo riposto cosí mi dite cosa ne pensate.
Inoltre penso di avere ancora qualche schifezza anche perché devo ancora scaricarmi un firewall degno di tale nome..per scegliere quale andró a vedere il forum relativo anche se ci sono talmente tanti interventi che viene il mal di testa e alla fine non riesco mai a capire quale vada veramente bene. Immagino si debba provarne diversi e farsi un pó di esperienza.

CIAO!!

da **Amantide** » mar set 05, 2006 6:54 pm

Io ti consiglio Comodo Firewall, attualmente è il miglior firewall gratuito.

da **marcus** » mar set 05, 2006 7:45 pm

Vedete se secondo voi è cambiato qualcosa e se c'è qulacosaltro

@amantide

ho letto il tuo articolo su comodo e pensavo di scaricarlo
ho solo paura sia un ó difficile da configurare nonostante la tua guida.

Tutti gli IP i TCP e le varie dove le trovo..in pannelo di controllo, madove?

da **Amantide** » mar set 05, 2006 8:01 pm

Alla fine, seguendo la guida, non è poi cosi difficile. La creazione delle regole personalizzate serve solo se si usa i programmi particolari come p2p o simili.
Per le porte TCP o UDP basta sapere di che programma si tratta oppure si deve guardare nelle impostazioni di tale programma. Per scoprire l'indirizzo IP del tuo computer devi andare su Start--> Esegui e digitare cmd, premi OK e nella finestra che si apre dovrai digitare ipconfig e dare l'Invio. L'indirizzo visualizzato sarà simile a questi 192.168.1.3 o 10.0.0.5.
Se comunque non ti senti sicuro allora puoi optare per Zone Allarm, è in italiano ed è anche di un facile utilizzo.

P.S. Mi sa che ti sei scordato di inserire il log. [:-D]

da **marcus** » mar set 05, 2006 8:10 pm

ebbene mi ero proprio dimenticato. Mi sono immerso nella lettura del tuo manuale di comodo e mi sono dimenticato. Oltretutto mi è venuto in mente di andare a vedere le istruzioni del mio modem ADSL perché una volta mi è stato detto (su e-mule) che funzionava da router. Ebbene ha un firewall integrato tipo NAT. Che vuoldire?Sono già apposto di firewall?

Comunque ecco il LOG

Logfile of HijackThis v1.99.1
Scan saved at 20.35.37, on 05/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programmi\FSI-antivirus\F-Prot\fpavupdm.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\programmi\u-storage tool2.91\ustorage.exe
C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\Sicurezza\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://blueadit.bluewin.ch/regservice/ ... ste_i.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {346D8699-DAC7-DD78-5CD4-CA50A929983C} - C:\WINDOWS\ohrda1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [UStorag] c:\programmi\u-storage tool2.91\ustorage.exe sys_auto_run C:\Programmi\U-Storage Tool2.91
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programmi\FSI-antivirus\F-Prot\F-Sched.exe STARTUP
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programmi\FSI-antivirus\F-Prot\fpavupdm.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - Unknown owner - C:\PROGRAMMI\SICUREZZA\viritsvc.exe (file missing)

da **Amantide** » mar set 05, 2006 8:43 pm

Se il NAT è attivato, allora potrebbe bastare anche il firewall del router.

Guardando il log si vede che LO sta ancora li, girando in rete avevo letto che questo tool di rimozione, come anche i vari antivirus, riescono a rimuoverlo ma non impediscono la successiva reinstallazione. Vabbè, proviamo a rimuoverlo manualmente.
Prima di tutto scarica il programma RootkitRevealer, dopo di che stacchi la connessione internet e chiudi tutti i programmi attivi, compreso l'antivirus. A questo punto fai la scansione con questo programma e mi posti il log. Per salvare il log devi fare File--> Save...
Poi facciamo il resto..

da **marcus** » mar set 05, 2006 11:10 pm

risultato....non ha trovato niente, dice che non rileva conflittualità o qualcosa del genere.mah?

Che si fa pendo dalla tua tastiera

www.MegaLab.it

pc lento, virus e dialer trovati con panda on line

billkenobi una precisazione

w32 l'avevo già eliminato

ecco il nuovo log

ecco il log, scusate

per AMANTIDE..non ho trovato nessuna chiave

Re: per AMANTIDE..non ho trovato nessuna chiave

billokenobi

torno con LO

sembra funzioni

Ecco l'ultimo Log

mamma mia che pirla

Re: mamma mia che pirla

eseguito scan con rootkit reveler

Chi c’è in linea