www.MegaLab.it

[Emanuelito]

hai fatto defrag e scansione del registro come ti ho consigliato potrebbe essere utile per eliminare lke risumaglie di qualche software ingannevole!
Inoltre, fai una scansione con dr.web curelt da qui ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe esegui una scansione completa ed elimina tutto cio che trova.
Dr.Web è un antivirus potentissimo e ha me mi tolto molte volte dai guai!
Inoltre fai anche un altro log con HijackThis

[Emanuelito]

ti consiglio anche ccleaner per la ricerca e pulizia di cookie e files temporanei

[teresa]

Dopo quasi 7 ore di scansione Dr.Web ha trovato 2 riskware e 1 trojan incurabili e spostati di conseguenza, si presume in quarantena, ma visto che non è installato non lo so. Ordinato il riavvio il pc fa il controllo dei file system su C; il file system è di tipo NTFS. Dev'0essere esguito il controllo di coerenza su uno dei dischi di file, codici e descrittori di protezione. Scrivo tiutto questo perché non ne so né il significato né il motivo. A questo punto non so se quei tre malware siano ancora nel pc e dove né come comportarmi. Allego log di Hijackthis. Per favore, illuminatemi.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0.44.13, on 01/05/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Ashampoo\Ashampoo Anti-Malware\AAMW_Service.exe
C:\Programmi\Ashampoo\Ashampoo Anti-Malware\AAMW_WSC_Service_XP.exe
C:\Programmi\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lxeacoms.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
C:\Programmi\Softland\Backup4all Professional 4\b4aSched.exe
C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmi\Softland\Backup4all Professional 4\b4aShutMon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
E:\office 2000\Office\WINWORD.EXE
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programmi\Internet Download Manager\IDMIECC.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2011\ievkbd.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programmi\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Lexmark - {D2C5E510-BE6D-42CC-9F61-E4F939078474} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe"
O4 - HKCU\..\Run: [Backup4all Scheduler] "C:\Programmi\Softland\Backup4all Professional 4\b4aSched.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio rapido di HP Image Zone.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con IDM - C:\Documents and Settings\laura\Desktop\Programmi\IEExt.htm
O8 - Extra context menu item: Scarica con IDM contenuti video FLV - C:\Documents and Settings\laura\Desktop\Programmi\IEGetVL.htm
O8 - Extra context menu item: Scarica con Mipony - file://C:\Programmi\MiPony\Browser\IEContext.htm
O8 - Extra context menu item: Scarica tutti i link con IDM - C:\Documents and Settings\laura\Desktop\Programmi\IEGetAll.htm
O9 - Extra button: &Tastiera Virtuale - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O9 - Extra button: C&ontrollo URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2011\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\AVP11\mzvkbd3.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ashampoo Anti-Malware Service (AAMWService) - Unknown owner - C:\Programmi\Ashampoo\Ashampoo Anti-Malware\AAMW_Service.exe
O23 - Service: Ashampoo Anti-Malware WSC Service (AAMW_WSC_Service_XP) - Unknown owner - C:\Programmi\Ashampoo\Ashampoo Anti-Malware\AAMW_WSC_Service_XP.exe
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Programmi\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Programmi\File comuni\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servizio Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: lxeaCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxeaserv.exe
O23 - Service: lxea_device - - C:\WINDOWS\system32\lxeacoms.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: uvnc_service - UltraVNC - C:\Documents and Settings\laura\Impostazioni locali\Dati applicazioni\CrossLoop\winvnc.exe
O24 - Desktop Component 0: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Immagini/bandiera%20pds%20x%20desktop.jpg
O24 - Desktop Component 1: (no name) - file:///H:/GEMINI.jpeg
O24 - Desktop Component 10: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Immagini/images11.jpg
O24 - Desktop Component 11: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Immagini/Tex%20x%20deskop1.jpg
O24 - Desktop Component 12: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Immagini/GEMINI.jpeg
O24 - Desktop Component 13: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Immagini/Copia%20di%20milo12ub2dg6vt9.jpg
O24 - Desktop Component 14: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Immagini/12.jpg
O24 - Desktop Component 15: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Immagini/Spock%20x%20desktop%20mamma1.jpeg
O24 - Desktop Component 16: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Immagini/111.jpg
O24 - Desktop Component 17: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Cav/The%20Lost%20Canvas/milo47.jpg
O24 - Desktop Component 18: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Cav/The%20Lost%20Canvas/New_milo47.jpg
O24 - Desktop Component 19: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Cav/The%20Lost%20Canvas/New_New_milo47.jpg
O24 - Desktop Component 2: (no name) - file:///H:/bandiera%20pds.jpg
O24 - Desktop Component 20: (no name) - file:///H:/Ogg.Deskop/bandiera%20pds%20x%20desktop.jpg
O24 - Desktop Component 21: (no name) - file:///H:/Ogg.Deskop/fgutdfc.jpeg
O24 - Desktop Component 22: (no name) - file:///H:/Ogg.Deskop/New_New_milo47.jpg
O24 - Desktop Component 23: (no name) - file:///H:/Ogg.Deskop/Spock%20x%20desktop%20mamma1.jpeg
O24 - Desktop Component 24: (no name) - file:///H:/Ogg.Deskop/Tex%20x%20deskop1.jpg
O24 - Desktop Component 25: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.%20Desktop/New_New_milo47.jpg
O24 - Desktop Component 26: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.%20Desktop/VIRGO3.jpeg
O24 - Desktop Component 27: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.%20Desktop/bandiera%20pds%20x%20desktop.jpg
O24 - Desktop Component 28: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.%20Desktop/Spock%20x%20desktop%20mamma1.jpeg
O24 - Desktop Component 29: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.%20Desktop/Tex%20x%20deskop1.jpg
O24 - Desktop Component 3: (no name) - file:///H:/Spock%20x%20desktop%20mamma.jpeg
O24 - Desktop Component 30: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.%20Desktop/fgutdfc.jpeg
O24 - Desktop Component 31: (no name) - file:///C:/Documents%20and%20Settings/All%20Users/Desktop/Ogg.%20Desktop/Tex%20x%20deskop1.jpg
O24 - Desktop Component 32: (no name) - file:///C:/Documents%20and%20Settings/All%20Users/Desktop/Ogg.%20Desktop/Spock%20x%20desktop%20mamma1.jpeg
O24 - Desktop Component 33: (no name) - file:///C:/Documents%20and%20Settings/All%20Users/Desktop/Ogg.%20Desktop/New_New_milo47.jpg
O24 - Desktop Component 34: (no name) - file:///C:/Documents%20and%20Settings/All%20Users/Desktop/Ogg.%20Desktop/fgutdfc.jpeg
O24 - Desktop Component 35: (no name) - file:///C:/Documents%20and%20Settings/All%20Users/Desktop/Ogg.%20Desktop/VIRGO3.jpeg
O24 - Desktop Component 36: (no name) - file:///C:/Documents%20and%20Settings/All%20Users/Desktop/Ogg.%20Desktop/bandiera%20pds%20x%20desktop.jpg
O24 - Desktop Component 4: (no name) - file:///H:/Tex%20x%20deskop.jpg
O24 - Desktop Component 5: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.Deskop/bandiera%20pds.jpg
O24 - Desktop Component 6: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.Deskop/Spock%20x%20desktop%20mamma.jpeg
O24 - Desktop Component 7: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Immagini/n48925149375_3879.jpg
O24 - Desktop Component 8: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.Deskop/GEMINI.jpeg
O24 - Desktop Component 9: (no name) - file:///C:/Documents%20and%20Settings/laura/Desktop/Ogg.Deskop/Tex%20x%20deskop.jpg

--
End of file - 12299 bytes
[MEMO]

[/MEMO]

[eugenio19911]

fixare:

Codice: Seleziona tutto

O2 - BHO: Lexmark - {D2C5E510-BE6D-42CC-9F61-E4F939078474} - (no file)

Mentre è sospetto il fatto che segnala immagini salvate sul desktop sia nel c: sia nel h:
consiglierei una scansione con hitman pro (questa da fare necessariamente con internet attivato):
http://www.surfright.nl/en/hitmanpro
successivamente una scansione con malwarebytes:
http://download.cnet.com/3001-8022_4-10 ... a7eccda4cb
poi allega i log sempre con il tag MEMO

[CRYPAX]

il log sembra pulito
controlla su VirusTotal questo file

Codice: Seleziona tutto

C:\WINDOWS\system32\lxeacoms.exe

VirusTotal >http://www.virustotal.com/

poi,come già suggerito ,fai una scansione con Malwarebytes

[ilmito]

Ciao Teresa per tua sicurezza effettua una nuova scansione con Combofix.
Il fatto che il tuo pc si sia riavviato è normale aime' quando il programma trova qualcosa che non va e quindi è costretto a riavviarsi per effettuare i vari script presenti al suo interno per pulire le minacce ed infezioni che ha trovato durante la scansione.
Occhio al programma "Savetubevideo" sembra in effetti essere un covo di virus+rootkit ... ho trovato questa guida per la sua rimozione : http://www.malwaresolution.com/m16/land ... moval.html .
E' in inglese ma basta cliccare sulla voce "Landing.savetubevideo.com Removal" e mandare in esecuzione il programma.
Prima però mi raccomando esegui Combofix !!! Meglio accertarsi che il pc sia pulito e poi controllare con altri programmi a secopnda dei casi specifici.
Fammi sapere e buona fortuna.

[crazy.cat]

Occhio al programma "Savetubevideo" sembra in effetti essere un covo di virus+rootkit ... ho trovato questa guida per la sua rimozione : http://www.malwaresolution.com/m16/land ... moval.html .
E' in inglese ma basta cliccare sulla voce "Landing.savetubevideo.com Removal" e mandare in esecuzione il programma..

Non ho capito dove vedi questo programma, ma poi consigli stopzilla per rimuoverlo che è una vera schifezza di programma.

[Emanuelito]

Dr.Web ha sicuramente messo in quarantena i 3 problemi trovati.
Esegui anche la scanisone con Hitman e Malwarebytes e elimina tutte quelle immagine che hai sul desktop che possono contenere qualche sorpresa.
Se con hitman e malwarebytes i risultati sono positivi esegui defrag e pulizia del registro CON I PROGRAMMI CHE TI HO INDICATO SOPRA!!!!!!!

[Emanuelito]

IMPORTANTISSIMO:AGGIORNA IL DATABASE DI MALWAREBYES PRIMA DI ESEGUIRE LA SCANSIONE

[ilmito]

Occhio al programma "Savetubevideo" sembra in effetti essere un covo di virus+rootkit ... ho trovato questa guida per la sua rimozione : http://www.malwaresolution.com/m16/land ... moval.html .
E' in inglese ma basta cliccare sulla voce "Landing.savetubevideo.com Removal" e mandare in esecuzione il programma..

Non ho capito dove vedi questo programma, ma poi consigli stopzilla per rimuoverlo che è una vera schifezza di programma.

Ho fornito la risposta per altro forum comunque anche dal log di Hijackthis si notano infezioni varie ... per semplicità si può allegare il log a questo indirizzo così magari è più semplice dare una risposta : http://www.hijackthis.de/it . Ciao !

[ilmito]

Dr.Web ha sicuramente messo in quarantena i 3 problemi trovati.
Esegui anche la scanisone con Hitman e Malwarebytes e elimina tutte quelle immagine che hai sul desktop che possono contenere qualche sorpresa.
Se con hitman e malwarebytes i risultati sono positivi esegui defrag e pulizia del registro CON I PROGRAMMI CHE TI HO INDICATO SOPRA!!!!!!!

Ma a questo punto non sarebbe meglio e più prudente riformattare il disco fisso a basso livello e reinstallare l'OS ?

[francesco betatester]

Avviso, come ha detto crazy cat, il programma stopzilla è molto sospetto infatti hanno fatto anche un bel articolo MegaLab

[Emanuelito]

il mito la formattazione resta sempre l'ultima spiaggia!

[ilmito]

Lo so ma è quella più percorribile e più rapida dal momento che non si conosce l'esatta situazione in corso sul pc di Teresa.