www.MegaLab.it

da **Amantide** » sab lug 28, 2007 1:43 pm

pollom ha scritto:si si funziona
vuoi che ti mando il log?

Si si. Volevo anche controllare se il non funzionamento di Systemscan era dovuto al trojan oppure a qualche altro problema. Prova a fare la scansione con questo Systemscan.

da **pollom** » dom lug 29, 2007 2:35 pm

Allora il log è questo:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21.55.38, on 27/07/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\DLink\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ups.exe
C:\VEXPLITE\viritsvc.exe
C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Real\RealOne Player\RealPlay.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\DLink\Software Bluetooth\BTTray.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.MegaLab.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O4 - HKLM\..\Run: [IncredimailDownloader] C:\Programmi\IncrediMail\bin\IncMail.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programmi\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Gestore Chiave.lnk = C:\ITALWIN\KeyServer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Windows Update.hta
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\DLink\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\DLink\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\DLink\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {D8E33DC2-3D9A-4894-88EA-6D283A9F6A52} (IP_Web.IPWeb) - http://66.240.178.36/mp3xte/IpWeb/IPWeb.CAB
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\DLink\Software Bluetooth\bin\btwdins.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

--
End of file - 5015 bytes

da **pollom** » dom lug 29, 2007 2:40 pm

per quanto riguarda invece il Systemscan, quando ci clicco sopra mi esce questo:

da **pollom** » dom lug 29, 2007 2:41 pm

e quando clicco su ok il risultato è questo?

da **pollom** » dom lug 29, 2007 2:42 pm

può ancora dipendere dal trojan? per il secondo system scan che mi hai detto di scaricare...è un file di media player e mi dice che il formato non è supportato...quindi ancora niente da fare?
cosa faccio ora?

da **Amantide** » dom lug 29, 2007 3:37 pm

Il log di Hijackthis adesso è pulito,però vorrei vedere lo stesso anche il log di Systemscan.
Prova ad eseguire questo file per ripristinare SeDebugPrivilege e prima di avviare il Systemscan chiudi anche l'antivirus.

pollom ha scritto:per il secondo system scan che mi hai detto di scaricare...è un file di media player e mi dice che il formato non è supportato...quindi ancora niente da fare?
cosa faccio ora?

Non può essere, perché è lo stesso file che è stato già usato da altri utenti qualche giorno fa [boh]

da **pollom** » dom lug 29, 2007 3:43 pm

come faccio a chiudere l'antivirus?

da **Amantide** » dom lug 29, 2007 4:03 pm

pollom ha scritto:come faccio a chiudere l'antivirus?

Trova l'icona dell'antivirus nella traybar (vicino all'orologio), clicca sopra con il tasto destro e seleziona Esci.
Fai attenzione a non usare internet con l'antivirus disabilitato.

da **pollom** » dom lug 29, 2007 4:34 pm

eccolo zippato...

da **pollom** » dom lug 29, 2007 4:35 pm

ditemi che è tutto apposto...

da **Amantide** » dom lug 29, 2007 5:08 pm

pollom ha scritto:ditemi che è tutto apposto...

Scusa, me lo potresti comprimere in un archivio rar o zip ed allegarlo qui come l'allegato? perché così, incollato, oltre ad occupare tantissimo spazio, il log non entra nemmeno tutto.

da **pollom** » dom lug 29, 2007 5:11 pm

vedo se ci riesco...

da **pollom** » dom lug 29, 2007 5:18 pm

mi sono editata cosi ho cancellato il copia incolla che avevo fatto, e non ho occupato tutto quello spazio... va bene?

da **Amantide** » dom lug 29, 2007 5:52 pm

pollom ha scritto:mi sono editata cosi ho cancellato il copia incolla che avevo fatto, e non ho occupato tutto quello spazio... va bene?

Hai fatto benissimo [^]

Ora vai su Start--> Esegui e digita control userpasswords2. Seleziona nell'elenco questo utente, zLHWFuTgihyLczvg, e rimuovilo.

Poi avvia Hijackthis, vai su Open the Misc Tools section e poi Open ADS spy.... Togli la spunta a Quick scan e premi Scan.
A scansione terminata cerca nell'elenco questa voce
C:\Documents and Settings\All Users\Dati applicazioni\TEMP:
:2A81F9CE:,
selezionala e clicca su Remove selected.
Alla fine riavvia il pc in modalità provvisoria, elimina i seguenti file
C:\Documents and Settings\daniel\Impostazioni locali\Temp\PXR2.tmp
C:\Documents and Settings\daniel\Impostazioni locali\Temp\PXR3.tmp
C:\Documents and Settings\daniel\Impostazioni locali\Temp\PXR4.tmp
C:\Documents and Settings\daniel\Impostazioni locali\Temp\PXR5.tmp

e fai anche la pulizia con CCleaner.

Per il resto direi che il pc è pulito.

da **pollom** » dom lug 29, 2007 10:29 pm

allora il primo procedimento l'ho fatto tutto, poi sono andata in modalità provvisoria ma ho trovato solo questo da eliminare:

C:\Documents and Settings\daniel\Impostazioni locali\Temp\PXR5.tmp
gli altri non ci sono...

è un problema?

da **Amantide** » dom lug 29, 2007 10:59 pm

pollom ha scritto:è un problema?

No no, meglio ancora [^]

Importante è che fai la scansione con CCleaner dalla modalità provvisoria, in modo da eliminare i file temporanei potenzialmente pericolosi.

da **pollom** » dom lug 29, 2007 11:05 pm

ok, ti ringrazio veramente tanto per l'aiuto, mi hai risparmiato l'assistenza e in più mi hai fatto imparare un bel po' di cose...
domani concludo con la scansione con CCleaner...
grazie grazie a tutti e in particolare a te Amantide... [applauso+]

da **Amantide** » dom lug 29, 2007 11:07 pm

pollom ha scritto:e in più mi hai fatto imparare un bel po' di cose...

Questa è la cosa che mi fa più contenta [^]

da **pollom** » lun lug 30, 2007 2:05 pm

ho terminato anche con la pulitura con CCleaner... ora posso usare tranquillamente il pc pulito...bene...

Ti volevo chiedere un altra cosa, questo programma di pulizia posso usarlo ogni tanto per fare pulizia? cosi mi alleggerisce dai file temporanei, oppure va usato dopo aver fatto tutte queste cose per eliminare i virus?

da **crazy.cat** » lun lug 30, 2007 2:07 pm

pollom ha scritto:Ti volevo chiedere un altra cosa, questo programma di pulizia posso usarlo ogni tanto per fare pulizia?

Ovviamente si, un po di pulizia non fa mai male e la puoi fare quando vuoi.

www.MegaLab.it

Ancora Linkoptimizer

Chi c’è in linea