Pagina 1 di 3

pc lento, virus e dialer trovati con panda on line

MessaggioInviato: lun ago 28, 2006 12:52 am
da marcus
ho il pc infestato e non so come ripulirlo,ho provato con f-prot di cui ho la licenza, ma niente. Eppure Panda mi ha trovato circa 400 tra dialer e virus.
Vi mando il rapporto di pand e il log di hijack ditemi che posso fare vi prego..in casa non ho neanche la tele e il comp è la mia fonte di ispirazione, lavoro e divertimento..è una siuazione disperata!!!!

Dialer:dialer.enz Non Disinfettato c:\windows\system32\sysfind.exe
Adware:adware/intcodec Non Disinfettato Registro di sistema di Windows
Adware:adware/ieloader Non Disinfettato Registro di sistema di Windows
Strumenti indesiderati:application/kill&clean Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF69DF00-2734-477F-8257-27CD04F88779}
Adware:adware/systemdoctor Non Disinfettato Registro di sistema di Windows
Dialer:dialer.min Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DB893839-10F0-4AF9-92FA-B23528F530AF}
Adware:adware/spywaresheriff Non Disinfettato Registro di sistema di Windows
Adware:adware/adrotator Non Disinfettato Registro di sistema di Windows
Adware:adware/netword Non Disinfettato Registro di sistema di Windows
Adware:adware/wetoffice Non Disinfettato Registro di sistema di Windows
Adware:adware/spywaresoftstop Non Disinfettato Registro di sistema di Windows
Adware:adware/mmediapd Non Disinfettato Registro di sistema di Windows
Adware:adware/click Non Disinfettato Registro di sistema di Windows
Adware:adware/quantos Non Disinfettato Registro di sistema di Windows
Spyware:spyware/browseraccelerator Non Disinfettato Registro di sistema di Windows
Adware:adware/wmmafia Non Disinfettato Registro di sistema di Windows
Adware:adware/sinabar Non Disinfettato Registro di sistema di Windows
Adware:adware/psic Non Disinfettato Registro di sistema di Windows
Adware:adware/ourxin Non Disinfettato Registro di sistema di Windows
Adware:adware/idonate Non Disinfettato Registro di sistema di Windows
Adware:adware/brands Non Disinfettato Registro di sistema di Windows
Adware:adware/eztracks Non Disinfettato Registro di sistema di Windows
Adware:adware/roogoo Non Disinfettato Registro di sistema di Windows
Adware:adware/targetad Non Disinfettato Registro di sistema di Windows
Adware:adware/yazzle Non Disinfettato Registro di sistema di Windows
Adware:adware/gator.gotsmiley Non Disinfettato Registro di sistema di Windows
Adware:adware/spywarequake Non Disinfettato Registro di sistema di Windows
Dialer:dialer.gun Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFB51760-344E-4FFB-BFFF-4B18C7AC1D63}
Strumenti indesiderati:application/seekmo Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5929CD6E-2062-44A4-B2C5-2C7E78FBAB38}
Adware:adware/trustin Non Disinfettato Registro di sistema di Windows
Adware:adware/vog Non Disinfettato Registro di sistema di Windows
Adware:adware/emediacodec Non Disinfettato Registro di sistema di Windows
Adware:adware/flyswat Non Disinfettato Registro di sistema di Windows
Adware:adware/ready2wear Non Disinfettato Registro di sistema di Windows
Spyware:spyware/searchnet Non Disinfettato Registro di sistema di Windows
Strumenti indesiderati:application/mediapipe Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AFDBB222-DEA9-4C12-B3A3-A13C2985E3EE}
Adware:adware/shorty Non Disinfettato Registro di sistema di Windows
Adware:adware/spyfalcon Non Disinfettato Registro di sistema di Windows
Adware:adware/alfacleaner Non Disinfettato Registro di sistema di Windows
Adware:adware/adwaresheriff Non Disinfettato Registro di sistema di Windows
Adware:adware/confusearch Non Disinfettato Registro di sistema di Windows
Strumenti indesiderati:application/malwarewipe Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D3103509-F6EC-4592-B5F2-FD862199D778}
Adware:adware/youcouldwinthis Non Disinfettato Registro di sistema di Windows
Strumenti indesiderati:application/errorsafe Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6AE7418B-229F-4A2C-AE1B-D5962888F02D}
Adware:adware/spywarestrike Non Disinfettato Registro di sistema di Windows
Dialer:dialer.fgw Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DF25B447-C0EF-49BB-97D8-D7C3FA27DF5F}
Adware:adware/fchelp Non Disinfettato Registro di sistema di Windows
Adware:adware/rbtoolbar Non Disinfettato Registro di sistema di Windows
Adware:adware/dropspam Non Disinfettato Registro di sistema di Windows
Dialer:dialer.epr Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E15D681-1D20-11D4-8B72-000021DA1956}
Adware:adware/startpage.anl Non Disinfettato Registro di sistema di Windows
Adware:adware/crystalys Non Disinfettato Registro di sistema di Windows
Adware:adware/adwhere Non Disinfettato Registro di sistema di Windows
Adware:adware/winhound Non Disinfettato Registro di sistema di Windows
Adware:adware/cws.payfortraffic Non Disinfettato Registro di sistema di Windows
Dialer:dialer.dxp Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C881E6FC-C673-4FDD-AEF8-B36DFB10E401}
Strumenti indesiderati:application/spyaxe Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}
Adware:adware/enhancemsearch Non Disinfettato Registro di sistema di Windows
Dialer:dialer.dvj Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c32ee4cb-e99f-4147-bfae-67ff3b6f8076}
Adware:adware/borlander Non Disinfettato Registro di sistema di Windows
Adware:adware/mytoolbar Non Disinfettato Registro di sistema di Windows
Adware:adware/cws.ezsearch Non Disinfettato Registro di sistema di Windows
Adware:adware/ipend Non Disinfettato Registro di sistema di Windows
Adware:adware/pigsearch Non Disinfettato Registro di sistema di Windows
Adware:adware/securitytoolbar Non Disinfettato Registro di sistema di Windows
Adware:adware/sweetbar Non Disinfettato Registro di sistema di Windows
Adware:adware/syslibie Non Disinfettato Registro di sistema di Windows
Adware:adware/videoc Non Disinfettato Registro di sistema di Windows
Adware:adware/spyaxe Non Disinfettato Registro di sistema di Windows
Adware:adware/falkag Non Disinfettato Registro di sistema di Windows
Adware:adware/zeropopup Non Disinfettato Registro di sistema di Windows
Adware:adware/webext Non Disinfettato Registro di sistema di Windows
Adware:adware/bdnl Non Disinfettato Registro di sistema di Windows
Adware:adware/masterbar Non Disinfettato Registro di sistema di Windows
Adware:adware/ist.csearch Non Disinfettato Registro di sistema di Windows
Adware:adware/cramtoolbar Non Disinfettato Registro di sistema di Windows
Adware:adware/commad Non Disinfettato Registro di sistema di Windows
Adware:adware/cashsaver Non Disinfettato Registro di sistema di Windows
Adware:adware/bonzibuddy Non Disinfettato Registro di sistema di Windows
Adware:adware/blowsearch Non Disinfettato Registro di sistema di Windows
Adware:adware/affilred Non Disinfettato Registro di sistema di Windows
Adware:adware/adultlinks Non Disinfettato Registro di sistema di Windows
Adware:adware/adservernow Non Disinfettato Registro di sistema di Windows
Adware:adware/adbars Non Disinfettato Registro di sistema di Windows
Adware:adware/cashdeluxe Non Disinfettato Registro di sistema di Windows
Strumenti indesiderati:application/errorguard Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{205ff73b-ca67-11d5-99dd-444553540006}
Adware:adware/mpgcom Non Disinfettato Registro di sistema di Windows
Adware:adware/surfassistant Non Disinfettato Registro di sistema di Windows
Adware:adware/morwillsearch Non Disinfettato Registro di sistema di Windows
Adware:adware/infocrawler Non Disinfettato Registro di sistema di Windows
Adware:adware/adcom Non Disinfettato Registro di sistema di Windows
Adware:adware/easyerror Non Disinfettato Registro di sistema di Windows
Adware:adware/weblookup Non Disinfettato Registro di sistema di Windows
Adware:adware/customtoolbar Non Disinfettato Registro di sistema di Windows
Dialer:dialer.dkf Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{17BFC8DA-B4D6-4DB9-AA40-1CD32EDA9845}
Adware:adware/quickbar Non Disinfettato Registro di sistema di Windows
Dialer:dialer.dji Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C24626A-CC0D-49d6-8454-AAA5B97D4410}
Dialer:dialer.dip Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC3185AE-864F-4E62-9321-0E9FA1CBE6A4}
Adware:adware/2search Non Disinfettato Registro di sistema di Windows
Adware:adware/upspiralbar Non Disinfettato Registro di sistema di Windows
Adware:adware/uppcbar Non Disinfettato Registro di sistema di Windows
Adware:adware/5-search Non Disinfettato Registro di sistema di Windows
Adware:adware/bondreal Non Disinfettato Registro di sistema di Windows
Adware:adware/popupsearches Non Disinfettato Registro di sistema di Windows
Strumenti indesiderati:application/winfixer2005 Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8C65AEF6-E413-4314-815B-82717A3F1603}
Adware:adware/securityerror Non Disinfettato Registro di sistema di Windows
Adware:adware/mediaplex Non Disinfettato Registro di sistema di Windows
Adware:adware/favadd Non Disinfettato Registro di sistema di Windows
Adware:adware/windrv Non Disinfettato Registro di sistema di Windows
Adware:adware/ddos Non Disinfettato Registro di sistema di Windows
Adware:adware/activshopper Non Disinfettato Registro di sistema di Windows
Adware:adware/mariasearch Non Disinfettato Registro di sistema di Windows
Adware:adware/ieplus Non Disinfettato Registro di sistema di Windows
Adware:adware/bestsearchengine Non Disinfettato Registro di sistema di Windows
Adware:adware/qoologic Non Disinfettato Registro di sistema di Windows
Adware:adware/searchresults Non Disinfettato Registro di sistema di Windows
Adware:adware/cws.customie Non Disinfettato Registro di sistema di Windows
Adware:adware/block-checker Non Disinfettato Registro di sistema di Windows
Dialer:dialer.cso Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6BC36767-3FCC-4948-8A13-703F887A3E87}
Adware:adware/adblock Non Disinfettato Registro di sistema di Windows
Adware:adware/thingies Non Disinfettato Registro di sistema di Windows
Adware:adware/spyblast Non Disinfettato Registro di sistema di Windows
Adware:adware/enhsrch Non Disinfettato Registro di sistema di Windows
Adware:adware/riversoft Non Disinfettato Registro di sistema di Windows
Adware:adware/invisiblepop Non Disinfettato Registro di sistema di Windows
Adware:adware/henbang Non Disinfettato Registro di sistema di Windows
Adware:adware/stripplayer Non Disinfettato Registro di sistema di Windows
Adware:adware/shoppingcommunity Non Disinfettato Registro di sistema di Windows
Adware:adware/appoli Non Disinfettato Registro di sistema di Windows
Adware:adware/bdsearch Non Disinfettato Registro di sistema di Windows
Adware:adware/gxb Non Disinfettato Registro di sistema di Windows
Adware:adware/veevo Non Disinfettato Registro di sistema di Windows
Dialer:dialer.bnz Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5D7334F5-CF58-4F22-8502-6CC0ACB2FE6B}
Adware:adware/searchexplorer Non Disinfettato Registro di sistema di Windows
Dialer:dialer.bmt Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8512B008-B0AA-451F-A744-A289FD8FFDE6}
Adware:adware/popupdefence Non Disinfettato Registro di sistema di Windows
Adware:adware/seekseek Non Disinfettato Registro di sistema di Windows
Adware:adware/winres Non Disinfettato Registro di sistema di Windows
Dialer:dialer.bkj Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E}
Adware:adware/browserplugin Non Disinfettato Registro di sistema di Windows
Adware:adware/clicker.b Non Disinfettato Registro di sistema di Windows
Adware:adware/surfplugin Non Disinfettato Registro di sistema di Windows
Adware:adware/consumeralertsystem Non Disinfettato Registro di sistema di Windows
Adware:adware/afaenhance Non Disinfettato Registro di sistema di Windows
Adware:adware/seeqbar Non Disinfettato Registro di sistema di Windows
Adware:adware/alibabar Non Disinfettato Registro di sistema di Windows
Adware:adware/dudu Non Disinfettato Registro di sistema di Windows
Adware:adware/hoonter Non Disinfettato Registro di sistema di Windows
Adware:adware/ietoolbar Non Disinfettato Registro di sistema di Windows
Adware:adware/psguard Non Disinfettato Registro di sistema di Windows
Adware:adware/oemji Non Disinfettato Registro di sistema di Windows
Adware:adware/winstat Non Disinfettato Registro di sistema di Windows
Adware:adware/diytoolbar Non Disinfettato Registro di sistema di Windows
Adware:adware/moneygainer Non Disinfettato Registro di sistema di Windows
Adware:adware/weirdontheweb Non Disinfettato Registro di sistema di Windows
Adware:adware/antivirus-gold Non Disinfettato Registro di sistema di Windows
Adware:adware/kz515 Non Disinfettato Registro di sistema di Windows
Adware:adware/miamore Non Disinfettato Registro di sistema di Windows
Dialer:dialer.cbz Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{17243282-24D7-01A5-B2CE-4AD63FBA0B93}
Adware:adware/g-search Non Disinfettato Registro di sistema di Windows
Adware:adware/bigtrafficnet Non Disinfettato Registro di sistema di Windows
Adware:adware/maxifiles Non Disinfettato Registro di sistema di Windows
Spyware:spyware/lefeat Non Disinfettato Registro di sistema di Windows
Adware:adware/craft Non Disinfettato Registro di sistema di Windows
Adware:adware/aurora Non Disinfettato Registro di sistema di Windows
Adware:adware/digitalnames Non Disinfettato Registro di sistema di Windows
Adware:adware/redbanner Non Disinfettato Registro di sistema di Windows
Adware:adware/coolsavings Non Disinfettato Registro di sistema di Windows
Adware:adware/richfind Non Disinfettato Registro di sistema di Windows
Adware:adware/ctxpopup Non Disinfettato Registro di sistema di Windows
Adware:adware/stickypops Non Disinfettato Registro di sistema di Windows
Adware:adware/startpage.wl Non Disinfettato Registro di sistema di Windows
Adware:adware/startpage.wh Non Disinfettato Registro di sistema di Windows
Adware:adware/wazzup Non Disinfettato Registro di sistema di Windows
Adware:adware/imgiant Non Disinfettato Registro di sistema di Windows
Strumenti indesiderati:application/need2find Non Disinfettato HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{630D6140-04C5-4db0-B27A-020D766FF09B}
Adware:adware/ezcybersearch Non Disinfettato Registro di sistema di Windows
Adware:adware/advertor

precisazione

MessaggioInviato: lun ago 28, 2006 1:35 am
da marcus
ho visto che il log di hijackthis non si è appiccicato..poco male perché sono in modalità provvisoria e processi avviato ce n'è davvero pochi.
E mo che facio con tutti sti virus?
F-prot non li vede nemmeno!
Ho un altro comp con un trend micro pennicilin
potrei fare una rete e scannare e disinfettare qesto comp con l'altro?

MessaggioInviato: lun ago 28, 2006 7:21 am
da crazy.cat
Intanto trova questo file e cancellalo tu a mano c:\windows\system32\sysfind.exe

Installati A2 squared e superantispyware li aggiorni e scansioni con quelli ed elimini tutto quello che trovi.
Il resto del log sono tutte o quasi chiavi di registro, quindi dovrebbero bastarti questi due programmi per fare pulizia.

Per esperienza, non credere al 100% agli scan online.

eseguoe ti faccio saper

MessaggioInviato: lun ago 28, 2006 4:34 pm
da marcus
grazie mille questa sera mi metto al comp e eseguo.
Un'informazione, siccome lavoreró in modalità provvisoria devo fare qualcosa tipo staccare il ripristino automatico?

Ciao, ti faccio saper com'è andata.

MessaggioInviato: lun ago 28, 2006 4:49 pm
da crazy.cat
Si, disattiva il ripristino della confiurazione e poi riavvia in provvisoria e fai le scansioni.

ancora una cosa sulla mod provvisoria

MessaggioInviato: lun ago 28, 2006 4:54 pm
da marcus
con xp posso fare modalità provvisoria con rete e quindi collegarmi a Intenet. Va bene in questo modo o devo fare la modalità provvisoria normale senza rete.
Per spiegarmi meglio: posso scaricare i due programmi che mi hai detto e farne l'aggiornamento in mdalità provvisoria con rete e installarli per poi scnasionare, o devo accendere in modalità normale, scaricare, aggiornare e poi riavviare in provvisoria.
CIAO

MessaggioInviato: lun ago 28, 2006 5:00 pm
da crazy.cat
Preparati tutto prima, la scansione falla scollegato da internet.
Meno programmi ci sono attivi meglio è.

eseguito, meglio, ma non ottimale. Ti posto log Hijackthis

MessaggioInviato: lun ago 28, 2006 9:03 pm
da marcus
Fatto come da istruzioni.Ho trovato una decina di file da eliminare.Va meglio, ma non mi sembra di aver recuperato le performance di prima. Oltretutto facendo lo scan con f-prot mi dice che nel boot sector c'è un file sospetto, ma non puó eliminarlo perché non lo riconosce.Cosa ne pensi.
Ti posto il log di hijackthis dopo tutta la disinfezione cosí magari dai un occhiata se c'è qualcos'altro di sospetto.
Grazie mille!
CIAO!!

Logfile of HijackThis v1.99.1
Scan saved at 21.51.11, on 28/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programmi\FSI-antivirus\F-Prot\fpavupdm.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Acer\Acer Arcade\PCMService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\programmi\u-storage tool2.91\ustorage.exe
C:\Programmi\FSI-antivirus\F-Prot\F-StopW.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\CICCI\Menu Avvio\Programmi\Esecuzione automatica\w32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://blueadit.bluewin.ch/regservice/ ... ste_i.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {346D8699-DAC7-DD78-5CD4-CA50A929983C} - C:\WINDOWS\ohrda1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\BLUEWIN\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [UStorag] c:\programmi\u-storage tool2.91\ustorage.exe sys_auto_run C:\Programmi\U-Storage Tool2.91
O4 - HKLM\..\Run: [F-StopW] C:\Programmi\FSI-antivirus\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: w32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programmi\FSI-antivirus\F-Prot\fpavupdm.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe

MessaggioInviato: lun ago 28, 2006 9:14 pm
da BilloKenobi
ciao.

cominciamo fixando queste

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://blueadit.bluewin.ch/regservice/ ... ernetdiens te_i.html
O4 - Startup: w32.exe

inoltre sei infetto. il tuo virus è LinkOptimizer


per eliminarlo comincia con lo scaricare questi quattro programmi

Ccleaner --- http://download.ccleaner.com/ccsetup132.exe
The Avenger --- http://swandog46.geekstogo.com/avenger.zip
Myuninstaller --- http://www.puntocr.it/index/downloads_r ... d/214.html
GMER --- http://www.gmer.net/files.php


scaricato gmer, estrailo e posta i log della sezione rootkit e autostart

FIXANDO?

MessaggioInviato: lun ago 28, 2006 9:59 pm
da marcus
cosa intendi "per fixando"?

Miiii tutti sti programmi?

MessaggioInviato: lun ago 28, 2006 10:01 pm
da Amantide
Oltre ad eliminare il file w32.exe (che indica la presenza di backdoor.sokeven) devi disabilitare il ripristino configurazione di sistema ed iliminare queste voci nel registro (Esegui--> regedit)

Cerca queste chiavi
Codice: Seleziona tutto
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

e nel pannello a destra elimina questo valore
Codice: Seleziona tutto
"w32" = "%System%\w32.exe"

Poi trova la ciave
Codice: Seleziona tutto
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services:

e nel pannello a sinistra elimina questa sottochiave
"w32"

elimino manualmente w32

MessaggioInviato: lun ago 28, 2006 10:14 pm
da marcus
per "elimina w32" intendi dire che lo cerco e una volta trovato faccio semplicemente tasto destro elimina?
le altre istruzioni penso di riuscire a seguirle.
E tutto quello che diceva il penultimo intervento, di scricare 4 programmi devo farlo?

Re: FIXANDO?

MessaggioInviato: lun ago 28, 2006 10:16 pm
da BilloKenobi
marcus ha scritto:cosa intendi "per fixando"?


spuntare le voci con hijackthis e premere Fix checked

marcus ha scritto:Miiii tutti sti programmi?


sì, ti toccano, se lo vuoi togliere [fischio]

e per w32

MessaggioInviato: lun ago 28, 2006 10:22 pm
da marcus
per eliminare w32 cosa faccio allora fixo su hijackthis o seguo strada amantide o faccio tutti e due?

amantide una precisazione(per favore rispondi)

MessaggioInviato: lun ago 28, 2006 10:46 pm
da marcus
quando entro con l'editor nella cartella run devo eliminare tutto quello che ci trovo dentro?anche la chiave che mette "predefinito"?
perché nel primo cera solo una chiave e predefinito,mentre nella seconda ci sono un sacco di chiavi

MessaggioInviato: mar ago 29, 2006 7:09 am
da crazy.cat
Elimina solo quelle chiavi che contengono il richiamo al file w32.exe

e per quanto riguarda linkoptimizer

MessaggioInviato: mar ago 29, 2006 8:32 am
da marcus
ciao crezy.cat,
ma allora c'è l'ho o no sto linkoptimier
perché ho analizzato un pó il log di hij e trovo solo due delle tre linee sospette che dovrbbero esserci per avere sto bas***do di un virus.
E se ce l'ho come lo elimino (ho sentito dire che è impossibile) o per lo meno come lo metto a tacere un pó..almeno il tempo di salvare un pó di roba e poi di formattare tutto.
Grazie

MessaggioInviato: mar ago 29, 2006 9:59 am
da BilloKenobi
perché non mi vuoi dare retta? non è impossibile da togliere, solo molto difficile [sedia]

non saresti il primo utente che aiuto a toglierlo, anzi

per eliminarlo comincia con lo scaricare questi quattro programmi

Ccleaner --- http://download.ccleaner.com/ccsetup132.exe
The Avenger --- http://swandog46.geekstogo.com/avenger.zip
Myuninstaller --- http://www.puntocr.it/index/downloads_r ... d/214.html
GMER --- http://www.gmer.net/files.php

poi estrai l'ultimo (gmer) e fai uno scan nelle sezioni "autostart" e "rootkit"

posta i log di entrambe le sezioni

ok, billokenobi

MessaggioInviato: mar ago 29, 2006 11:01 am
da marcus
va bene, eseguiró.
Questa sera ci sei?
Io sul comp ci posso lavorare solo la sera.
Questi programmi li scarico essendo in modalità provvisoria o normale.
Immagino normale, altrimenti il Log che mi dici non ha dentro tutti i processi che si attivano.
Fammi sapere bene quando devo lavorare in mod provvisoria. Immagino oltretutto che valga la pena staccare il ripristino di configurazione.
CIAO GRAZIE!!

MessaggioInviato: mar ago 29, 2006 12:11 pm
da crazy.cat
BilloKenobi ha scritto:inoltre sei infetto. il tuo virus è LinkOptimizer

Da cosa lo vedi?
Non è che tutti si becchiano questo virus.