MegaLab.it

Ciao a tutti. Sono nuovo nel forum e spero di esservi utile in futuro come voi siete stati utili a me con le vostre discussioni. Io ho un problema: Una settimana dopo aver formattato il computer, è comparsa in "connessioni di rete" una nuova connessione col nome di " internet connection " che ha il numero 000. La ho eliminata ma poi è ricomparsa, ora la ho rieliminata e non si vede più. Girando per internet, ho visto che si tratta di un dialer; io uso l'adsl e quindi non dovrebbero esserci problemi ma sempre girando per internet vedo che di solito si fà un analisi con "HijackThis" per vedere se ci sono problemi. Vi copio il risultato con HijackThis e vi chiedo se gentilmente potreste analizzarmelo e dirmi se ci sono problemi (fatto in modalità normale va bene?). Grazie


Logfile of HijackThis v1.99.1
Scan saved at 21.13.01, on 26/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\a-squared Anti-Dialer\a2service.exe
C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\PSDrvCheck.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Programmi\Windows Defender\MsMpEng.exe
C:\Programmi\Windows Defender\MSASCui.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\User\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ansa.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FILECO~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NSWosCheck] "C:\Programmi\Norton SystemWorks\osCheck.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB002" /M "Stylus C64"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /M "Stylus C64" /EF "HKCU"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programmi\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programmi\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/ ... 586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/sho ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF8116E6-77F5-4305-B582-F54CF8405AFD}: NameServer = 85.37.17.56 85.38.28.98
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programmi\a-squared Anti-Dialer\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: SCX-4725 Status Monitor Service (SM_scx425_FUService) - Unknown owner - C:\Programmi\Samsung\Samsung.exe (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

Ciao, Esegui una scansione con FindAWF e postane alla fine il relativo log.

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\PROGRA~1\A-SQUA~1\BAK

26/01/2008 16.16 1.329.152 a2adguard.exe
1 File 1.329.152 byte
2 Directory 52.610.486.272 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 13.00 15.360 ctfmon.exe
10/11/2003 16.06 406.016 PSDrvCheck.exe
2 File 421.376 byte
2 Directory 52.610.486.272 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 52.610.482.176 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\WINDOWS\SAMSUNG\PANELMGR\BAK

22/01/2007 06.55 507.904 ssmmgr.exe
1 File 507.904 byte
2 Directory 52.610.482.176 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

10/10/2007 19.51 39.792 Reader_sl.exe
1 File 39.792 byte
2 Directory 52.610.482.176 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

12/09/2003 04.00 99.840 E_S4I0C2.EXE
1 File 99.840 byte
2 Directory 52.610.482.176 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

14348 26 Jan 2008 "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
1329152 26 Jan 2008 "C:\Programmi\a-squared Anti-Dialer\bak\a2adguard.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
14348 26 Jan 2008 "C:\WINDOWS\system32\PSDrvCheck.exe"
406016 10 Nov 2003 "C:\WINDOWS\system32\bak\PSDrvCheck.exe"
14348 26 Jan 2008 "C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe"
507904 22 Jan 2007 "C:\WINDOWS\Samsung\PanelMgr\bak\ssmmgr.exe"
507904 22 Jan 2007 "C:\Programmi\Samsung\Samsung SCX-4725 Series\Install\Application\SPANEL\PanelMgr\SSMMgr.exe"
14348 26 Jan 2008 "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
39792 10 Oct 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"
99840 12 Sep 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\E_S4I0C2.EXE"
14348 26 Jan 2008 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0C2.EXE"
99840 12 Sep 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0C2.EXE"


end of report

Se eseguito in modalità normale va bene? Grazie mille siete grandi

L'icona della connessione è ricomparsa. Ciao

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nel box bianco che si è aperto:

Codice: Seleziona tutto

Files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\a-squared Anti-Dialer\bak\a2adguard.exe | C:\Programmi\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\bak\PSDrvCheck.exe | C:\WINDOWS\system32\PSDrvCheck.exe
C:\WINDOWS\Samsung\PanelMgr\bak\ssmmgr.exe | C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0C2.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0C2.EXE


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente

Grazie crazy.cat e ste_95 per la disponibilità, ho fatto quello che mi hai detto ma la connessione "internet connection" cè ancora, devo fare qualcos'altro?. Scusa la mia ignoranza. posto ciò che mi si è aperto all'avvio.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iatlxwui

*******************

Script file located at: \??\C:\WINDOWS\system32\boqjeyue.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\Programmi\a-squared Anti-Dialer\bak\a2adguard.exe|C:\Programmi\a-squared Anti-Dialer\a2adguard.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\PSDrvCheck.exe|C:\WINDOWS\system32\PSDrvCheck.exe completed successfully.
File move operation C:\WINDOWS\Samsung\PanelMgr\bak\ssmmgr.exe|C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe completed successfully.
File move operation C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe|C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe completed successfully.
File move operation C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0C2.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0C2.EXE completed successfully.

Completed script processing.

*******************

Finished! Terminate.

Comunque io ho fatto tutto in modalità normale, se non va bene ditemelo grazie. Ciao

prova a cancellarla manualmente, l'importante è che non si riformi.
Quello che hai fatto serviva per rimuovere i file infetti dal virus.

Posta anche un nuovo log di FindAWF?

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\PROGRA~1\A-SQUA~1\BAK

0 File 0 byte
2 Directory 52.467.625.984 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 52.467.625.984 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 52.467.621.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\WINDOWS\SAMSUNG\PANELMGR\BAK

0 File 0 byte
2 Directory 52.467.621.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

0 File 0 byte
2 Directory 52.467.621.888 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F83C-442D

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

0 File 0 byte
2 Directory 52.467.621.888 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

Se cancelli la connessione si ricrea?

la ho ricancellata e adesso non sembra si ricrei. ieri però, dopo averla cancellata si è ricreata dopo una decina di ore. bho

Avendo eliminato i file infetti non dovrebbe più ricrearsi.

Grazie mille, ho eliminato l'icona e non si ricrea più. Grazie per l'aiuto