www.MegaLab.it

[crtrad]

Gentili amici,

anch’io vittima dei dialer, seppur protetto dal fatto che da poco possiedo la adsl alice. Coincidenza che sia capitato proprio da quando possiedo un servizio internet veloce? Grazie all'articolo di questo sito sui dialer.sfonditalia (MegaLab_it - Rimozione WinMoviePlugIn e Dialer_Sfonditalia) credo di aver ripulito il mio computer da questa immondizia. Ho però dei dubbi.
Andiamo con la prima difficoltà: l’avvio in modalità provvisoria di windows. Non sapendo come si fa vado sulla guida in linea di windows dove in realtà si spiega la procedura per windows 98 visto che le istruzioni non combaciano con quello che vedo io sul mio Windows XP:

Istruzioni:
1. Stampare le istruzioni prima di continuare. Esse non saranno disponibili dopo l'arresto del sistema, che verrà eseguito al passaggio 2.
2. Fare clic su Start, fare clic su Chiudi sessione e quindi selezionare Arresta il sistema nella casella di riepilogo a discesa.
3. Nella finestra di dialogo Fine della sessione di lavoro fare clic su Riavvia e quindi su OK.
4. Quando viene visualizzato il messaggio che richiede di selezionare il sistema operativo da avviare, premere F8.
5. Utilizzare i tasti di direzione per evidenziare l'opzione di modalità provvisoria appropriata e quindi premere INVIO.
6. Se si dispone di un sistema ad avvio doppio o ad avvio multiplo, scegliere l'installazione a cui si desidera accedere utilizzando i tasti di direzione e quindi premere INVIO.
Dal mio start si accede solo a Spegni computer con le tre diverse opzioni che conosciamo (Stand-by, Spegni, Riavvia).

Per cui sebbene nell’articolo che spiega le procedure per eliminare il dialer con Hijackthis si dica di avviare windows in modalità provvisoria in realtà ho proceduto in modalità standard. C’è alcuna differenza? e se sì mi spiegate come accedere a sta benedetta modalità provvisoria?

Secondo vi presento il mio log dopo l’eliminazione di alcune stringhe, cioè le solite tre 015 dei maledetti siti (archiviosex.net, ecc..) ed uno RO (www.skymasters). Magari mi dite se c'è qualcosa che rimasto da eliminare.

Logfile of HijackThis v1.99.1
Scan saved at 15.43.12, on 26/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Acer\Notebook Manager\almxptray.exe
C:\FlashEnc\FlashEnc.exe
C:\Programmi\USB Flash Disk Utility\UFD Utility\UFDMon.exe
C:\Programmi\USB Flash Disk Utility\UFD Utility\USBTD.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe
C:\WINDOWS\System32\sysmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\pc\Desktop\HijackThis.exe
C:\Programmi\Alice ti aiuta\bin\mad.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Logos Toolbar - {EF22CECC-F8B2-4A8D-95C9-68FE85E59215} - C:\Programmi\Logos Toolbar\logos_ie.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmi\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FlashEnc] c:\FlashEnc\FlashEnc.exe
O4 - HKLM\..\Run: [UFD Monitor] C:\Programmi\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Programmi\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Italiano clic] C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe /w
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {CABDFEB1-FDBE-4DEF-96FD-38303F1C371D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {CABDFEB1-FDBE-4DEF-96FD-38303F1C371D} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WPEServ - Unknown owner - C:\Programmi\File comuni\WPE\wpeserv.exe




Da premettere che i file dialer io li ho individuati grazie al Norton che mi segnalava due file: apihelp.chm e sysfind.exe o almeno credo siano questi, di fatto dopo la loro eliminazione i famosi sintomi di apparizione di icone e finestre di collegamento come quelle riportate nell’articolo sono scomparsi.
Dopo la scansione con Norton mi apparivano quattro file di questo tipo (due di ciascun tipo). Con elimina due sono andati via gli altri due mi diceva: Rimozione non riuscita. In realtà i file in questione non sono più nel mio computer di fatti sono assenti sia nel log che nella mia ricerca in C:

Vi riporto i risultati di Norton:

24/11/2005 19.35.31
Rilevazione virus,Dialer.Sfonditalia,Eliminazione non riuscita,File, Categoria minaccia:Connessione telefonicaOrigine: C:\Documents and Settings\pc\Impostazioni locali\Temp\apihelp.chm,Descrizione: Il file compresso apihelp.chm all'interno di C:\Documents and Settings\pc\Impostazioni locali\Temp\apihelp.chm è una minaccia Connessione telefonica."

24/11/2005 19.35.31,Rilevazione virus,Dialer.Sfonditalia,Eliminato manualmente,File,N/A,N/A,,Categoria minaccia:Connessione telefonicaOrigine: C:\Documents and Settings\pc\Impostazioni locali\Temp\apihelp.chm,Descrizione: Il file C:\Documents and Settings\pc\Impostazioni locali\Temp\apihelp.chm è una minaccia Connessione telefonica."

24/11/2005 19.35.31,Rilevazione virus,Dialer.Sfonditalia,Eliminazione non riuscita,File,N/A,N/A,,Categoria minaccia:Connessione telefonicaOrigine: C:\WINDOWS\system32\sysfind.exe,Descrizione: Il file compresso sysfind.exe all'interno di C:\WINDOWS\system32\sysfind.exe è una minaccia Connessione telefonica."

24/11/2005 19.35.31,Rilevazione virus,Dialer.Sfonditalia,Eliminato manualmente,File,N/A,N/A,,Categoria minaccia:Connessione telefonicaOrigine: C:\WINDOWS\system32\sysfind.exe,Descrizione: Il file C:\WINDOWS\system32\sysfind.exe è una minaccia Connessione telefonica."

23/11/2005 19.37.54,Rilevazione virus,Dialer.Sfonditalia,Non è stata eseguita alcuna operazione,File,N/A,N/A,Categoria minaccia:Connessione telefonicaOrigine: C:\WINDOWS\system32\sysfind.exe,Descrizione: Il file compresso sysfind.exe all'interno di C:\WINDOWS\system32\sysfind.exe è una minaccia Connessione telefonica."

23/11/2005 19.37.54,Rilevazione virus,Dialer.Sfonditalia,Non è stata eseguita alcuna operazione,File,Categoria minaccia:Connessione telefonicaOrigine: C:\WINDOWS\system32\sysfind.exe,Descrizione: Il file C:\WINDOWS\system32\sysfind.exe è una minaccia Connessione telefonica."


Spero che qualcuno riesca ad aiutarmi in questa lotta...davvero non ne posso più.
Piuttosto ditemi cosa fare e quello di cui ho bisogno oltre al Norton Antivirus per difendermi da queste bestie (Dialer, Trojan Horses, ecc.)

Grazie a tutti e complimenti a questo portale che ci aiuta a sopravvivere in questo mondo cosi bello (Internet) ma a quanto pare anche molto pericoloso.

Clau

[crazy.cat]

1)Per avviare il pc in modalità provvisoria, appena lo accendi quando ha passato le schermate di test dove elenca le componenti del pc, ti dovrebbe apparire per pochi attimi la scritta Avvio di Windows in corso, se non la vedi premi ripetutamente F8 e arrivi al menù di scelta dove hai L'avvio in modalità provvisoria.

Codice: Seleziona tutto

C’è alcuna differenza?

Se il virus/dialer è attivo in memoria potrebbe fare delle storie a farsi uccidere, per quello consigliavo la modalità provvisoria.
Al limite si può terminare il processo dal task manager.

Hai questi due file che sono dubbi, ti consiglierei di caricarli su questo sito
www.virustotal.com e vedere se ti dicono che sono dei virus.

O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O23 - Service: WPEServ - Unknown owner - C:\Programmi\File comuni\WPE\wpeserv.exe

Sicuro che sysfind.exe non ci sia più?
Potrebbe avere cambiato nome ed essere diventato sysmon.exe per quello ti dico di controllare quel file

Codice: Seleziona tutto

Piuttosto ditemi cosa fare e quello di cui ho bisogno oltre al Norton Antivirus per difendermi da queste bestie (Dialer, Trojan Horses, ecc.)


Di un antivirus vero che non è sicuramente Norton.
Dopo bisogna usare un buon firewall, Spywareblaster e spybot per la prevenzione dagli spyware.

Trovi tutti gli articoli nella sezione sicurezza in homepage del sito.

Benvenuto e facci sapere come va.

[crtrad]

Caro Crazy.cat

Ok, ho preferito fare con Task manager. La visualizzazione con la modalità provvisoria è orrenda.

Il. sysmon alla fine era il maledetto virus...la data di creazione del file è quella dell'infezione: mercoledi alle 19. Di fatti questa mattina il sysfind è ricomparso con tutti i sintomi del caso. Ho rifatto tutta l'operazione e spero di esserci adesso. Un dubbio è possibile che il sysfind.exe non comparisse nel log? é il compagnetto di sysmon che appariva quando apparivano le icone exsplorer nel desktop, documenti, preferiti, ecc. Nota lo spelling di exsplorer che non è explorer.

Il O23 - Service: WPEServ - Unknown owner - C:\Programmi\File comuni\WPE\wpeserv.exe l'ho eliminato in ogni caso...vista la sconosciuta provenienza.

Ecco il nuovo log:

Logfile of HijackThis v1.99.1
Scan saved at 12.51.20, on 27/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Launch Manager\QtZgAcer.EXE
C:\Programmi\Acer\Notebook Manager\almxptray.exe
C:\FlashEnc\FlashEnc.exe
C:\Programmi\USB Flash Disk Utility\UFD Utility\UFDMon.exe
C:\Programmi\USB Flash Disk Utility\UFD Utility\USBTD.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\pc\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: Logos Toolbar - {EF22CECC-F8B2-4A8D-95C9-68FE85E59215} - C:\Programmi\Logos Toolbar\logos_ie.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmi\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FlashEnc] c:\FlashEnc\FlashEnc.exe
O4 - HKLM\..\Run: [UFD Monitor] C:\Programmi\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Programmi\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Italiano clic] C:\PROGRA~1\Garzanti Linguistica\Italiano Clic\vb\ItaTray.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {CABDFEB1-FDBE-4DEF-96FD-38303F1C371D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {CABDFEB1-FDBE-4DEF-96FD-38303F1C371D} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe


Ho anche provveduto alla fine ad eliminare tutto ciò fosse sysmon...seppure sia rimasto un sysom.ocx che non va via. cosa sarebbe?




Per quanto riguarda gli antivirus, grazie per il consiglio. Volevo fare il medico da bambino. Visto che sono un traduttore oggi, mi avvierò alla medicina informatica. Eh eh, grazie di cuore e ti ringrazio per il benvenuto. Ho già parlato bene di voi con molti amici.....

[crazy.cat]

Un dubbio è possibile che il sysfind.exe non comparisse nel log?

Si, il virus/dialer assume nomi diversi, si nasconde e si riproduce.
E' fatto molto bene.

Solo per fare una pulizia più completa, togli anche queste voci se non conosci cosa sia la Logos Toolbar, rifai la scansione, metti il flag sulle voci e poi premi fix.
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Logos Toolbar - {EF22CECC-F8B2-4A8D-95C9-68FE85E59215} - C:\Programmi\Logos Toolbar\logos_ie.dll
O9 - Extra button: Microsoft AntiSpyware helper - {CABDFEB1-FDBE-4DEF-96FD-38303F1C371D} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {CABDFEB1-FDBE-4DEF-96FD-38303F1C371D} - (no file) (HKCU)

Codice: Seleziona tutto

seppure sia rimasto un sysom.ocx che non va via. cosa sarebbe?

Sconosciuto.

Codice: Seleziona tutto

Ho già parlato bene di voi con molti amici.....

Grazie[/quote]

[Michael]

Perche non visiti il sito per controllare automaticamente il log:
http://www.hijackthis.de/it

[crtrad]

Gentile Crazy

la Logos Toolbar è un'applicazione da me installata...si tratta di uno strumento per consultare la banca terminologica della Logos, grossa azienda di traduzione italiana e mondiale.

Grazie di tutto e alla prossima (che spero tanto non ci sia..eh...eh...)

Notte


P.s. grazie anche a te Michael!!!!