www.MegaLab.it

da **klovis** » lun dic 12, 2005 8:35 pm

Salve a tutti io sono nuovo di qui e l'altro giorno sono andato incontro ad un fenomeno se non allarmante diciamo....bizzarro.
premetto che non sono esperto di virus e di sicurezza del computer ma provo lo stesso ad illustrarvi il problema.
il mio pc non è coperto da antivirus causa scadenza della versione demo di norton2005 allegata alla confezione (all'acquisto - è un olidata NdK). non essendomi accorto in tempo della suddetta scadenza e non avendovi posto quindi il dovuto rimedio, una sera come solito vado a zonzo per google ed incappo in un pop up molto simpatico che installa un programma il quale ho scoperto poi essere un DIALER.
allarmato e ricordatomi della mia mancanza faccio un giro sempre su google( sarà schiavitù?) e trovo dei link su dei forum tra i quali anche il vostro per fare una scansione online con diversi antivirus (panda, kaspersky symantec etc) scelgo il panda, e mi trova 2 file infetti in system 32 (ma non mi dice quali) indicanti un troian ed un backdoor entrambi denominati PPdoor... il programma DICE di averli eliminati ma dopo una seconda scansione mi accorgo che così non è, allora apro il task manager e mi spunta l'immagine che vi allego qui nel post...
finora gli unici (se così si può dire) danni riportati sono solo l'impossibilità ad aprire il gioco spider di windows, il problema al task manager e l'impossibilità di installare qualsiasi software antivirus che non sia online... ora dopo aver letto alcuni post ho capito un po' di cose ma in maniera parziale e forse non del tutto adatta a risolvere il mio problema...quindi qui di seguito scrivo il log di hijackthis ringraziandovi anticipatamente per qualsiasi vostro contributo...
saluti klovis

Logfile of HijackThis v1.99.1
Scan saved at 20.29.15, on 12/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\PROGRA~2\UpsPilot\Winpower.exe
C:\PROGRA~2\UpsPilot\monitor.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\PROGRA~2\UpsPilot\hello21.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ezio\Documenti\Files di installazione e vari\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.olidata.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe,wbdbv1_0.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\wbdbv1_0.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programmi\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AnyDVD] "C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NI.UWFX5T] "C:\Documents and Settings\Egle\Impostazioni locali\Temporary Internet Files\Content.IE5\4V61A9MD\WinFixerScannerInstallITA[1].exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Windows System] goponvmy.exe
O4 - HKLM\..\Run: [Themes Player] C:\WINDOWS\system32\wbdbv1_0.exe
O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] goponvmy.exe
O4 - HKLM\..\RunOnce: [Panda_cleaner_231325] C:\WINDOWS\system32\ActiveScan\pavdr.exe 231325
O4 - HKLM\..\RunOnce: [Panda_cleaner_231326] C:\WINDOWS\system32\ActiveScan\pavdr.exe 231326
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Themes Player] C:\WINDOWS\system32\wbdbv1_0.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: RICOH Gate.lnk = C:\Programmi\Caplio RR10\rgate.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DAC8E68-F3A1-478A-A8C0-21D3AD750E13}: NameServer = 193.70.152.15 193.70.152.25
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\phlmfgcb.dll (file missing)
O21 - SSODL: Themes Update - {5959B849-55BA-4206-B1E7-162DDBF6C78F} - C:\WINDOWS\system32\dsouapir.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Winpower - Zero G - C:\PROGRA~2\UpsPilot\Winpower.exe

da **ziofil** » lun dic 12, 2005 9:19 pm

Caro amico stai veramente incasinato!!!In questi casi io,salvo il salvabile e formatto alla grande!!!Comunque stai attento,gli antivirus non aggiornati,non servono a niente!!!Metti un freeware,ce ne sono molti validi!!!Comunque qualcuno più esperto di me,ti aiuterà,io sono nuovo come te!!!In questo forum,c'è tanto da imparare,c'é gente veramente competente ti saprà aiutare!!!! carpenserv.exe,sicuramente è da cestinare,poi non so dove mettere le mani!!!C'é l'imbarazzo della scelta!!!C'é un programmino che serve per ripristinare il task,ma non ricordo l'indirizzo....Buona fortuna,qualcuno ti aiuterà!!!!

da **klovis** » lun dic 12, 2005 9:25 pm

grazie ziofil...
aspetterò con ansia anche perché qui ho un bel po' di files tra musica e films e formattare non mi pare proprio la soluzione migliore!!!
saluti
Klovis

da **ziofil** » lun dic 12, 2005 9:45 pm

Se riuscirai a risolvere i tuoi problemi,ti consiglio se possiedi parecchi files tra musica e film,di comprarti un hard disk esterno,oppure se possiedi un hard disk spazioso all'interno del tuo pc,creati una partizione,ossia sul disco C,terrai il sistema operativo,sul disco che andrai a crearti,metterai tutti i tuoi dati.Così quando incontri problemi di questo genere,o formatti,o puoi ripristinare una immagine del tuo sistema che avrai creato in precedenza sul disco C,lasciando intatta l'altra partizione che avrai creato.Io faccio così,e mi sono trovato sempre bene....

da **klovis** » lun dic 12, 2005 11:52 pm

pensavo di avere un piccolo problema...ora ho fatto una scansione con kaspersky on line... e credo di essere davvero nei guai... [cry+]

KASPERSKY ON-LINE SCANNER REPORT
Monday, December 12, 2005 23:45:19
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 12/12/2005
Kaspersky Anti-Virus database records: 154839
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Scan Statistics:
Total number of scanned objects: 87554
Number of viruses found: 10
Number of infected objects: 23
Number of suspicious objects: 0
Duration of the scan process: 4846 sec

Infected Object Name - Virus Name
C:\Documents and Settings\Ezio\Documenti\Files di installazione e vari\MAGIX music maker 2004 deLuxe\Magix Music Maker 2004 Crack.EXE Infected: Trojan.BAT.Delwin.ci
C:\Documents and Settings\Ezio\Impostazioni locali\Dati applicazioni\Identities\{985AE1FF-78EC-4857-90A2-BDD597B9081E}\Microsoft\Outlook Express\Posta eliminata.dbx/[From *@tiscali.it][Date Fri, 2 Dec 2005 17:02:41 +0100]/UNNAMED/readme.zip/readme.scr Infected: Net-Worm.Win32.Mytob.q
C:\Documents and Settings\Ezio\Impostazioni locali\Dati applicazioni\Identities\{985AE1FF-78EC-4857-90A2-BDD597B9081E}\Microsoft\Outlook Express\Posta eliminata.dbx/[From *@tiscali.it][Date Fri, 2 Dec 2005 17:02:41 +0100]/UNNAMED/readme.zip Infected: Net-Worm.Win32.Mytob.q
C:\Documents and Settings\Ezio\Impostazioni locali\Dati applicazioni\Identities\{985AE1FF-78EC-4857-90A2-BDD597B9081E}\Microsoft\Outlook Express\Posta eliminata.dbx/[From *@tiscali.it][Date Fri, 2 Dec 2005 17:02:41 +0100]/UNNAMED Infected: Net-Worm.Win32.Mytob.q
C:\Documents and Settings\Ezio\Impostazioni locali\Dati applicazioni\Identities\{985AE1FF-78EC-4857-90A2-BDD597B9081E}\Microsoft\Outlook Express\Posta eliminata.dbx Infected: Net-Worm.Win32.Mytob.q
C:\Documents and Settings\Ezio\Impostazioni locali\Temp\tmp22.tmp Infected: Backdoor.Win32.PPdoor.al
C:\Documents and Settings\Lia\Impostazioni locali\Temp\tmp1A.tmp Infected: Backdoor.Win32.PPdoor.al
C:\Documents and Settings\Lia\Impostazioni locali\Temp\tmp28.tmp Infected: Backdoor.Win32.PPdoor.al
C:\Documents and Settings\Lia\Impostazioni locali\Temporary Internet Files\Content.IE5\JQ33PMZV\gamesnp[1].htm Infected: Trojan-Downloader.JS.Small.az
C:\Programmi\Microsoft AntiSpyware\DeactivatedItems\CEACE398-D30B-4D9F-A17B-06B34A.asq Infected: Trojan-Dropper.Win32.Small.ue
C:\WINDOWS\system32\axmkgaaa.exe Infected: Trojan-Downloader.Win32.Small.bwh
C:\WINDOWS\system32\comrconv.dll Infected: Backdoor.Win32.PPdoor.bp
C:\WINDOWS\system32\dinpsacm.dll Infected: Backdoor.Win32.PPdoor.bp
C:\WINDOWS\system32\dsouapir.dll Infected: Backdoor.Win32.PPdoor.bp
C:\WINDOWS\system32\msxmacct.dll Infected: Backdoor.Win32.PPdoor.bp
C:\WINDOWS\system32\phckpikm.exe Infected: Trojan-Proxy.Win32.Wopla.n
C:\WINDOWS\system32\rsmsscfx.dll Infected: Backdoor.Win32.PPdoor.bp
C:\WINDOWS\system32\sensbprn.dll Infected: Backdoor.Win32.PPdoor.bp
C:\WINDOWS\system32\skinress.dll Infected: Backdoor.Win32.PPdoor.bp
C:\WINDOWS\system32\srshostu.exe Infected: Trojan-Proxy.Win32.Agent.bz
C:\WINDOWS\system32\wbdbv1_0.exe Infected: Backdoor.Win32.PPdoor.bp
C:\WINDOWS\system32\winl0gon.exe Infected: Trojan-Dropper.Win32.Small.na
C:\WINDOWS\system32\wowfl386.dll Infected: Backdoor.Win32.PPdoor.bp

Scan process completed.

aiuto!!!! [:I]

da **crazy.cat** » mar dic 13, 2005 8:25 am

Visto che non ti lascia installare dei veri antivirus, prova intanto con questi due sistemi
http://www.MegaLab.it/2333
http://www.MegaLab.it/2349

dopo magari riprovi con lo scan della kaspersky e vedi cosa è avanzato.
Bellissimi quei processi nel taskmanager con tutti i quadratini.

Svuota la cartella della posta eliminata e anche tutti i file temporanei di internet.

da **kpaolo** » mar dic 13, 2005 9:38 am

klovis armati di pazienza e fai la cosa migliore: FORMATTA!

hai detto che hai un sacco di dati..perché non li copi da qlke parte??tipo un HD esterno o dei CD/DVD...

dopo formattato ti consiglio di creare una partizione bella grande (in totale ne avrai due:una piccola per WIN e una grande per i dati) dove salverai TUTTI i tuoi dati..
così facendo se dovesse capitarti un incidente di questo tipo, la formattazione ( e quindi la costruzione di un sistema pulito e scattante) sarà moooolto meno indolore...

come antivirus gratis ti consiglio AVAST! che secondo me è il migliore in assoluto...(IMHO)

da **klovis** » mar dic 13, 2005 10:24 am

buongiorno a tutti...
scusate ma ieri sera ero troppo stanco per postare dopo un pomeriggio davanti al pc...
comunque come bizzarra era la sua manifestazione così lo è astata anche la scomparsa di questa strano virus...
in realtà non è scomparso da solo, la cosa che ho fatto dopo aver postato l'ultimo intervento e preso dalla disperazione, è stata di cancellare tutto ciò che mi considerava infetto e a parte alcune dll ci sono riuscito...dopo questa cancellazione alla buona mi sono accorto che task manager aveva ripreso a vivere e così ho cominciato a chiudere iprocessi sospetti e a cancellare le dll a cui non mi dava accesso prima...con mia grande gioia poi ho anche potuto installare panda 2006 titanium eliminando cookie ed altre fesserie...
l'unico problema adesso sono i file di avvio di windows in cui è menzionato il file maledetto per essere caricato...per il resto tutto va alla perfezione(almeno credo) funziona di nuovo pure spider!
con hijackthis ho fatto un file di log che vi allego chiedendovi se è davvero tutto a posto come penso io.
grazie ancora della vostra attenzione
klovis

p.s.- per crazy cat: la cosa ancora + strana è che ho usato in mod provvisoria programmi come stinger ed il tool della trend ma non hanno ENTRAMBI rilevato nulla all'interno del pc (intero)... evviva kaspersky!!!allego di seguito il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 10.22.01, on 13/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\PROGRA~2\UpsPilot\Winpower.exe
C:\PROGRA~2\UpsPilot\monitor.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~2\UpsPilot\hello21.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
C:\Programmi\Caplio RR10\rgate.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ezio\Documenti\Files di installazione e vari\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.olidata.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe,wbdbv1_0.exe----->questo è il file incriminato numero uno
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\wbdbv1_0.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programmi\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AnyDVD] "C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NI.UWFX5T] "C:\Documents and Settings\Egle\Impostazioni locali\Temporary Internet Files\Content.IE5\4V61A9MD\WinFixerScannerInstallITA[1].exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Windows System] goponvmy.exe
O4 - HKLM\..\Run: [Themes Player] C:\WINDOWS\system32\wbdbv1_0.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] goponvmy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: RICOH Gate.lnk = C:\Programmi\Caplio RR10\rgate.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.olidata.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/ ... nicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DAC8E68-F3A1-478A-A8C0-21D3AD750E13}: NameServer = 193.70.152.15 193.70.152.25
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\phlmfgcb.dll (file missing)
O21 - SSODL: Themes Update - {5959B849-55BA-4206-B1E7-162DDBF6C78F} - C:\WINDOWS\system32\dsouapir.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmi\File comuni\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\FIREWALL\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programmi\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
O23 - Service: Winpower - Zero G - C:\PROGRA~2\UpsPilot\Winpower.exe

da **kpaolo** » mar dic 13, 2005 10:40 am

vai su esegui e digita msconfig
da qui puoi selezionare i processi da lanciare all'avvio...dovrebbe esserci qlcosa relativo al tuo problema..se togli quelli che nn ti servono avrai anche un sistema che parte molto più velocemnte del solito...

da **crazy.cat** » mar dic 13, 2005 12:28 pm

Direi che ci sono ancora due Exe strani e da eliminare wbdbv1_0.exe,goponvmy.exe.
In più vedo la presenza del winfixer scanner, fatti un giro di controllo con spysweeper ed eliminalo, semina un trojano e un mucchio di spyware in giro per il pc.
Le righe qui sotto sono da eliminare.
F2 - REG:system.ini: Shell=explorer.exe,wbdbv1_0.exe----->questo è il file incriminato numero uno
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\wbdbv1_0.exe
O4 - HKLM\..\Run: [NI.UWFX5T] "C:\Documents and Settings\Egle\Impostazioni locali\Temporary Internet Files\Content.IE5\4V61A9MD\WinFixerScannerInstallITA[1].exe" O4 - HKLM\..\Run: [Microsoft Windows System] goponvmy.exe
O4 - HKLM\..\Run: [Themes Player] C:\WINDOWS\system32\wbdbv1_0.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System] goponvmy.exe
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\phlmfgcb.dll (file missing)
O21 - SSODL: Themes Update - {5959B849-55BA-4206-B1E7-162DDBF6C78F} - C:\WINDOWS\system32\dsouapir.dll (file missing)

da **klovis** » mer dic 14, 2005 11:56 pm

grazie ancora ora è tutto a posto se non fosse per un problema di cui però parlerò in un'altra parte di questo forum...un problemino con la masterizzazione di cd riscrivibili...grazie molte ancora
klovis

www.MegaLab.it

problema (virus?) che affligge taskmanager e non solo...

problema (virus?) che affligge taskmanager e non solo...

Chi c’è in linea