www.MegaLab.it

[svy]

Salve a tutti, e intanto complimenti per il forum.
Stavo seguendo le vostre istruzioni per rimuovere i dialer ma non sò quali siano le voci pericolose del "mio" log.
Potete aiutarmi?
Grazie mille

Logfile of HijackThis v1.99.1
Scan saved at 10.55.00, on 30/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe
C:\Programmi\QuickTime\qttask.exe
C:\Documents and Settings\Utente\Dati applicazioni\fareracito\sysvmrst.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\TOPCOM\BULTER 4012\Butler 4012 USB VoIP.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\firewalls\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {723C9231-E8AD-29FD-12FB-3089AF0E1260} - C:\WINDOWS\evhla1.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [Device Detector] "C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [euaio] C:\Documents and Settings\Utente\Dati applicazioni\fareracito\sysvmrst.exe
O4 - HKLM\..\Run: [sfvo2.exe] C:\WINDOWS\Temp\sfvo2.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Butler 4012 USB VoIP.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?d2f8ab272f984222bf01d5fd3f6eafa1
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?d2f8ab272f984222bf01d5fd3f6eafa1
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Utente\Documenti\Fantacalcio\PartyPoker.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Utente\Documenti\Fantacalcio\PartyPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.archivio.name
O15 - Trusted Zone: www.playitalia.com
O15 - Trusted Zone: www.softlab.name
O15 - Trusted Zone: www.xxx-content.name
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B81C029-EA0C-4BE9-B7FE-615C4572692C}: NameServer = 85.37.17.16 85.38.28.68
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

[BilloKenobi]

allora, fixa

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O4 - HKLM\..\Run: [euaio] C:\Documents and Settings\Utente\Dati applicazioni\fareracito\sysvmrst.exe
O15 - Trusted Zone: www.adslconnection.name
O15 - Trusted Zone: www.archivio.name
O15 - Trusted Zone: www.playitalia.com
O15 - Trusted Zone: www.softlab.name
O15 - Trusted Zone: www.xxx-content.name

inoltre hai il LinkOptimizer.

scarica questi quattro programmi

Ccleaner --- http://download.ccleaner.com/ccsetup132.exe
The Avenger --- http://swandog46.geekstogo.com/avenger.zip
Myuninstaller --- http://www.puntocr.it/index/downloads_r ... d/214.html
GMER --- http://www.gmer.net/files.php

poi estrai Gmer, e fai uno scan delle sezioni "rootkit" e " autostart". poi per piacere posti i log di entrambe le sezioni (c'è un pulsante "copia")

dopodichè arriverà il bello

[svy]

Intanto grazie da subito per l'aiuto!
Per il momento ho eliminato le righe che mi hai detto, ma sinceramente non ho ben capito che cosa significhi che ho LinkOptimazer (...immagino sia un male...), è così?
A cosa servono quei quattro programmi che mi hai consigliato e perché così tanti? Sinceramente mi sto preoccupando sopratutto leggendo la tua ultima frase!
Aspetto risposta, comunque grazie!

[Lando]

Intanto grazie da subito per l'aiuto!
Per il momento ho eliminato le righe che mi hai detto, ma sinceramente non ho ben capito che cosa significhi che ho LinkOptimazer (...immagino sia un male...), è così?
A cosa servono quei quattro programmi che mi hai consigliato e perché così tanti? Sinceramente mi sto preoccupando sopratutto leggendo la tua ultima frase!
Aspetto risposta, comunque grazie!

Con due clic su zio goggle ho trovato questo: http://www.suspectfile.com/forum/viewtopic.php?t=156 guarda se ti può servire a chiaririti!

[BilloKenobi]

allora,

1) il LinkOptimizer è un male, ma non pericoloso. l'unico pericolo che corri è quello di perdere la pazienza, perché rallenta il pc e fa comparire una miriade di popup & co sul web

2) i programmi servono perché nessun antivirus (o quasi, l'unico forse è il Norton, ma non proviamoci) non riesce a eliminare il virus. sono programmi sicuri e leggeri, non preoccuparti

3) Il link di Lando conduce alla guida della suspectfile per l'infezione, che effettivamente è quella che volevo indicarti manualmente.
essendo il LO un virus che si "personalizza" con nomi casuali da pc a pc, pensavo di darti una mano indicandoti passo passo le azioni da svolgere, ma
se ti senti sicura puoi usare quella guida, che però dovrai adattare alle tue esigenze. se non te ne intendi di chiavi di registro e script, ti consiglio di lascira che io ti aiuti.

in tal caso, estrai Gmer, e fai uno scan delle sezioni "rootkit" e " autostart". poi per piacere posti i log di entrambe le sezioni (c'è un pulsante "copia")

[svy]

Ecco i risultati:

1
GMER 1.0.10.10122 - http://www.gmer.net
Autostart 2006-08-30 23:14:12
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon@DLLName = WgaLogon.dll

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = \\?\C:\WINDOWS\system32\com8.iod

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
MDM /*Machine Debug Manager*/@ = "C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe"
navapsvc /*Servizio Norton AntiVirus Auto-Protect*/@ = C:\Programmi\Norton AntiVirus\navapsvc.exe
SBService /*ScriptBlocking Service*/@ = C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
SmcService /*Sygate Personal Firewall*/@ = C:\Programmi\Sygate\SPF\smc.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
SysGiz /*SysGiz*/@ = "C:\Programmi\File comuni\System\AfZ.exe"
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@VTTimerVTTimer.exe = VTTimer.exe
@VTTraypVTtrayp.exe = VTtrayp.exe
@WFXSwtchC:\PROGRA~1\WinFax\WFXSWTCH.exe /*file not found*/ = C:\PROGRA~1\WinFax\WFXSWTCH.exe /*file not found*/
@CmaudioRunDll32 cmicnfg.cpl,CMICtrlWnd = RunDll32 cmicnfg.cpl,CMICtrlWnd
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@CnxDslTaskBar"C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe" = "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
@Device Detector"C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe" -autorun = "C:\Programmi\File comuni\ACD Systems\IT\DevDetect.exe" -autorun
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@sfvo2.exeC:\WINDOWS\Temp\sfvo2.exe /*file not found*/ = C:\WINDOWS\Temp\sfvo2.exe /*file not found*/
@NAV AgentC:\PROGRA~1\NORTON~1\navapw32.exe = C:\PROGRA~1\NORTON~1\navapw32.exe
@sfvo1.exeC:\WINDOWS\Temp\sfvo1.exe /*file not found*/ = C:\WINDOWS\Temp\sfvo1.exe /*file not found*/
@SmcServiceC:\PROGRA~1\Sygate\SPF\smc.exe -startgui = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
@Symantec NetDriver MonitorC:\PROGRA~1\SYMNET~1\SNDMon.exe = C:\PROGRA~1\SYMNET~1\SNDMon.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@ctfmon.exeC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@Skype"C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized = "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
@H/PC Connection Agent"C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE" = "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@UPnPMonitor = C:\WINDOWS\system32\upnpui.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{0006F045-0000-0000-C000-000000000046} /*Microsoft Outlook Custom Icon Handler*/C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL = C:\Programmi\Microsoft Office\Office10\OLKFSTUB.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll
@{e57ce731-33e8-4c51-8354-bb4de9d215d1} /*Periferiche Plug and Play universali*/C:\WINDOWS\system32\upnpui.dll = C:\WINDOWS\system32\upnpui.dll
@{516EC4D3-4AD9-11D5-AA6A-00E0189008B3} /*The Core Media Player Shell Extension*/(null) =
@{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682} /*IZArc DragDrop Menu*/C:\Programmi\IZArc\IZArcCM.dll = C:\Programmi\IZArc\IZArcCM.dll
@{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} /*IZArc Shell Context Menu*/C:\Programmi\IZArc\IZArcCM.dll = C:\Programmi\IZArc\IZArcCM.dll
@{D9872D13-7651-4471-9EEE-F0A00218BEBB} /*Multiscan*/(null) =

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
IZArcCM@{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} = C:\Programmi\IZArc\IZArcCM.dll
Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\IZArcCM@{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5} = C:\Programmi\IZArc\IZArcCM.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu@{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{02478D38-C3F9-4EFB-9B51-7695ECA05670}C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll = C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
@{723C9231-E8AD-29FD-12FB-3089AF0E1260}C:\WINDOWS\evhla1.dll = C:\WINDOWS\evhla1.dll
@{BDF3E430-B101-42AD-A544-FADC6B084872}C:\Programmi\Norton AntiVirus\NavShExt.dll = C:\Programmi\Norton AntiVirus\NavShExt.dll

HKCU\Control Panel\Desktop@SCRNSAVE.EXE = C:\WINDOWS\system32\logon.scr

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageC:\WINDOWS\SYSTEM32\blank.htm = C:\WINDOWS\SYSTEM32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local Pagehttp://www.microsoft.com/isapi/redi ... r=iesearch = http://www.microsoft.com/isapi/redir.dl ... r=iesearch

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mctp@CLSID = C:\Programmi\Microsoft ActiveSync\aatp.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
ms-itss@CLSID = C:\Programmi\File comuni\Microsoft Shared\Information Retrieval\MSITSS.DLL
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\system32\wiascr.dll

C:\Documents and Settings\Utente\Menu Avvio\Programmi\Esecuzione automatica = Butler 4012 USB VoIP.lnk

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica = Microsoft Office.lnk

---- EOF - GMER 1.0.10 ----

2
GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-08-30 23:19:44
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwAllocateVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwCreateThread
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwMapViewOfSection
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwProtectVirtualMemory
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwShutdownSystem
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwTerminateProcess
SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys ZwWriteVirtualMemory

---- Devices - GMER 1.0.10 ----

Device \Driver\SYMTDI \Device\SymTDI IRP_MJ_CREATE [F771A220] wpsdrvnt.sys
Device \Driver\SYMTDI \Device\SymTDI IRP_MJ_CLOSEIRP_MJ_READ [F771A480] wpsdrvnt.sys
Device \Driver\SYMTDI \Device\SymTDI IRP_MJ_INTERNAL_DEVICE_CONTROL [F771A5A0] wpsdrvnt.sys
Device \Driver\SYMTDI \Device\SymTDI IRP_MJ_SHUTDOWN [F771A5D0] wpsdrvnt.sys

---- Files - GMER 1.0.10 ----

File C:\System Volume Information\MountPointManagerRemoteDatabase
File C:\System Volume Information\tracking.log
File C:\WINDOWS\evhla1.dll
File C:\WINDOWS\system32\com8.iod

---- EOF - GMER 1.0.10 ----


Che devo fare ora? E a che servono gli altri tre programmi?

[BilloKenobi]

va tutto benissimo, meglio di quanto mi aspettassi

stampa la procedura (dovrai riavviare il pc)

ora fai così

1) Estrai Myuninstaller. è un programma (che non necessita installazione) simile a "installazione applicazioni" ma molto più efficace. Cerca la voce LinkOptimizer, cliccaci col destro e clicca Delete selected entry

2) Vai su Start>esegui>e digita control userpasswords2 (lo scrivi nello spazio bianco)>OK

Nella finestra Account utente, dovresti avere un'utenza sospetta con nome casuale (oltre le consuete), tipo XYZFG. Segnati il nome dell'utenza ed eliminala (click con il destro e scegli elimina);

3) Rendi visibili file e cartelle nascosti:
da gestione del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file protetti di sistema.
clicchi OK

Vai in C:\Documents and Settings, dovresti trovare una cartella con lo stesso nome dell'utenza, elimina anch'essa

4) Ora estrai e avvia Avenger.exe

Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SysGiz

Files to delete:
C:\WINDOWS\evhla1.dll
C:\WINDOWS\system32\com8.iod
C:\WINDOWS\Temp\sfvo1.exe

Clicca sul pulsante Done
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (che si trova in C:/avenger.txt) con l´esito dello script.

5) Controlla se in C:\Programmi o C:\Programmi\file comuni o C:\programmi\file comuni\System o in C:\programmi\file comuni\microsoft shared , sono presenti file con estensione .exe di colore verde; se sì fammelo sapere

6) Ora installa Ccleaner, aprilo, spunta l'opzione "Cookie" in alto a sinistra, e clicca su "Avvia Cleaner" in basso a destra.

7)apri di nuovo hijackthis, clicca su "Do a system scan only"
troverai le stesse voci di prima. metti la spunta sulla sinistra delle seguenti voci. presta attenzione a non sbagliare, e poi clicca su "Fix checked"

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {723C9231-E8AD-29FD-12FB-3089AF0E1260} - C:\WINDOWS\evhla1.dll (file missing)
O4 - HKLM\..\Run: [sfvo1.exe] C:\WINDOWS\Temp\sfvo1.exe

[svy]

Ecco il log di avenger


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ibpbbohe

*******************

Script file located at: \??\C:\WINDOWS\system32\ccvtewpp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\CurrentControlSet\Services\SysGiz deleted successfully.
File C:\WINDOWS\evhla1.dll deleted successfully.
File C:\WINDOWS\system32\com8.iod deleted successfully.


File C:\WINDOWS\Temp\sfvo1.exe not found!
Deletion of file C:\WINDOWS\Temp\sfvo1.exe failed!

Could not process line:
C:\WINDOWS\Temp\sfvo1.exe
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.




In C:\programmi\file comuni\System ci sono molti filo verdi come mi avevi detto


Al punto 6 mi hai detto di spuntare l'opzione cookie, ma la spunta già c'è, come in molte altre opzioni, sia di windows che delle applicazioni (ad es. Adobe, Nero, e-mule ecc.). Visto che il programma mi chiede se sono sicura di cancellare i file del sistema, ma io non lo sono molto, mi puoi dare tu la conferma,per favore?
Grazie

[BilloKenobi]

per l'opzione cookie lasciala com'è. siccome la procedura è lunga e comunque quasi tutta uguale (bisogna cambiare poche cose) faccio sempre il copia/incolla cambiando quelle cose.. prima di far girarlo inserisci questo nuovo script in Avenger

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\Temp\sfvo2.exe

poi fai come prima e riavviii

dopo di che continui con Ccleaner e per finire fixi (con hijackthis)

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {723C9231-E8AD-29FD-12FB-3089AF0E1260} - C:\WINDOWS\evhla1.dll (file missing)
O4 - HKLM\..\Run: [sfvo2.exe] C:\WINDOWS\Temp\sfvo2.exe

[svy]

Questo è l'altro log di avenger e ho come la sensazione che non vada bene. Puoi ricontrollare prima che io vada avanti?


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bkupwldr

*******************

Script file located at: \??\C:\iclvqgbs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\Temp\sfvo2.exe not found!
Deletion of file C:\WINDOWS\Temp\sfvo2.exe failed!

Could not process line:
C:\WINDOWS\Temp\sfvo2.exe
Status: 0xc0000034

[BilloKenobi]

se non li trova, non ci sono.

dai una passata di Ccleaner e fixa quelle voci con hijackthis

sei a posto

[svy]

ok! Tutto eseguito come mi hai detto. Spero che ora vada tutto bene.
Grazie veramente tanto per avermi aiutato e sopratutto complimenti per le tue capacità e la tua Pazienza!!!
Sai, chi come me non è un esperto di pc, molto spesso si fa prendere da ansie e preoccupazioni come se da un momento a l'altro gli esplodesse il computer in faccia! Ma per fortuna c'è chi, come te, è così buono da venirti incontro e guidarti passo passo nel risolvere questi problemini.
Grazie ancora!

...mi togli un ultima curiosità...da che cosa hai dedotto che io sia una femmina?

[BilloKenobi]

francamente l'ho dedotto a pelle... spero tu lo sia.... (il senso del tuo ultimo post non me ne dà la certezza

sarà stato il nome (che finisce per y) oppure l'ansia peculiare di voi donne
, però francamente non lo so...

comunwue sono contento che il pc vada meglio... ciao

[svy]

Bè allora complimenti per le tue capacità deduttive... sono proprio un' "ansiosa ragazza"!
e grazie ancora!
Baci!