www.MegaLab.it

[Amantide]

Benvenuto
Visto che l'articolo è stato aggiornato varie volte, ora come ora la rimozione manuale va lasciata come la soluzione estrema. Intanto fai la scansione con VirIt e con i tools di rimozione della Prevx e della Symantec, i link per scaricarli trovi nella guida. Se non dovessero funzionare, prova a rinominarli.

[Mahogany]

Ciao ragazzi,
sono una nuova iscritta, anche se vi seguo da un po' perché vittima anche io del trojan oggetto di questa discussione.

Innanzitutto i miei complimenti per la disponibilità e competenza dimostrate, in particolar modo ad Amantide, senza voler togliere nulla a chiunque abbia offerto il proprio contributo.

Purtroppo non son riuscita a liberarmi dal malware, pur avendo tentato ogni vostra soluzione.

Temo di aver "beccato" un trojan ostinato, in quanto la sintomatologia è alquanto sui generis.

Non ho tracce di Link Optimizer nè di Connection Services tra i programmi installati, altresì ho trovato tracce del LO nel registro e le ho cancellate.

Il mio più grosso problema è che non riesco ad eseguire i vari removal tool che avete consigliato, e che riesco a prelevare soltanto da una macchina non infetta.

Questo accade anche in modalità provvisoria, non c'è niente da fare...

Temo di aver preso il trojan a pc praticamente pulito, subito dopo una formattazione, e la cosa mi fa andare ancora più in bestia.

Nè il Norton, nè il Kaspersky me lo rileva.
Il myuninstaller non lo ha in elenco...

Ho intenzione di formattare la macchina, ma, prima, per questione di principio, voglio liberarmi di questo malware...

Potete aiutarmi?

Stasera posterò il log di HijackThis, magari qualcuno di voi riuscirà a supportarmi.

E' la prima volta che un trojan la ha vinta su di me, comprenderete che non voglio mollare!!!

Grazie a tutti!!!

[Amantide]

Grazie a te Mahogany e benvenuta!!! Un altra femminuccia tra di noi

Ritornando al Gromozon. Avevi provato a vedere, se rinominando i tools questi funzionano? Ne puoi scaricare dall'articolo sul sito un archivio, contenente i vari tools rinominati.
Intanto posta il log della scansione con Hijackthis e facci sapere che tools/ programmi avevi già utilizzato, modalità e con che risultati.

[Mahogany]

Si Amantide, ho rinominato tutto, ma non lo freghi con niente (nel mio caso).

Ho provato di tutto, adesso ho salvato da questa macchina gli ultimi removal che avete linkato, ma temo che avrò lo stesso problema.

L'eseguibile non parte, nè in mod. normale, nè in mod. provvisoria, nè in mod. KAMASUTRA, nè in modalità ATTACCATA AL LAMPADARIO
Scusate l'ironia, ma non so se ridere o piangere!!!

[Amantide]

Lasciamo le ultime 2 modalità per i momenti più appropriati
Hai provato anche la modalità Account System?

[Mahogany]

Provato provato...

Ma adesso ho nella chiavetta gli ultimi aggiornamenti, vediamo chi la spunta ...

P.S. grazie Amantide, sei un tesoro!!!

[Amantide]

Allora aspetto il log di hijackthis, cosi vediamo se riusciremo ad eliminarlo manualmente.
Intanto scarica Avenger, rinominalo e vedi se va almeno questo.

[Mahogany]

Allora aspetto il log di hijackthis, cosi vediamo se riusciremo ad eliminarlo manualmente.
Intanto scarica Avenger, rinominalo e vedi se va almeno questo.

Avenger è stato un altro collo di bottiglia.
Ho ri-scaricato e salvato su chiavetta quello che avete linkato in prima pagina.

Va bene?
Il problema resta sempre il solito, NON riesco ad eseguire nulla, pur rinominando, tranne myunistaller e Hijack...

Stasera comunque ti posto tutto... ho lasciato disattivato il ripristino configurazioni di sistema, altrimenti mi ritrovo di nuovo l'account "ospite" che IO NON HO INVITATO.
Tsè!

Ed aggiungo : Sgrunt!

P.S. riguardo all'utente che accennava al problema della patch di Win Update che non riusciva ad installare, è successo anche a me.
Che sia iniziato tutto da lì?
Non riesco a ricostruire il processo di infezione, la macchina, come detto, era appena stata formattata, linda e pulita.

[Amantide]

Non riesco a ricostruire il processo di infezione, la macchina, come detto, era appena stata formattata, linda e pulita.

Per rimanere infettati da Gromozon, basta fare la ricerca su Google o simili e cliccare un risultato fasullo, che porta al link contenenti infezione. Vedi qui.

Se avevi già provato ad avviare Avenger, prima di avviare il file rinominato, assicurati di eliminare la cartella ed il file .txt Avenger, che si trovano in C:\
C:\Avenger\ e C:\avenger.txt

[crazy.cat]

Per chi è in grado di crearsi il MegaLab cd utility http://www.MegaLab.it/2359

può aggiungere il Virit con il nuovo plugin che ho preparato ieri
http://www.911cd.net/forums//index.php?showtopic=18809

Basta installare virit sul proprio pc, copiare tutto il contenuto della cartella dove è installato il programma e metterlo all'interlo della cartella files del plugin e compilare la nuova immagine.
Così si avvia il proprio pc con il vostro sistema operativo, e quindi anche il virus, disattivato e si lancia la scansione con virit direttamente dal cd.
Provato con una variante del virus ed ha funzionato, nel rimuovere uno dei file infetti virit si è chiuso ed ho dovuto riavviarlo, ma ha rimosso il virus.

[Mahogany]

Come promesso, ecco il log di HJT eseguito pochi attimi fa, prima di procedere con le operazioni da voi consigliate.



Logfile of HijackThis v1.99.1
Scan saved at 23.03.51, on 02/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Mia_Utenza\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Class - {D5AF7A9F-E053-BE03-3BFB-A3969C09E596} - C:\WINDOWS\uwvwc1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [mkpf1.exe] C:\WINDOWS\Temp\mkpf1.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1419472828
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

[Mahogany]

Ed ecco il risultato post intervento.
Preciso che, nonostante io abbia usato l'account system, non mi è tuttora possibile eseguire la maggior parte dei tool...



CLEANING COMPLETE - (30,549 secs)
------------------------------------------------------------------------------------------
10,5MB removed.
------------------------------------------------------------------------------------------

Details of files deleted
------------------------------------------------------------------------------------------
IE Temporary Internet Files (1316 files) 10,5MB
Cookie:Mia_utenza@imrworldwide.com/cgi-bin(&H100001) 98 bytes
Marked for deletion: C:\Documents and Settings\Mia_utenza\Cookies\index.dat
C:\WINDOWS\system32\wbem\Logs\wbemess.log 23,29KB
C:\WINDOWS\system32\wbem\Logs\wbemprox.log 1,08KB
C:\WINDOWS\system32\wbem\Logs\wmiprov.log 134 bytes
C:\WINDOWS\0.log 0 bytes
C:\WINDOWS\setupapi.log 5,30KB
C:\WINDOWS\Sti_Trace.log 0 bytes
C:\WINDOWS\ntbtlog.txt 186 bytes
C:\WINDOWS\Debug\UserMode\userenv.log 6,20KB
C:\Documents and Settings\Mia_utenza\Dati applicazioni\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\settings.sol 348 bytes
-------------------------------------------------------------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 23.41.09, on 02/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\CCleaner\ccleaner.exe
C:\Documents and Settings\Mia_utenza\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Class - {D5AF7A9F-E053-BE03-3BFB-A3969C09E596} - C:\WINDOWS\uwvwc1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [mkpf1.exe] C:\WINDOWS\Temp\mkpf1.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1419472828
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Unknown owner - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)



A occhio e croce sembrerebbe io non sia più infetta.
Adesso posso ripristinare le configurazioni di sistema??

[Mahogany]

E questo è il log del "passaggio" di VirIt

VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
03/11/2006 - 01:18:07

[SCANSIONE DEL REGISTRO]
{f250d521-225d-4d6b-8829-e064f944e180} Infetto da BHO.Agent.BM
* * * RIMOSSO * * *

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\WINDOWS\system32\ciaa.dll Infetto da BHO.Agent.BM
* * * RIMOSSO * * *

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[F:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[G:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[H:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[I:]


Chiavi Registro infette: 1.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 67516.
Files Totali: 67516.
Chiavi Registro rimosse: 1.
Virus Rimossi: 1.

[Mahogany]

Allora aspetto il log di hijackthis, cosi vediamo se riusciremo ad eliminarlo manualmente.
Intanto scarica Avenger, rinominalo e vedi se va almeno questo.

Avenger adesso parte, ma mi chiede uno script...
Devo cercarlo nei post precedenti o qualcuno può suggerirlo sulla base di ciò che ho postato precedentemente?

[Amantide]

Lo script da inserire è quello in grassetto (inserisco anche i file apparentemente già eliminati, sai, non si sa mai...).

Registry values to replace with dummy:
HKLMSoftware\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\ciaa.dll
C:\WINDOWS\Temp\mkpf1.exe
C:\WINDOWS\uwvwc1.dll


Poi, dalla modalità provvisoria trova ed elimina questa chiave di registro. (Start/Esegui/regedit/Modifica/Trova.)
{D5AF7A9F-E053-BE03-3BFB-A3969C09E596}

Hai già guardato se nella cartelle System, Services, Microsoft Shared in C:\Programmi\File comuni\ ci sono i file in verde?

Scarica CCleaner, vai su Opzioni/Avanzate e deseleziona Cancella files in Windows Temp solo se più vecchi di 48 ore. Dopodicè pulisci tutti i file temporanei.

Dopo aver eseguito Avenger, dai un altra ripassatina dalla modalità provvisoria con VirIt, ed i tools della Prevx e della Symantec.

Alla fine posta il log di Avenger, che trovi in C:\avenger.txt

[Mahogany]

Grazie Amantide!!!
Farò quanto mi consigli, anche se credo di essere a buon punto con il vil marrano!

Stanotte, proseguo , anche se mi consola il fatto di accedere di nuovo ad alcuni siti che non riuscivo più a raggiungere, ed anche di poter scaricare i removal tool che prima mi era impossibile prelevare.

I file Verdi (che prima c'erano) nelle cartelle da te descritte non ci sono più, per lo meno non li vedo quando lancio il Cleaner (scusa se faccio confusione con i tool, ma li ho davvero provati tutti).

Baciotto e ai prossimi aggiornamenti!!!

[Amantide]

In bocca al lupo

P.S. Speriamo che alla fine non avrai più bisogno di formattare

[SoldatoBiancaneve]

Buongiorno a tutti ....
sono afflitto da alcuni problemi da qualche giorno e non so ancora se ne son venuto a capo ....
spero che possiate aiutarmi , ora descrivo cercando di essere preciso ....

Tutto è iniziato qualche giorno addietro quando ho scorso una voce strana su installazione applicazioni : ConnectionServices ...se cercavo di disinstallare apriva una pagina web , cosa che mi ha insospettito , ma siccome avevo qualche minuto prima installato i driver di un modem nn mi sono preoccupato molto ed ho cliccato .......
Ho poi visto che si trattava della piaga di LinkOptimizer , infatti erano nati nuovi utenti in documents and settings ...
Ho fatto un log con hijackthis ed ho cancellato alcune cose ...
Sembrava che tutto fosse finito li poi ...da qualche giorno ho altri problemi ..


Dopo qualche minuto che sono connesso ad internet mi appare una finestra che mi chiede luogo da dove chiamo e numero di telefono ( ho una adsl flat solo linea dati) ....
Dal task manager sembrerebbe che venga generato da SiemensMonitor.exe , unico programma sospeto visto che controllo sempre il task manager ....
tale file è in c>windows , ma è impossibile cancellarlo ....
sul web ho trovato poche risposte e in una pagina veniva consigliato di installare un tool Prevx1 per rimuovere tale file
la pagina è questa:

http://groups.google.fr/group/microsoft ... 76dc96f797

Ho provato ma il Prevx1 non si riesce ad installare correttamente e dopo aver trovato un malware ed averlo rimosso , ad altra scansione ne ha trovato un altro ma non riesce a rimuoverlo ...
Mediante msconfig ho modificato l avvio in avvio diagnostico ( di base ) ma il problema permane e siemensmonitor rimane comunque incancellabile ....

Mi sono poi accorto che tale malware o comunque il virus che si è impossessato del mio pc, disattiva i monitoraggi del ripristino configurazione di sistema ed inoltre non mi permette di eseguire hijackthis perche viene immediatamente bloccato e si chiude automaticamente ......

Ieri ho fatto delle scansioni antivirus con kaspersky online e con avast che ho installato ma non hanno trovato nulla ...
anche ad-aware non ha trovato nulla ....

Anche da modalita provvisoria non si riesce a cancellare il file ....

Oggi ho trovato questa discussione ed ho fatto tutto fino al log di gmer .... che posto più in basso ....
Installando Prevx1 mi dava una dll sospetta che nn riuscivo a disinstallare , tale juvu1.dll ... poi mediante il tool per la rimozione di gromozon sono riuscito a levarla .... comunque il file siemensmonitor.exe è sempre li e nn si riesce a cancellare ( è scritto in nero ....)
Di exe verdi solo uno e l ho cancellato.....

Negli aggiornamenti del 2 novembre si fa riferimento ad un file chiamato fujitsuhelper.exe ... credo si tratti della stessa minestra del mio siemensmonitor ..eheheh solo che nonstante abbia cancellato la riga con hijack il file non riesco a toglierlo ...

tra laltro se è in esecuzione siemensmonitor nn riesco a lanciare hijackthis ... altrimenti si ..

Ho lanciato VirIT e mi ha scovato due file sospetti in una cartella di microsoft office , ma nn penso c entrino nulla .....

Solo all ultimo sono riuscito a cancellare il siemensmonitor , con il programmino della nod32 scritto da paolo monti ....

Questi sono i log di gmer e hijackthis

GMER 1.0.12.11889 - http://www.gmer.net
Autostart scan 2006-11-13 17:42:22
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\SYSTEM32\Userinit.exe,

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe"
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Alwil Software\Avast4\ashServ.exe"
Diskeeper /*Diskeeper*/@ = "C:\Programmi\Executive Software\Diskeeper\DkService.exe"
EPSONStatusAgent2 /*EPSON Printer Status Agent2*/@ = C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
niSvcLoc /*NI Service Locator*/@ = C:\WINDOWS\system32\niSvcLoc.exe -s
NVSvc /*NVIDIA Display Driver Service*/@ = %SystemRoot%\system32\nvsvc32.exe
PREVXAgent /*Prevx Agent*/@ = "C:\Programmi\Prevx1\PXAgent.exe" -f
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@PrevxOne"C:\Programmi\Prevx1\PXConsole.exe" = "C:\Programmi\Prevx1\PXConsole.exe"
@zBrowser LauncherC:\Programmi\Logitech\iTouch\iTouch.exe = C:\Programmi\Logitech\iTouch\iTouch.exe
@nwiznwiz.exe /install = nwiz.exe /install
@NvCplDaemonRUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
@nForce Tray Optionssstray.exe /r = sstray.exe /r
@EPSON Stylus C44 SeriesC:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44" = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
@DownloadAcceleratorC:\PROGRA~1\DAP\DAP.EXE /STARTUP = C:\PROGRA~1\DAP\DAP.EXE /STARTUP
@Babylon ClientC:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart = C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
@avast!C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run@swg = C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Pagina proprietà versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Versioni precedenti*/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{A70C977A-BF00-412C-90B7-034C51DA2439} /*NvCpl DesktopContext Class*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{FFB699E0-306A-11d3-8BD1-00104B6F7516} /*Play on my TV helper*/C:\WINDOWS\system32\nvcpl.dll = C:\WINDOWS\system32\nvcpl.dll
@{1CDB2949-8F65-4355-8456-263E7C208A5D} /*Desktop Explorer*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A47} /*Desktop Explorer Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{1E9B04FB-F9E5-4718-997B-B8DA88302A48} /*nView Desktop Context Menu*/C:\WINDOWS\system32\nvshell.dll = C:\WINDOWS\system32\nvshell.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{36A21736-36C2-4C11-8ACB-D4136F2B57BD} /*AutoCAD Digital Signatures Icon Overlay Handler*/C:\WINDOWS\system32\AcSignIcon.dll = C:\WINDOWS\system32\AcSignIcon.dll
@{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} /*Autodesk Drawing Preview*/C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcThumbnail16.dll = C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcThumbnail16.dll
@{6DEA92E9-8682-4b6a-97DE-354772FE5727} /*Autodesk DWF Preview*/C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll = C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Alwil Software\Avast4\ashShell.dll = C:\Programmi\Alwil Software\Avast4\ashShell.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\Office10\msohev.dll = C:\Programmi\Microsoft Office\Office10\msohev.dll
@{FED7043D-346A-414D-ACD7-550D052499A7} /*dBpowerAMP Music Converter 1*/C:\Programmi\Illustrate\dBpowerAMP\dBShell.dll = C:\Programmi\Illustrate\dBpowerAMP\dBShell.dll
@{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} /*dBpowerAMP Music Converter*/C:\Programmi\Illustrate\dBpowerAMP\dMCShell.dll = C:\Programmi\Illustrate\dBpowerAMP\dMCShell.dll
@{40950107-FEA6-4d53-A65F-B2DCBA57DD58} /*Nokia Phone Browser*/C:\Programmi\Nokia\Nokia PC Suite 6\NokiaPhoneBrowser.dll = C:\Programmi\Nokia\Nokia PC Suite 6\NokiaPhoneBrowser.dll
@{FBFE7864-D495-41f0-B7DC-4BB601CC295E} /*Contact View*/C:\Programmi\Nokia\Nokia PC Suite 6\ContactView.dll = C:\Programmi\Nokia\Nokia PC Suite 6\ContactView.dll
@{792F0537-F929-4eb7-AC1D-FB6334C71550} /*LG Phone*/C:\PROGRA~1\LGPCSU~1\LGPHON~1\Phone.dll = C:\PROGRA~1\LGPCSU~1\LGPHON~1\Phone.dll
@{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5} /*Context Menu Shell Extension*/C:\Programmi\TagRename\TRshell.dll = C:\Programmi\TagRename\TRshell.dll
@{99F3B825-BDAB-4231-8EDB-5A369C2A2F80} /*.LLB File Viewer and Icon Handler*/C:\Programmi\National Instruments\Shared\LabVIEW Run-Time\7.0\LVShellExt.dll = C:\Programmi\National Instruments\Shared\LabVIEW Run-Time\7.0\LVShellExt.dll
@{AB77609F-2178-4E6F-9C4B-44AC179D937A} /*a-squared Context Menu Shell Extension*/C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL /*file not found*/ = C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL /*file not found*/
@{A155339D-CCCD-4714-85EB-3754B804C9DF} /*a-squared Free Context Menu Shell Extension*/C:\PROGRA~1\A-SQUA~2\A2FREE~1.DLL = C:\PROGRA~1\A-SQUA~2\A2FREE~1.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
TagRename_ContextMenu@{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5} = C:\Programmi\TagRename\TRshell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
a2ContMenu@{AB77609F-2178-4E6F-9C4B-44AC179D937A} = C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL /*file not found*/
a2FreeContMenu@{A155339D-CCCD-4714-85EB-3754B804C9DF} = C:\PROGRA~1\A-SQUA~2\A2FREE~1.DLL
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Alwil Software\Avast4\ashShell.dll
TagRename_ContextMenu@{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5} = C:\Programmi\TagRename\TRshell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll = C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar3.dll = c:\programmi\google\googletoolbar3.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.google.it/ = http://www.google.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
cdo@CLSID = C:\Programmi\File comuni\Microsoft Shared\Web Folders\PKMCDO.DLL
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\system32\itss.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\system32\itss.dll
msnim@CLSID = "C:\PROGRA~1\MSNMES~1\msgrapp.dll"
mso-offdap@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\system32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{28CC507F-110D-4CC3-B044-B93AEA086CC1} /*Bridge di rete*/ >>>
@IPAddress192.168.1.1 = 192.168.1.1
@NameServer80.241.160.79,80.241.160.5 = 80.241.160.79,80.241.160.5
@DefaultGateway192.168.1.254 = 192.168.1.254
@Domain =

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E43D87B0-E5A1-42BD-B6AA-073E15C8CF5C} /*Connessione alla rete locale (LAN)*/ >>>
@IPAddress192.168.0.3 = 192.168.0.3
@NameServer80.241.160.79,80.241.160.5 = 80.241.160.79,80.241.160.5
@DefaultGateway192.168.0.1 = 192.168.0.1
@Domain =

C:\Documents and Settings\SoldatoBiancaneve\Menu Avvio\Programmi\Esecuzione automatica >>>
PopTray.lnk = PopTray.lnk
Ruth.lnk = Ruth.lnk

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
SATARaid.lnk = SATARaid.lnk
TV Remote Control.lnk = TV Remote Control.lnk

---- EOF - GMER 1.0.12 ----


Logfile of HijackThis v1.99.1
Scan saved at 17.42.54, on 13/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\niSvcLoc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Prevx1\PXAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Prevx1\PXConsole.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Babylon\Babylon-Pro\Babylon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programmi\Silicon Image\SiISATARaid\SATARaid.exe
C:\Programmi\MENTOR\TV878\C7XRCtl.exe
C:\Programmi\PopTray\PopTray.exe
C:\Programmi\RUThere\Ruth.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\StrongDC++\StrongDC.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\SOLDAT~1\IMPOST~1\Temp\Rar$EX00.422\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: (no name) - {D99820D6-BF55-A62E-FB96-15B859DE026F} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Startup: PopTray.lnk = C:\Programmi\PopTray\PopTray.exe
O4 - Startup: Ruth.lnk = C:\Programmi\RUThere\Ruth.exe
O4 - Global Startup: SATARaid.lnk = ?
O4 - Global Startup: TV Remote Control.lnk = C:\Programmi\MENTOR\TV878\C7XRCtl.exe
O8 - Extra context menu item: &Dictionary - http://files.db3nf.com/scripts/ie.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Encyclopedia - http://files.db3nf.com/scripts/ie-e.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pest ... stscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28CC507F-110D-4CC3-B044-B93AEA086CC1}: NameServer = 80.241.160.79,80.241.160.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{E43D87B0-E5A1-42BD-B6AA-073E15C8CF5C}: NameServer = 80.241.160.79,80.241.160.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{28CC507F-110D-4CC3-B044-B93AEA086CC1}: NameServer = 80.241.160.79,80.241.160.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{28CC507F-110D-4CC3-B044-B93AEA086CC1}: NameServer = 80.241.160.79,80.241.160.5
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Programmi\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\system32\niSvcLoc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe


Spero che qualcuno possa aiutarmi , credo di aver risolto il problema , se qualcuno ci da un'occhiata ai log mi puo dire se c è ancora di sospetto ... altrimenti la mia esperienza magari potra essere utile a qualcun altro ... d'altronde del siemensmonitor e del fujitsuhelper non c è ancora molto in rete .....


CIAO
Filippo.

[BilloKenobi]

i miei complimenti... sei venuto a capo di un'operazione difficile per un novizio del LinkOptimizer, e lo hai fatto correttamente, perché i log sono puliti. devi fixare solo

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D99820D6-BF55-A62E-FB96-15B859DE026F} - (no file)

dopo aver riavviato il pc, controlla se riappaiono, ma non dovrebbero...

[SoldatoBiancaneve]

Ciao e grazie per i complimenti .....

rispondo solo ora perche i problemi nn arrivano mai soli e nn finiscono mai ....

subito dopo aver risolto il problema linkoptimizer ho voluto usare un nuovo programma perla pulizia del registro ... regseeker .... ma nella pulizia completa ( ho selezionato tutto ) si è bloccato e di fatto mi ha danneggiato il registro ....
non riuscivo + ad accendere il pc e cosi ho dovuto fare un ripristino via console .... figo ... ma che paura .... pensavo di dover reinstallare tutto !!!! fortuna che avevo fatto un punto di ripristino prima di fare la pulizia .....
Ma come si utilizza regseeker ?????

Comunque per tornare al caso linkoptimizer avrei ancora una domanda ....

in C: mi ritrovo un file chiamato _cleaned.tmp ....
credo sia sicuro e dovuto a qualche programma utilizzato nella ripulitura , ma qualcuno puo assicurarmelo ????


Grazie ancora a tutti !!!!

Filippo