www.MegaLab.it

[death_star_]

ciao a tutti, vorrei chiedere il vostro aiuto per riportare il mio pc alla normalità ...

ho disinfettato il pc con i metodi automatici da voi suggeriti,

ho seguito passo passo la vostra guida qui:
http://www.MegaLab.it/2615

ho eliminato 4 utenti sospetti con nomi casuali, poi come consigliato ho copio qui il log di gmer ...


GMER 1.0.12.11877 - http://www.gmer.net
Autostart scan 2006-11-03 16:43:59
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent@DLLName = Ati2evxx.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
Ati HotKey Poller@ = %SystemRoot%\system32\Ati2evxx.exe
Avg7Alrt /*AVG7 Alert Manager Server*/@ = C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
Avg7UpdSvc /*AVG7 Update Service*/@ = C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
AVGEMS /*AVG E-mail Scanner*/@ = C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
ewido security suite control /*ewido security suite control*/@ = C:\Programmi\ewido anti-malware\ewidoctrl.exe
ewido security suite guard /*ewido security suite guard*/@ = C:\Programmi\ewido anti-malware\ewidoguard.exe
FreePOPs /*FreePOPs*/@ = C:\Programmi\FreePOPs\freepopsservice.exe
LogXkr /*LogXkr*/@ = "C:\Programmi\File comuni\Services\lPjj.exe" /*file not found*/
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
SrvCiu /*SrvCiu*/@ = "C:\Programmi\File comuni\Microsoft Shared\ldpTi.exe" /*file not found*/
SrvDpr /*SrvDpr*/@ = "C:\Programmi\File comuni\System\dZQ.exe" /*file not found*/
SrvTtg /*SrvTtg*/@ = "C:\Programmi\File comuni\Services\wkMEc.exe" /*file not found*/
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
UpdCcy /*UpdCcy*/@ = "C:\Programmi\File comuni\Services\ZuDKE.exe" /*file not found*/
viritsvclite /*Virit eXplorer Lite*/@ = C:\VEXPLITE\viritsvc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@HcontrolC:\WINDOWS\ATK0100\Hcontrol.exe = C:\WINDOWS\ATK0100\Hcontrol.exe
@SoundManSOUNDMAN.EXE = SOUNDMAN.EXE
@SynTPLprC:\Programmi\Synaptics\SynTP\SynTPLpr.exe = C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
@SynTPEnhC:\Programmi\Synaptics\SynTP\SynTPEnh.exe = C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
@Power_GearC:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1 /*file not found*/ = C:\Programmi\ASUS\Power4 Gear\BatteryLife.exe 1 /*file not found*/
@MimBootC:\Programmi\Musicmatch\Musicmatch Jukebox\mimboot.exe = C:\Programmi\Musicmatch\Musicmatch Jukebox\mimboot.exe
@NeroFilterCheckC:\WINDOWS\system32\NeroCheck.exe = C:\WINDOWS\system32\NeroCheck.exe
@Acrobat Assistant 7.0"C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" = "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
@ /*file not found*/ = /*file not found*/
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@RemoteControlC:\Programmi\ASUSTek\ASUSDVD\PDVDServ.exe = C:\Programmi\ASUSTek\ASUSDVD\PDVDServ.exe
@CloneCDTray"C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s = "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
@SunJavaUpdateSchedC:\Programmi\Java\jre1.5.0_06\bin\jusched.exe = C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
@CreativeTaskScheduler"C:\Programmi\Creative\Shared Files\CTSched.exe" /logon = "C:\Programmi\Creative\Shared Files\CTSched.exe" /logon
@iioq3.exeC:\WINDOWS\Temp\iioq3.exe /*file not found*/ = C:\WINDOWS\Temp\iioq3.exe /*file not found*/
@iioq4.exeC:\WINDOWS\Temp\iioq4.exe /*file not found*/ = C:\WINDOWS\Temp\iioq4.exe /*file not found*/
@AVG7_CCC:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP = C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
@iioq1.exeC:\WINDOWS\TEMP\iioq1.exe /*file not found*/ = C:\WINDOWS\TEMP\iioq1.exe /*file not found*/
@VIRIT LITE MONITORC:\VEXPLITE\MONLITE.EXE = C:\VEXPLITE\MONLITE.EXE
@Easy-PrintToolBoxC:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon = C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@Creative WebCam TrayC:\Programmi\Creative\Shared Files\CamTray.exe = C:\Programmi\Creative\Shared Files\CamTray.exe
@swgC:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe /*file not found*/ = C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe /*file not found*/

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{54D9498B-CF93-414F-8984-8CE7FDE0D391} = C:\Programmi\ewido anti-malware\shellhook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{32683183-48a0-441b-a342-7c2a440a9478} /*Media Band*/(null) =
@{2F603045-309F-11CF-9774-0020AFD0CFF6} /*Synaptics Control Panel*/C:\Programmi\Synaptics\SynTP\SynTPCpl.dll = C:\Programmi\Synaptics\SynTP\SynTPCpl.dll
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Cartelle Web*/C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
@{42042206-2D85-11D3-8CFF-005004838597} /*Microsoft Office HTML Icon Handler*/C:\Programmi\Microsoft Office\OFFICE11\msohev.dll = C:\Programmi\Microsoft Office\OFFICE11\msohev.dll
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\System32\extmgr.dll = C:\WINDOWS\System32\extmgr.dll
@{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} /*Messenger Sharing Folders*/C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll = C:\Programmi\MSN Messenger\fsshext.8.0.0812.00.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/C:\Programmi\WinRAR\rarext.dll = C:\Programmi\WinRAR\rarext.dll
@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} /*Adobe.Acrobat.ContextMenu*/C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll = C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
@{32020A01-506E-484D-A2A8-BE3CF17601C3} /*AlcoholShellEx*/C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll = C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll
@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} /*AVG7 Shell Extension*/C:\Programmi\Grisoft\AVG Free\avgse.dll = C:\Programmi\Grisoft\AVG Free\avgse.dll
@{9F97547E-460A-42C5-AE0C-81C61FFAEBC3} /*AVG7 Find Extension*/C:\Programmi\Grisoft\AVG Free\avgse.dll = C:\Programmi\Grisoft\AVG Free\avgse.dll
@{36A21736-36C2-4C11-8ACB-D4136F2B57BD} /*AutoCAD Digital Signatures Icon Overlay Handler*/C:\WINDOWS\system32\AcSignIcon.dll = C:\WINDOWS\system32\AcSignIcon.dll
@{AC1DB655-4F9A-4c39-8AD2-A65324A4C446} /*Autodesk Drawing Preview*/C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcThumbnail16.dll = C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcThumbnail16.dll
@{6DEA92E9-8682-4b6a-97DE-354772FE5727} /*Autodesk DWF Preview*/C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll = C:\Programmi\File comuni\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
Adobe.Acrobat.ContextMenu@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} = C:\Programmi\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG Free\avgse.dll
ewido@{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programmi\ewido anti-malware\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
ewido@{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programmi\ewido anti-malware\context.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
AVG7 Shell Extension@{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programmi\Grisoft\AVG Free\avgse.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
@{AA58ED58-01DD-4d91-8333-CF10577473F7}c:\programmi\google\googletoolbar3.dll = c:\programmi\google\googletoolbar3.dll
@{AE7CD045-E861-484f-8273-0445EE161910}C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll = C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
@{E3EE7B27-7533-4A47-344C-1A397704BF40}C:\WINDOWS\ipdqy1.dll /*file not found*/ = C:\WINDOWS\ipdqy1.dll /*file not found*/

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Filter\text/xml@CLSID = C:\Programmi\File comuni\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
lid@CLSID = C:\WINDOWS\System32\msvidctl.dll
livecall@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
msnim@CLSID = C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
mso-offdap11@CLSID = C:\PROGRA~1\FILECO~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll

HKLM\Software\Classes\PROTOCOLS\Handler\wia@CLSID = C:\WINDOWS\System32\wiascr.dll

C:\Documents and Settings\Simone\Menu Avvio\Programmi\Esecuzione automatica = Adobe Gamma.lnk

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica >>>
Adobe Acrobat Speed Launcher.lnk = Adobe Acrobat Speed Launcher.lnk
ASUS ChkMail.lnk = ASUS ChkMail.lnk
AutoCAD Startup Accelerator.lnk = AutoCAD Startup Accelerator.lnk
FreePOPs.lnk = FreePOPs.lnk
Hotkey.lnk = Hotkey.lnk

---- EOF - GMER 1.0.12 ----






GMER 1.0.12.11877 - http://www.gmer.net
Rootkit scan 2006-11-03 16:42:48
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \??\C:\Programmi\ewido anti-malware\guard.sys ZwOpenProcess
SSDT \??\C:\Programmi\ewido anti-malware\guard.sys ZwTerminateProcess

---- User code sections - GMER 1.0.12 ----

.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] kernel32.dll!LoadResource 7C80A065 7 Bytes JMP 27001960 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] kernel32.dll!FindResourceExW 7C80AB10 7 Bytes JMP 270018E0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] kernel32.dll!FindResourceW 7C80BA56 7 Bytes JMP 27001860 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] kernel32.dll!SizeofResource 7C80BAF1 7 Bytes JMP 27001A00 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] kernel32.dll!LockResource 7C80C6CF 5 Bytes JMP 27001A90 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 004E12D0 C:\Programmi\MSN Messenger\msnmsgr.exe
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] kernel32.dll!CreateEventA 7C81E4BD 5 Bytes JMP 27001650 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] USER32.dll!PeekMessageW 77D19278 5 Bytes JMP 27003510 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] USER32.dll!CreateWindowExW 77D21AD5 5 Bytes JMP 27003020 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] USER32.dll!SetWindowRgn 77D21DE0 7 Bytes JMP 27004840 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] USER32.dll!CreateDialogParamW 77D3629F 5 Bytes JMP 27004BC0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] USER32.dll!SetWindowPlacement 77D3FBEA 5 Bytes JMP 27004760 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] USER32.dll!FlashWindow 77D55C9D 5 Bytes JMP 270048E0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] USER32.dll!MessageBoxIndirectW 77D660B7 5 Bytes JMP 27004D20 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] USER32.dll!TrackPopupMenuEx 77D6CAFE 5 Bytes JMP 27003CE0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] WS2_32.dll!send 71A3428A 5 Bytes JMP 27009360 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] WS2_32.dll!WSARecv 71A34318 5 Bytes JMP 27009150 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] WS2_32.dll!recv 71A3615A 5 Bytes JMP 27008FC0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] WS2_32.dll!WSASend 71A36233 5 Bytes JMP 270094E0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] WS2_32.dll!closesocket 71A39639 5 Bytes JMP 270096F0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] SHELL32.dll!Shell_NotifyIconW 7CA47CE1 5 Bytes JMP 27002960 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] ole32.dll!CoInitializeEx 774C42F3 5 Bytes JMP 27001AF0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] ole32.dll!CoRegisterClassObject 77511BFC 5 Bytes JMP 27001BF0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] WININET.dll!HttpOpenRequestA 77194AC5 5 Bytes JMP 27007F50 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] WININET.dll!InternetCloseHandle 771961DC 5 Bytes JMP 27008230 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] WININET.dll!HttpSendRequestA 771976B8 5 Bytes JMP 27008180 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll
.text C:\Programmi\MSN Messenger\msnmsgr.exe[3912] WININET.dll!InternetReadFile 77199555 5 Bytes JMP 270080B0 C:\Programmi\Messenger Plus! Live\MsgPlusLive.dll

---- Devices - GMER 1.0.12 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F8AEA85A] avgtdi.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F8AEA85A] avgtdi.sys
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_READ 81E9B128
Device \Driver\Cdrom \Device\CdRom0 IRP_MJ_DEVICE_CONTROL 81AFE260
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_READ 81E9B128
Device \Driver\Cdrom \Device\CdRom1 IRP_MJ_DEVICE_CONTROL 81AFE260
Device \Driver\atapi \Device\Ide\IdePort0 IRP_MJ_INTERNAL_DEVICE_CONTROL 81F92288
Device \Driver\atapi \Device\Ide\IdePort1 IRP_MJ_INTERNAL_DEVICE_CONTROL 81F92288
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 81F92288
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e IRP_MJ_INTERNAL_DEVICE_CONTROL 81F92288
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F8AEA85A] avgtdi.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F8AEA85A] avgtdi.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F8AEA85A] avgtdi.sys
Device \Driver\axvodka \Device\Scsi\axvodka1 IRP_MJ_INTERNAL_DEVICE_CONTROL 81AB7EF0
Device \Driver\axvodka \Device\Scsi\axvodka1Port2Path0Target0Lun0 IRP_MJ_INTERNAL_DEVICE_CONTROL 81AB7EF0

---- Files - GMER 1.0.12 ----

ADS C:\Documents and Settings\All Users\Dati applicazioni\TEMP:2A81F9CE
ADS E:\flash\Render\SENZA NOME DED201C2\tmp.m2v:PinnacleIndex

---- EOF - GMER 1.0.12 ----




grazie già da ora per l'aiuto ...

[BilloKenobi]

e chi ha detto che verrai aiutato?

scarica

The Avenger --- http://swandog46.geekstogo.com/avenger.zip

Disattiva l'antivirus, il firewall, eventuali moduli hips

Ora estrai e avvia Avenger.exe

Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla le scritte in neretto:


Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\LogXkr
HKLM\SYSTEM\CurrentControlSet\Services\SrvTtg
HKLM\SYSTEM\CurrentControlSet\Services\SrvDpr
HKLM\SYSTEM\CurrentControlSet\Services\SrvCiu
HKLM\SYSTEM\CurrentControlSet\Services\UpdCcy
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E3EE7B27-7533-4A47-344C-1A397704BF40}

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | iioq1.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | iioq2.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | iioq3.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | iioq4.exe

Files to delete:
C:\WINDOWS\ipdqy1.dll
C:\WINDOWS\Temp\iioq3.exe
C:\WINDOWS\Temp\iioq1.exe
C:\WINDOWS\Temp\iioq2.exe
C:\WINDOWS\Temp\iioq4.exe
C:\Programmi\File comuni\Services\ZuDKE.exe
C:\Programmi\File comuni\Services\wkMEc.exe
C:\Programmi\File comuni\System\dZQ.exe
C:\Programmi\File comuni\Microsoft Shared\ldpTi.exe
C:\Programmi\File comuni\Services\lPjj.exe

Clicca sul pulsante Done
Clicca 2 volte sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (che si trova in C:\avenger.txt) con l´esito dello script.

uff... credo sia tutto. ti sei beccato il LinkOptimizer 5, e dico 5 volte.... non ho mai scritto uno script così lungo.

[death_star_]

grazie per la risposta ...

ecco il testo del file avenger.txt

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 1813


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vwadfqgr

*******************

Script file located at: \??\C:\WINDOWS\system32\lnnndqqj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKLM\SYSTEM\CurrentControlSet\Services\LogXkr deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\SrvTtg deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\SrvDpr deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\SrvCiu deleted successfully.
Registry key HKLM\SYSTEM\CurrentControlSet\Services\UpdCcy deleted successfully.


File C:\WINDOWS\ipdqy1.dll not found!
Deletion of file C:\WINDOWS\ipdqy1.dll failed!

Could not process line:
C:\WINDOWS\ipdqy1.dll
Status: 0xc0000034



File C:\WINDOWS\Temp\iioq3.exe not found!
Deletion of file C:\WINDOWS\Temp\iioq3.exe failed!

Could not process line:
C:\WINDOWS\Temp\iioq3.exe
Status: 0xc0000034



File C:\WINDOWS\Temp\iioq1.exe not found!
Deletion of file C:\WINDOWS\Temp\iioq1.exe failed!

Could not process line:
C:\WINDOWS\Temp\iioq1.exe
Status: 0xc0000034



File C:\WINDOWS\Temp\iioq2.exe not found!
Deletion of file C:\WINDOWS\Temp\iioq2.exe failed!

Could not process line:
C:\WINDOWS\Temp\iioq2.exe
Status: 0xc0000034



File C:\WINDOWS\Temp\iioq4.exe not found!
Deletion of file C:\WINDOWS\Temp\iioq4.exe failed!

Could not process line:
C:\WINDOWS\Temp\iioq4.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Services\ZuDKE.exe not found!
Deletion of file C:\Programmi\File comuni\Services\ZuDKE.exe failed!

Could not process line:
C:\Programmi\File comuni\Services\ZuDKE.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Services\wkMEc.exe not found!
Deletion of file C:\Programmi\File comuni\Services\wkMEc.exe failed!

Could not process line:
C:\Programmi\File comuni\Services\wkMEc.exe
Status: 0xc0000034



File C:\Programmi\File comuni\System\dZQ.exe not found!
Deletion of file C:\Programmi\File comuni\System\dZQ.exe failed!

Could not process line:
C:\Programmi\File comuni\System\dZQ.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Microsoft Shared\ldpTi.exe not found!
Deletion of file C:\Programmi\File comuni\Microsoft Shared\ldpTi.exe failed!

Could not process line:
C:\Programmi\File comuni\Microsoft Shared\ldpTi.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Services\lPjj.exe not found!
Deletion of file C:\Programmi\File comuni\Services\lPjj.exe failed!

Could not process line:
C:\Programmi\File comuni\Services\lPjj.exe
Status: 0xc0000034



Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E3EE7B27-7533-4A47-344C-1A397704BF40} deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iioq1.exe deleted successfully.


Could not delete registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iioq2.exe
Deletion of registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iioq2.exe failed!
Status: 0xc0000034

Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iioq3.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|iioq4.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[BilloKenobi]

lo script ha avuto buon esito. come va il pc?

[death_star_]

sembra tutto ok, procedo con le operazioni descritte nella guida?

vorrei chiedere un consiglio, è la terza volta che viene infettato dal gromo, questa volta non riuscivo nemmeno a far partire i tools, non so più quante volte ho riavviato in mod provvisoria prima di riuscire a far partire l'applicazione ....
per evitare o almeno ridurre le probabilità di essere colpito, mi puoi indicare un antivirus o un firewall o qualsiasi altro programma che mi difenda un po' meglio?
ora utilizzo virit e avg insieme ...

[BilloKenobi]

non è la terza... la quinta (si capisce dal numero di voci che ho inserito nello script)

per prevenire, puoi usare come browser alternativo Firefox... meglio se installi anche l'estensione no.script, che blocca gli script di un sito web.. gli script sono essenziali per il buon funzionamento di un sito, ma sono anche gli unici vettori attraverso cui infettare il pc... con quell'estensione li bloccherai tutti indistintamente, poi riabiliterai volta per volta quelli di siti che ritieni affidabili

[death_star_]

ormai avevo perso il conto ...

ok, installo firefox e cerco l'estensione noscript, mi abituerò al nuovo browser ...

continuo con la guida?

[Amantide]

continuo con la guida?

Visto che la guida è stata aggiornata varie volte, dovresti iniziare a leggerla a partire dalla fine.
Fai la scansione con VirIt ed i 2 tools di rimozione della Prevx e della symantec.

[BilloKenobi]

Fai la scansione con VirIt ed i 2 tools di rimozione della Prevx e della symantec.

oramai il grosso è fatto, o no? credo basti il tool symantec

[Amantide]

Fai la scansione con VirIt ed i 2 tools di rimozione della Prevx e della symantec.

oramai il grosso è fatto, o no? credo basti il tool symantec

Come minimo nel registro sono rimaste le varie CLSID di CINQUE infezioni con Gromozon, aggiungi una da 1 a 5 file **aa.dll in C:\WINDOWS\system32\, tantissimi file temporanei in varie cartelle, e non si sa, se sono stati individuati tutti i file in C:\Programmi\File comuni\
Dopo aver testato 6 varianti diverse di Gromozon in varie combinazioni, ti posso assicurare che solo Avenger non è sufficiente.

[death_star_]

procedo alla scansione prima virit e poi i due tools ...

[death_star_]

rieccomi, questi i log dei tre programmi:

virit:

03/11/2006 - 21:28:35

[SCANSIONE DEL REGISTRO]
OK

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\Programmi\XStyle v2\XStyle.exe Infetto da Backdoor.mIRC.G

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[F:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[G:]


[H:]
BOOT SECTOR: OK


[I:]
BOOT SECTOR: OK


[J:]


Chiavi Registro infette: 0.
Files Infetti: 1.
Files Sospetti: 0.
Files Analizzati: 76580.
Files Totali: 76580.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

----------------------------------------
prevx

l'ultima versione mi da questo messaggio
error: access violation at 0x004045EE(tried to vrite to 0x819B83E8), program terminated


la precedente:
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.

----------------------------------------

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
SeDebugPrivilege acquired

Trojan.Linkoptimizer has not been found on your computer.

-----------------------------------------

non hanno trovato molto, solo il primo, ma non riesco a disinfettarlo ...
è grave o posso lasciarlo?

[BilloKenobi]

pare che il LinkOptimizer sia definitivamente sparito...

per quanto riguarda quel virus, una BackDoor su canale IRC può causare danni consistenti... credo sia inattivo, ma prova a farlo fuori...

per prima cosa disattiva antivirus & co.

1)prima prova con KillBox, inserendo la directory del file(C:\Programmi\XStyle v2\XStyle.exe), poi spuntando l'opzione "Delete on Reboot" e poi cliccando sulla X bianca su cerchio rosso...

il pc dovrebbe riavviarsi, se no fallo tu.

2) se al riavvio il file c'è ancora, prova con questo script per Avenger... le modalità sono le stesse di prima (disabilita ancora antivirus & co.)

Files to delete:
C:\Programmi\XStyle v2\XStyle.exe

riavvia e posta il log che compare all'avvio

dicci se ha funzionato

[death_star_]

si, il file è scomparso, l'applicazione però è diventata impossibile da avviare ..

ho scaricato firefox e l'ho installato, il file di espansione noscript che mi hai consigliato si chiama:

noscript-1.1.4.5.061030-fx+fl+mz+zm.xpi


in quale cartella devo copiarlo ?


durante l'attacco del gromo, l'antivirus mi segnalava come virus anche lpt4.ggj nella cartella C:\WINDOWS\system32, ho controllato ed è ancora li ... non riesco ad eliminarlo
c'è anche un altro file, ma non so se sia un virus, si chiama lpt8.jdr, sempre nella stessa cartella, sono virus? come mai non li riconosce più come tali? c'è un modo per eliminare almeno il primo?

[Amantide]

durante l'attacco del gromo, l'antivirus mi segnalava come virus anche lpt4.ggj nella cartella C:\WINDOWS\system32, ho controllato ed è ancora li ... non riesco ad eliminarlo
c'è anche un altro file, ma non so se sia un virus, si chiama lpt8.jdr, sempre nella stessa cartella, sono virus? come mai non li riconosce più come tali? c'è un modo per eliminare almeno il primo?

Si, anche questi fanno parte di Gromozon, anche se di regola si dovrebbero trovare in C:\Programmi\File comuni\
Per eliminarli devi usare AGVPFIX, il tool della Nod.

[death_star_]

eliminati ... con il tool della nod ..

grazie ...

[death_star_]

scusate, sono di nuovo qui ...

oggi ho eseguito una scansione con virit e questo è il log ...

21/11/2006 - 21:24:50

[SCANSIONE DEL REGISTRO]
{f250d521-225d-4d6b-8829-e064f944e180} Infetto da BHO.Agent.BM

[A:]
BOOT SECTOR: OK


[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

C:\!KillBox\XStyle.exe Infetto da Backdoor.mIRC.G
C:\Programmi\XStyle v2\XStyle.exe Infetto da Backdoor.mIRC.G

[D:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[E:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[F:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


[G:]


[H:]
BOOT SECTOR: OK


[I:]
BOOT SECTOR: OK


[J:]


Chiavi Registro infette: 1.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 85208.
Files Totali: 85208.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.

dopo aver reinstallato X-style si è ripresentato anche il Backdoor, ma quello ormai so come toglierlo, mentre non so come fare per il

{f250d521-225d-4d6b-8829-e064f944e180} Infetto da BHO.Agent.BM

potete aiutarmi? ...

[Amantide]

Questa chiave fa parte di LinkOptimizer, fa il riferimento al file **aa.dll e se il VirIt te l'ha rilevata, vuol dire che è stata già eliminata. Il brutto è che non si sa, se fa parte della vecchia infezione oppure no. Per precauzione fai un altra scansione dalla modalità provvisoria con VirIt e qualche altro tool di rimozione.

[death_star_]

ok, farò un'altra scansione, ma non l'ha rimossa, dopo che è scaduto non le rimuove più ...

provo con i tools ...

[death_star_]

ho eseguito in provvisoria la scansione con il tool symantec e con prevxremovaltool:

questi i risultati:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.2
SeTakeOwnershipPrivilege acquired
SeDebugPrivilege acquired

Trojan.Linkoptimizer has not been found on your computer.


Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.


cosa posso fare? non riconoscono il virus ...