Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

WORM/sdbot.110592.33 e DR/Delphi.Gen

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Rispondi al messaggio

Messaggioda Flipper » dom dic 03, 2006 6:10 pm

Amantide ha scritto:Ma non hai fatto la scansione con antivirus ed antispyware? Hanno rilevato qualcosa? Se nonostante le scansioni hai ancora i problemi, posta il nuovo log di Hijackthis, cosi vediamo cosa è rimasto.


OK!!!...grazie ragazzi, siete veramente gentilissimi ora tra oggi e domani provo nuovamente a fare le scansioni e a ripostarvi i vari log che scaturiranno dopo le scansioni!!
Dovete scusarmi ma ci sono alcuni fattori che remano contro!!.......

1) la mia poca dimestichezza con queste problematiche!
2)la probabile confusione che ho creato....ho scaricato mille antivirus, fatto mille scansioni..forse senza logica
3) il molto tempo che necessita per fare tutto ciò non sempre disponibile!!

Cmqe rinnovo i ringraziamenti che sono veramente meritati............ora vado in modalità provvisoria e scansiono [8D] [8D]
A dopo.....probabilmente domani!!
Ciao
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Flipper » lun dic 04, 2006 11:25 am

Allora, dopo una nottata in scansione con "Active Virus Shield" (circa 17 file infettati rilevati); "AVG anti spyware" (1 file infettato rilevato); "Spybot", "CCleaner", "VirIT" (1 file infettatorilevato) e "ADaware", procedo a "postarvi" il log che ne è scaturito!!!!
Speranzoso che la situazione sia migliorata vi saluto e attendo news!!....tanks

Logfile of HijackThis v1.99.1
Scan saved at 9.11.02, on 04/12/06
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\a-squared Anti-Malware\a2guard.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ARESCOM\Modem Telindus Arescom ND220\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\nicola\Impostazioni locali\Temp\_a_i_g_i_a_c_k_t_h_i_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B1E859A-2AB2-97A5-FFCF-0E8F3F68C248} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKLM\..\Run: [kthxor] epi.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - HKLM\..\RunServices: [kthxor] epi.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CS3\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Programmi\AOL\Active Virus Shield\avp.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: NetLua - Unknown owner - C:\Programmi\File comuni\Microsoft Shared\EBlk.exe (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: winsocks - Unknown owner - C:\WINDOWS\winsocks.exe.exe (file missing)
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Amantide » lun dic 04, 2006 2:20 pm

Prima di tutto dobbiamo eliminare i servizio fasullo. Vai su Start--> Esegui ed esegui uno alla volta questi comandi:
sc stop winsocks
sc delete winsocks
sc stop NetLua
sc delete NetLua

Ora scarica The Avenger, estrai archivio ed avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno della finestra che si apre copia ed incolla queste righe:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\winsocks.exe.exe
C:\WINDOWS\SYSTEM\sys64mnger.exe
C:\Windows\System32\ntsf.exe
C:\Programmi\File comuni\Microsoft Shared\EBlk.exe

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0B1E859A-2AB2-97A5-FFCF-0E8F3F68C248}

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | NTSF MICROSOFT SYSTEM
HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices | NTSF MICROSOFT SYSTEM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | NTSF MICROSOFT SYSTEM
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | sysmngr32
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices | sysmngr32
HKLM\Software\Microsoft\OLE | sysmngr32
HKLM\System\CurrentControlSet\Control\Lsa | sysmngr32
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | sysmngr32
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices | sysmngr32
HKCU\Software\Microsoft\OLE | sysmngr32
HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa | sysmngr32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | kthxor
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices | kthxor

Dopodiche clicca sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondi due volte Yes .

Il pc dovrebbe riavviarsi da solo,se cosi non fosse riavvialo manualmente
Alla fine allegami il log di Avenger che si trova in C:/avenger.txt
Se non ti aiuta nemmeno questo, io mi arrendo.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo
Top
Top

Messaggioda Flipper » lun dic 04, 2006 2:42 pm

Amantide ha scritto:Prima di tutto dobbiamo eliminare i servizio fasullo. Vai su Start--> Esegui ed esegui uno alla volta questi comandi:
sc stop winsocks
sc delete winsocks
sc stop NetLua
sc delete NetLua

Ora scarica The Avenger, estrai archivio ed avvia il file Avenger.exe.
Seleziona l'opzione Input Script Manually, clicca sulla lente di ingrandimento e all'interno della finestra che si apre copia ed incolla queste righe:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:
C:\WINDOWS\winsocks.exe.exe
C:\WINDOWS\SYSTEM\sys64mnger.exe
C:\Windows\System32\ntsf.exe
C:\Programmi\File comuni\Microsoft Shared\EBlk.exe

registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0B1E859A-2AB2-97A5-FFCF-0E8F3F68C248}

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | NTSF MICROSOFT SYSTEM
HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices | NTSF MICROSOFT SYSTEM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | NTSF MICROSOFT SYSTEM
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | sysmngr32
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices | sysmngr32
HKLM\Software\Microsoft\OLE | sysmngr32
HKLM\System\CurrentControlSet\Control\Lsa | sysmngr32
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | sysmngr32
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices | sysmngr32
HKCU\Software\Microsoft\OLE | sysmngr32
HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa | sysmngr32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | kthxor
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices | kthxor

Dopodiche clicca sul pulsante Done, poi 2 volte sull'icona del semaforo verde e rispondi due volte Yes .

Il pc dovrebbe riavviarsi da solo,se cosi non fosse riavvialo manualmente
Alla fine allegami il log di Avenger che si trova in C:/avenger.txt
Se non ti aiuta nemmeno questo, io mi arrendo.


OK!!...grazie mille!!!
Prima di procedere però vorrei chiederti 2 cose

1) tutte le operazioni che mi hai consigliato le effettuo in "modalità provvisoria" o "normale"??

2) Riporto pedissequamente ciò che mi hai scritto in neretto su AVENGER...posso fare anche copi/incolla da ciò che mi hai scritto tu?

Grazie ancora!!!
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Amantide » lun dic 04, 2006 2:50 pm

Si, fai il copia/incolla di ciò che ho scritto. Lo script è meglio eseguire con la connessione internet staccata ed antivirus, antispyware e firewall chiusi. Puoi eseguirlo anche dalla modalità normale.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo
Top

Messaggioda Flipper » lun dic 04, 2006 3:04 pm

Amantide ha scritto:Si, fai il copia/incolla di ciò che ho scritto. Lo script è meglio eseguire con la connessione internet staccata ed antivirus, antispyware e firewall chiusi. Puoi eseguirlo anche dalla modalità normale.


Sono un danno [applauso] !!......non ho atteso la tua risposta ed ho proceduto a fare ciò che mi hai consiglaito....però in linea e con i programmi "aperti"!!.....ora ti posto il log di avenger, poi magari ripeto la procedura come mi hai detto.....ok??
Il log che ti posto è apparso autonomamente ed automaticamente al riavvio del pc, mentre dopo che ho inserito le scritte in neretto su avenger ed ho clickato sul semaforo verde, mi è apparsa questa scritta "syntax error line_ _ _ does not appear to be a valid registry patch. Line will be ignored" e subito dopo "Error code:1813 Line:" ....questi 2 messaggi si sono ripetuti diverse volte!!
Il log è questo....spero sia quello giusto visto com'è apparso, ora vado a vedere se c'è anche dove hai detto tu e magari ti posto anche il log di hijacckthis...a dopo!!.....grazie
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | NTSF MICROSOFT SYSTEM


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\OLE | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa | sysmngr32


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ydepoysg

*******************

Script file located at: \??\C:\WINDOWS\System32\hcdkvcju.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\winsocks.exe.exe not found!
Deletion of file C:\WINDOWS\winsocks.exe.exe failed!

Could not process line:
C:\WINDOWS\winsocks.exe.exe
Status: 0xc0000034



File C:\WINDOWS\SYSTEM\sys64mnger.exe not found!
Deletion of file C:\WINDOWS\SYSTEM\sys64mnger.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM\sys64mnger.exe
Status: 0xc0000034



File C:\Windows\System32\ntsf.exe not found!
Deletion of file C:\Windows\System32\ntsf.exe failed!

Could not process line:
C:\Windows\System32\ntsf.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Microsoft Shared\EBlk.exe not found!
Deletion of file C:\Programmi\File comuni\Microsoft Shared\EBlk.exe failed!

Could not process line:
C:\Programmi\File comuni\Microsoft Shared\EBlk.exe
Status: 0xc0000034

Registry value HKLM\System\CurrentControlSet\Control\Lsa|sysmngr32 deleted successfully.


Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0B1E859A-2AB2-97A5-FFCF-0E8F3F68C248} deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|NTSF MICROSOFT SYSTEM deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices|NTSF MICROSOFT SYSTEM deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sysmngr32 deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|sysmngr32 deleted successfully.
Registry value HKLM\Software\Microsoft\OLE|sysmngr32 deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|kthxor deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|kthxor deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Flipper » lun dic 04, 2006 3:11 pm

Flipper ha scritto://////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | NTSF MICROSOFT SYSTEM


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\OLE | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa | sysmngr32


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ydepoysg

*******************

Script file located at: \??\C:\WINDOWS\System32\hcdkvcju.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\winsocks.exe.exe not found!
Deletion of file C:\WINDOWS\winsocks.exe.exe failed!

Could not process line:
C:\WINDOWS\winsocks.exe.exe
Status: 0xc0000034



File C:\WINDOWS\SYSTEM\sys64mnger.exe not found!
Deletion of file C:\WINDOWS\SYSTEM\sys64mnger.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM\sys64mnger.exe
Status: 0xc0000034



File C:\Windows\System32\ntsf.exe not found!
Deletion of file C:\Windows\System32\ntsf.exe failed!

Could not process line:
C:\Windows\System32\ntsf.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Microsoft Shared\EBlk.exe not found!
Deletion of file C:\Programmi\File comuni\Microsoft Shared\EBlk.exe failed!

Could not process line:
C:\Programmi\File comuni\Microsoft Shared\EBlk.exe
Status: 0xc0000034

Registry value HKLM\System\CurrentControlSet\Control\Lsa|sysmngr32 deleted successfully.


Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0B1E859A-2AB2-97A5-FFCF-0E8F3F68C248} deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|NTSF MICROSOFT SYSTEM deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices|NTSF MICROSOFT SYSTEM deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sysmngr32 deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|sysmngr32 deleted successfully.
Registry value HKLM\Software\Microsoft\OLE|sysmngr32 deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|kthxor deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|kthxor deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Questo è quello che ho trovato zippato in C:avenger.text.....mi pare identitico

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | NTSF MICROSOFT SYSTEM


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Run | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\Microsoft\OLE | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKCU\Software\SYSTEM\CurrentControlSet\Control\Lsa | sysmngr32


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ydepoysg

*******************

Script file located at: \??\C:\WINDOWS\System32\hcdkvcju.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\winsocks.exe.exe not found!
Deletion of file C:\WINDOWS\winsocks.exe.exe failed!

Could not process line:
C:\WINDOWS\winsocks.exe.exe
Status: 0xc0000034



File C:\WINDOWS\SYSTEM\sys64mnger.exe not found!
Deletion of file C:\WINDOWS\SYSTEM\sys64mnger.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM\sys64mnger.exe
Status: 0xc0000034



File C:\Windows\System32\ntsf.exe not found!
Deletion of file C:\Windows\System32\ntsf.exe failed!

Could not process line:
C:\Windows\System32\ntsf.exe
Status: 0xc0000034



File C:\Programmi\File comuni\Microsoft Shared\EBlk.exe not found!
Deletion of file C:\Programmi\File comuni\Microsoft Shared\EBlk.exe failed!

Could not process line:
C:\Programmi\File comuni\Microsoft Shared\EBlk.exe
Status: 0xc0000034

Registry value HKLM\System\CurrentControlSet\Control\Lsa|sysmngr32 deleted successfully.


Could not get size of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Replacement with dummy of registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs failed!
Status: 0xc0000034

Registry key HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0B1E859A-2AB2-97A5-FFCF-0E8F3F68C248} deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|NTSF MICROSOFT SYSTEM deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices|NTSF MICROSOFT SYSTEM deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sysmngr32 deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|sysmngr32 deleted successfully.
Registry value HKLM\Software\Microsoft\OLE|sysmngr32 deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|kthxor deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|kthxor deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

questo è il log di highjacckthis:

Logfile of HijackThis v1.99.1
Scan saved at 14.11.33, on 04/12/06
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\a-squared Anti-Malware\a2guard.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ARESCOM\Modem Telindus Arescom ND220\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\nicola\Impostazioni locali\Temp\_a_i_g_i_a_c_k_t_h_i_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B1CA718-14A2-4630-A97A-6075E33AD262}: NameServer = 213.205.36.70 213.205.32.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CS3\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Programmi\AOL\Active Virus Shield\avp.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

COM'è??.....STIAMO MIGLIORANDO?!?! [cry] [cry]
A dopo!!
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Amantide » lun dic 04, 2006 3:19 pm

Mi sa che non gli è piaciuta l'abbreviazione di HKCU. Ora gli scrivo per intero ed esegui anche questo nuovo script con le chiavi rimaste:

Files to delete:
C:\WINDOWS\system32\sys64mnger.exe

registry values to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | sysmngr32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices | sysmngr32
HKEY_CURRENT_USER\Software\Microsoft\OLE | sysmngr32
HKEY_CURRENT_USER\Software\SYSTEM\CurrentControlSet\Control\Lsa | sysmngr32
HKLM\System\CurrentControlSet\Control\Lsa | sysmngr32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | NTSF MICROSOFT SYSTEM

Alla fine postami il log di Avenger ed il nuovo log di Hijackthis.
Il grosso comunque è stato già eliminato.
Ultima modifica di Amantide il lun dic 04, 2006 4:22 pm, modificato 1 volta in totale.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo
Top

Messaggioda Amantide » lun dic 04, 2006 3:23 pm

Se il log di Avenger sarà altra volta negativa, allora apri il regedit (Start--> Esegui--> regedit) e trova ed elimina i valori indicati dopo la sbarra | nell'ultimo script.
Fixa anche con Hijackthis questa voce:
R3 - Default URLSearchHook is missing
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo
Top

Messaggioda Flipper » lun dic 04, 2006 3:52 pm

Amantide ha scritto:Se il log di Avenger sarà altra volta negativa, allora apri il regedit (Start--> Esegui--> regedit) e trova ed elimina i valori indicati dopo la sbarra | nell'ultimo script.
Fixa anche con Hijackthis questa voce:
R3 - Default URLSearchHook is missing


oooooo.....ma che sei un angelo?!?!
Grazie mille, appena ho un po dio tempo faccio quanto consigliatomi!!...cmqe la situazione è migliorata vero?!?
A poi!!
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Flipper » lun dic 04, 2006 3:56 pm

Flipper ha scritto:oooooo.....ma che sei un angelo?!?!
Grazie mille, appena ho un po dio tempo faccio quanto consigliatomi!!...cmqe la situazione è migliorata vero?!?
A poi!!


scusa, sono un pazzo!!.....è che vado sempre di fretta......poi rileggo e vedo che molte cose me le hai già dette....tipo........"che il grosso è stato già eliminato" (te ne sarò grato da qui all'eternità!! [:-D] [:-D] .......il mazzo di fiori dove te lo faccio recapitare?? [fischio] [fischio] [fischio] )

Invece nn ho capito se devo rientrare in start - esegui e fixare su highjackthis solo se il log di avenger sarà negativo o in ogni caso?!?!
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Amantide » lun dic 04, 2006 4:05 pm

Flipper ha scritto: .......il mazzo di fiori dove te lo faccio recapitare?? [fischio] [fischio] [fischio]

C'è scritto nel mio profilo sul sito [fischio]

Flipper ha scritto:Invece nn ho capito se devo rientrare in start - esegui e fixare su highjackthis solo se il log di avenger sarà negativo o in ogni caso?!?!

A quanto pare The Avenger abbia i problemi a processare le voci del registro che si trovano in HKEY_CURRENT_USER.
Se dopo aver eseguito il nuovo script, ti verrà recapitato altra volta l'errore di Syntax error in line --- does not appear to be a valid registry path , allora dovrai andare nel registro ed eliminare manualmente i valori dello scriipt (ora te lo modifico e segno in rosso la parte che dovrai eliminare, quei valori si trovano nella scheda destra del registro).
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo
Top

Messaggioda Amantide » lun dic 04, 2006 4:26 pm

Ho aggiornato l'ultimo script in quanto prima non avevo notato che un valore non è stato processato ed un valore me l'avevo proprio perso di vista.
Eliminati questi valori, non dovresti più avere i problemi, però ti consiglio di rifare dopo la scansione con VirIT, perché certi processi in esecuzione che c'erano prima potevano impedire la rilevazione dei file infetti, relativi al Gromozon.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo
Top

Messaggioda Flipper » lun dic 04, 2006 4:40 pm

Amantide ha scritto:Ho aggiornato l'ultimo script in quanto prima non avevo notato che un valore non è stato processato ed un valore me l'avevo proprio perso di vista.
Eliminati questi valori, non dovresti più avere i problemi, però ti consiglio di rifare dopo la scansione con VirIT, perché certi processi in esecuzione che c'erano prima potevano impedire la rilevazione dei file infetti, relativi al Gromozon.


mamma mia che macello!!!!........rischio il mal di testa!!!.......e pensa che VirIt l'ho appena disinstallato!!.......seguendo il consiglio di alcuni che alla mia osservazione sul fatto che avevo mille antivirus installati e la velocità del pc, soprattutto in avvio, ne risentiva, mi hanno consigliato di tenere "solo" alarm zone; a-squared; avg antispyware!! e così ho eliminato ad-aware, spybot, antivir e per ultimo orora VirIt!!........vabbè, vorrà dire che lo rinstallerò!!!
domandine.............ho terrore di abusare della tua infinita pazienza!! [:-D] [:-D] .......è che son curioso come una scimmia!!.....anzi come un delfino, da qui flipper....i miei amici mi prendono per i fondelli, mi chiamano flipper delfino curioso!!...ma dimmi tu se uno deve subire certe vessazioni ad una certa età!!.....in effetti ho provato a mettere Nicola, ma evidentemente era già impegnato!!...veniamo al quesito

1) ma software come avenger e anche hijackthis non si installano??....nel senso, si lanciano al momento ma nn sono installati sul pc??

2)al momento non mi vengono altre domande...............vado dal fioraio!!...a dopo!! [8D] [8D]
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Amantide » lun dic 04, 2006 4:47 pm

Hai fatto benissimo a disinstallare tutti quel programmi oramai non più utili. Lascia perdere allora VirIT e fai la scansione solo con il tool di rimozione della Prevx, trovi il link nella guida su rimozione di Gromozon.
1) Si, sono i programmi no-install, per cui li puoi tenere per il futuro... non si sa mai [fischio]

Dopo aver completate le pulizie non dimenticare di postare l'ultimo (spero [:-D] ) log di Hijackthis.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo
Top

Messaggioda Flipper » lun dic 04, 2006 5:10 pm

Amantide ha scritto:Hai fatto benissimo a disinstallare tutti quel programmi oramai non più utili. Lascia perdere allora VirIT e fai la scansione solo con il tool di rimozione della Prevx, trovi il link nella guida su rimozione di Gromozon.
1) Si, sono i programmi no-install, per cui li puoi tenere per il futuro... non si sa mai [fischio]

Dopo aver completate le pulizie non dimenticare di postare l'ultimo (spero [:-D] ) log di Hijackthis.


ok!!..grazie!..non so se però ce la farò a farle oggi (le pulizie di primavera!!).........

1) per "tool di rimozione della Prevx" intendi solo 1 dei software che sono inseriti nella cartella zippata?.....ce ne sono diversi, tu intendi quello che si chiama proprio "TOOls_della_Prevx" vero?

2).....isola del gran sasso mi sembra un po troppo generico perché ti arrivino i fiori!! [fischio] [fischio] [fischio]
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Amantide » lun dic 04, 2006 5:16 pm

Flipper ha scritto:1) per "tool di rimozione della Prevx" intendi solo 1 dei software che sono inseriti nella cartella zippata?.....ce ne sono diversi, tu intendi quello che si chiama proprio "TOOls_della_Prevx" vero?

Si, è quello.

Flipper ha scritto:2).....isola del gran sasso mi sembra un po troppo generico perché ti arrivino i fiori!! [fischio] [fischio] [fischio]

Ehm... nel profilo c'è anche il nome e cognome [fischio] [rolleyes]
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo
Top

Messaggioda Flipper » lun dic 04, 2006 5:33 pm

Amantide ha scritto:
Flipper ha scritto:1) per "tool di rimozione della Prevx" intendi solo 1 dei software che sono inseriti nella cartella zippata?.....ce ne sono diversi, tu intendi quello che si chiama proprio "TOOls_della_Prevx" vero?

Si, è quello.

Flipper ha scritto:2).....isola del gran sasso mi sembra un po troppo generico perché ti arrivino i fiori!! [fischio] [fischio] [fischio]

Ehm... nel profilo c'è anche il nome e cognome [fischio] [rolleyes]


allora ho messo i nuovi "script" con anche le parti rosse in avenger!1....giusto??
Mi sa che però è negativo, ora ti posto il log:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\Software\Microsoft\OLE | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\Software\SYSTEM\CurrentControlSet\Control\Lsa | sysmngr32


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | NTSF MICROSOFT SYSTEM


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\slgmmndi

*******************

Script file located at: \??\C:\dnebjhtp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\sys64mnger.exe not found!
Deletion of file C:\WINDOWS\system32\sys64mnger.exe failed!

Could not process line:
C:\WINDOWS\system32\sys64mnger.exe
Status: 0xc0000034



Could not delete registry value HKLM\System\CurrentControlSet\Control\Lsa|sysmngr32
Deletion of registry value HKLM\System\CurrentControlSet\Control\Lsa|sysmngr32 failed!

Could not process line:
HKLM\System\CurrentControlSet\Control\Lsa|sysmngr32
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

questo invece è highjackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16.28.12, on 04/12/06
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\a-squared Anti-Malware\a2guard.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ARESCOM\Modem Telindus Arescom ND220\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\nicola\Impostazioni locali\Temp\_a_i_g_i_a_c_k_t_h_i_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B1CA718-14A2-4630-A97A-6075E33AD262}: NameServer = 213.205.36.70 213.205.32.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CS3\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Programmi\AOL\Active Virus Shield\avp.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

stanotte o domani metterò in atto l'altra procedura (di riserva [banned] ) giusto??

veramente ho visto solo ora ....entrando in "chi siamo" chi sei, nome ecc!!.......però.................mi sa che te li meriti tutti sti fiori!! [afro] [afro]
Ma è tutto vero quel che c'è scritto, non ho avuto molto temo di "capire" il forum e approfondire i vari aspetti, dovresti vedermi, sembro davvero un pazzo schizzato, passo da una pagina all'altra in modo frenetico, perché sto anche lavorando, però voglio ....anzi vorrei risolvere questo problemino col PC!!....................e mi piacerebbe anche tanto parlare a voce,, a scrivere si perde davvero tanto tempo e tante info utili!!!............ma credo sia imposssibile avere il tuo numero vero??....forse è anche meglkio così, ti tempesterei di domande, son troppo curioso ....come già detto!!
Ancora grazie ed a più tardi!!
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Flipper » lun dic 04, 2006 5:40 pm

ho appena fixato quella voce che mi hai detto

R3 default.....nn ricordo più!!
il log di hijack nuovo è questo:

Logfile of HijackThis v1.99.1
Scan saved at 16.38.28, on 04/12/06
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\a-squared Anti-Malware\a2guard.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ARESCOM\Modem Telindus Arescom ND220\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\nicola\Impostazioni locali\Temp\_a_i_g_i_a_c_k_t_h_i_s.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [a-squared] "C:\Programmi\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B1CA718-14A2-4630-A97A-6075E33AD262}: NameServer = 213.205.36.70 213.205.32.70
O17 - HKLM\System\CS1\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CS2\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O17 - HKLM\System\CS3\Services\Tcpip\..\{7EB2FF6D-D400-41B2-81F3-A3E6AE2EAD1A}: NameServer = 213.205.36.70,213.205.32.70
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - AOL - C:\Programmi\AOL\Active Virus Shield\avp.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

come faccio a cancellare quelle voci in rosso usando star - esegui??.........inserisco le voci un rosso nella maschera esegui e poi??
A poi
Avatar utente
Flipper
Aficionado
Aficionado
 
Messaggi: 46
Iscritto il: lun nov 27, 2006 10:19 am
Top

Messaggioda Amantide » lun dic 04, 2006 5:57 pm

Flipper ha scritto:
stanotte o domani metterò in atto l'altra procedura (di riserva [banned] ) giusto??

Si, Avenger si rifiuta proprio a processare quei valori di registro, quindi dovrai eliminarli per forza a mano.

Intanto vedi se spariscano, fixandoli con Hijackthis.
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe
O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe

Altrimenti apri il regedit (Start--> Esegui--> esegui (digitalo nello spazio bianco)--> OK), segui il percorso del valore da eliminare, espandendo le chiavi, ed eliminalo.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo
Top
PrecedenteProssimo
Rispondi al messaggio

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising