www.MegaLab.it

[gatun69]

Ho un grosso problema appena accendo il pc mi appare una finestra nel centro schermo con scritto:
WARNING ! SPYWARE DETECTED ON YOUR COMPUTER!
INSTALL AN ANTIVIRUS OR SPYWARE REMOVER TO CLEAN YOUR COMPUTER.
Karspesky non è riuscito a fare nulla e invece Norman ha rilevato in C:\WINDOWS\sistem32\pphclw9j0e17j.exe ma a metà della scansione si spegne tutto e si riavvia con il controllo del file system.

Ho anche notato che si è autoinstallato un programma Antivirus Xp 2008 che ritengo non sia un antivirus.

Mi potete aiutare???????

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.00.30, on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Acer\Notebook Manager\almxptray.exe
C:\Programmi\Launch Manager\LaunchAp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\Launch Manager\PowerKey.exe
C:\Programmi\Launch Manager\HotkeyApp.exe
C:\Programmi\Launch Manager\CtrlVol.exe
C:\Programmi\Launch Manager\Wbutton.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programmi\ltmoh\Ltmoh.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\GSICON.EXE
C:\Programmi\Lexmark X1100 Series\lxbkbmon.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Scansoft\PaperPort\pptd40nt.exe
C:\Programmi\USB Disk Win98 Driver\Res.EXE
C:\Programmi\rhcgw9j0e17j\rhcgw9j0e17j.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\pphclw9j0e17j.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Scansoft\PaperPort\SmartUI\SmartUI.exe
C:\Documents and Settings\scherini massimo\Desktop\Norman_Malware_Cleaner.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Documents and Settings\scherini massimo\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {57DF73C0-833C-48B7-9146-1E18930D57FF} - (no file)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {A1A84236-59B0-4807-9108-11B0116C0056} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmi\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programmi\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Programmi\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmi\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmi\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmi\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programmi\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programmi\Brother\BRMFLPRO\BrDefPrt.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programmi\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [lphclw9j0e17j] C:\WINDOWS\system32\lphclw9j0e17j.exe
O4 - HKLM\..\Run: [SMrhcgw9j0e17j] C:\Programmi\rhcgw9j0e17j\rhcgw9j0e17j.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SmartUI.lnk = ?
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: opNfecBq - C:\WINDOWS\
O20 - Winlogon Notify: winheb32 - C:\WINDOWS\
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8513 bytes

[ste_95]

Seleziona a sinistra queste voci e premi in basso il pulsante Fix Checked:

O4 - HKLM\..\Run: [lphclw9j0e17j] C:\WINDOWS\system32\lphclw9j0e17j.exe
O4 - HKLM\..\Run: [SMrhcgw9j0e17j] C:\Programmi\rhcgw9j0e17j\rhcgw9j0e17j.exe
O20 - Winlogon Notify: opNfecBq - C:\WINDOWS\
O20 - Winlogon Notify: winheb32 - C:\WINDOWS\

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\lphclw9j0e17j.exe

Folders to delete:
C:\Programmi\rhcgw9j0e17j

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.

[gatun69]

Sono riuscito........

Inizialmente si bloccava perché era attivo Karspesky e mi diceva che Avanger era infetto e chiudeva tutto.
Ma disabilitando Karspesky e utilizzando la veione vecchia di Avanger ho risolto.

Grazie e buon ferragosto...................

[ste_95]

Grazie e buon ferragosto...................

Buon ferragosto anche a te!

[filippo79]

Ho lo stesso tipo di finestra e di virus e nulla....aiutate anche me?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:13, on 04/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Programmi\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Cyberlink\Shared files\RichVideo.exe
E:\Programmi\Spyware Doctor\pctsAuxs.exe
E:\Programmi\Spyware Doctor\pctsSvc.exe
C:\Documents and Settings\All Users\Dati applicazioni\glerkzmt\kxkrkbwj.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Programmi\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programmi\PeerGuardian2\pg2.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\mom.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\Alwil Software\Avast4\ashSimpl.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\Enigma Software Group\SpyHunter\SpyHunter3.exe
E:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.defaulthomepage.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll
O2 - BHO: (no name) - {0CD5A04D-38B1-4709-AE45-9630C342D53C} - (no file)
O2 - BHO: (no name) - {1FBC6925-90A0-404E-83E6-F0FBCC7AD034} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Programmi\Real player\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {46DC3886-147E-483E-8E6F-9607FFC1A0C1} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {74CE56FF-3469-47C0-93E1-D0CB8B203EA9} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {B7A0DD71-8318-42E2-9E1E-4CFFC8F0AB8F} - (no file)
O2 - BHO: (no name) - {E93B9A90-9619-49C6-BB8E-9D9D155C407C} - (no file)
O2 - BHO: (no name) - {E9AD6F89-C21B-4B96-9E49-CAC6D7483AD3} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - E:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISTray] "E:\Programmi\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC977] cmd /c del "C:\WINDOWS\SchedLgU.Txt"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] E:\Programmi\PeerGuardian2\pg2.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD1543] cmd /c del "C:\WINDOWS\SchedLgU.Txt"
O4 - HKCU\..\RunOnce: [gi1700347235] "C:\DOCUME~1\Filippo\IMPOST~1\Temp\giU6U0HJ.exe" /resume:"C:\DOCUME~1\Filippo\IMPOST~1\Temp\32U6TUIG" /exename:"C:\Documents and Settings\Filippo\Desktop\Free-SpyHunter-Scanner-Install.exe"
O4 - HKLM\..\Policies\Explorer\Run: [1Hqcx0CU9N] C:\Documents and Settings\All Users\Dati applicazioni\glerkzmt\kxkrkbwj.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se9563.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51A34338-6BCE-4CC9-A48F-945D471F31CC}: NameServer = 85.37.17.47 85.38.28.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{51A34338-6BCE-4CC9-A48F-945D471F31CC}: NameServer = 85.37.17.47 85.38.28.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O21 - SSODL: endscchk - {276B9B44-8396-16E7-1FD9-07653439F656} - C:\Programmi\ftaxemd\endscchk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\Cyberlink\Shared files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe

--
End of file - 9558 bytes

Grazie in anticipo

[ste_95]

In hijackthis seleziona a sinistra queste voci e premi in basso il pulsante Fix Checked:

O2 - boh: (no name) - {0CD5A04D-38B1-4709-AE45-9630C342D53C} - (no file)
O2 - boh: (no name) - {1FBC6925-90A0-404E-83E6-F0FBCC7AD034} - (no file)
O2 - boh: (no name) - {46DC3886-147E-483E-8E6F-9607FFC1A0C1} - (no file)
O2 - boh: (no name) - {74CE56FF-3469-47C0-93E1-D0CB8B203EA9} - (no file)
O2 - boh: (no name) - {B7A0DD71-8318-42E2-9E1E-4CFFC8F0AB8F} - (no file)
O2 - boh: (no name) - {E93B9A90-9619-49C6-BB8E-9D9D155C407C} - (no file)
O2 - boh: (no name) - {E9AD6F89-C21B-4B96-9E49-CAC6D7483AD3} - (no file)
O4 - HKLM\..\RunOnce: [SpybotDeletingC977] cmd /c del "C:\Windows\SchedLgU.Txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1543] cmd /c del "C:\Windows\SchedLgU.Txt"
O4 - HKCU\..\RunOnce: [gi1700347235] "C:\DOCUME~1\Filippo\IMPOST~1\Temp\giU6U0HJ.exe" /resume:"C:\DOCUME~1\Filippo\IMPOST~1\Temp\32U6TUIG" /exename:"C:\Documents and Settings\Filippo\Desktop\Free-SpyHunter-Scanner-Install.exe"
O4 - HKLM\..\policy\Explorer\Run: [1Hqcx0CU9N] C:\Documents and Settings\All Users\Dati applicazioni\glerkzmt\kxkrkbwj.exe

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\DOCUME~1\Filippo\IMPOST~1\Temp\giU6U0HJ.exe
C:\DOCUME~1\Filippo\IMPOST~1\Temp\32U6TUIG
C:\Documents and Settings\Filippo\Desktop\Free-SpyHunter-Scanner-Install.exe

Folders to delete:
C:\Documents and Settings\All Users\Dati applicazioni\glerkzmt

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.

Poi, fai scansionare su www.virustotal.com il file C:\Programmi\ftaxemd\endscchk.dll e postane il resoconto.

[ballacoilupi72]

sai anche io ho kaspersky 2009 e andando su un sito mi è successo come te: mi si aperta la pagina con l'avviso come il tuo...
con l'icona uguale a quella del centro sicurezza pc di windows sempre presente...
il brutto è che kaspersky non ha trovato il malware responsabile (presente su un sito) e in più, quando è partito il suo controllo sull'applicazione che si è nel frattempo attivata ( servizio a.exe e un altro che non ricordo) non ha rilevato nulla e ha lasciato concludere il setup...
che non lo avesse riconosciuto in realtime ci può stare, ma strano che il controllo proattivo lo abbia lasciato installare perché riconosciuta come applicazione attendibile...

[Pct]

sai anche io ho kaspersky 2009 e andando su un sito mi è successo come te: mi si aperta la pagina con l'avviso come il tuo...
con l'icona uguale a quella del centro sicurezza PC di Windows sempre presente...
il brutto è che kaspersky non ha trovato il malware responsabile (presente su un sito) e in più, quando è partito il suo controllo sull'applicazione che si è nel frattempo attivata ( servizio a.exe e un altro che non ricordo) non ha rilevato nulla e ha lasciato concludere il setup...
che non lo avesse riconosciuto in realtime ci può stare, ma strano che il controllo proattivo lo abbia lasciato installare perché riconosciuta come applicazione attendibile...

con questa Kaspersky continua a convincermi sempre meno . è ormai da un po' di tempo che sono aumentati in giro per la rete gli utenti Kaspersky con problemi virus; sta versione 2009 non sembra poi chissà cosa

[ballacoilupi72]

..beh ti posso dire che l'unica cosa realmente peggiorata di kaspersky 2009 è il firewall completamente rivisitato per politiche aziendali o di marketing...
l' antivirus in se è lo stesso identico dell'anno scorso, il suo potere di rilevamento o di pulizia è lo stesso...hanno ridotto un po' i pannelli di configurazione e settaggio, per qualche automatismo in più ( ricordate il settaggio per il rapporto ottimale capacità di protezione / impatto sul sistema? adesso è più automatizzato!) ma non credo faccia la differenza in termini di rilevamento e pulizia ...euristica e database sono sempre quelli...

[Pct]

Eppure è da un po' di tempo ormai che vedo in internet aumentare gli utenti Kaspersky che prendono virus. Il programma purtroppo non l'ho provato personalmente, perché ormai il mio pc è talmente mal messo che non posso più installarci nulla di troppo impegnativo,e quidni non posso dare giudizi basati su esperienza personale. Non dubito che si ancora buono, ma non mi sembra più l'antivirus quasi infallibile di un tempo. Credo che ormai Avira Antivir Premium lo abbia superato in rilevazione delle minacce.

[filippo79]

Ecco il risultato scansione di virus total

File endscchk.dll ricevuto il 2008.09.16 18:25:44 (CET)
Stato corrente: Carico ... in coda attesa scansione finito NON TROVATO INTERROTTO
Risultato: 1/36 (2.78%)
Carico informazioni server...
Il tuo file è in coda in posizione: 1.
Tempo stimato inizio tra 37 e 53 secondi.
Non chiudere la finestra fino al termine della scansione.
Lo scanner che stava processando il tuo file si è fermato in questo momento, stiamo aspettando alcuni secondi per tentare di recuperare i tuoi risultati.
Se stai aspettando da più di cinque minuti devi rimandare il tuo file.
VirusTotal sta controllando il tuo file in questo momento,
i risultati saranno visualizzati mentre vengono generati.
Formattato Formattato
Stampa risultati Stampa risultati
Il tuo file è scaduto o non esiste.
Il servizio è fermo in questo momento, il tuo file sta aspettando di essere controllato (posizione: ) da un tempo indefinito.

Puoi aspettare la risposta sul web (ricarico automatico) o digitare il tuo indirizzo email nel riquadro qui sotto e premere "richiesta" così il sistema ti invierà una notifica al termine della scansione.
Email:

Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2008.9.13.0 2008.09.16 -
AntiVir 7.8.1.28 2008.09.16 -
Authentium 5.1.0.4 2008.09.16 -
Avast 4.8.1195.0 2008.09.15 -
AVG 8.0.0.161 2008.09.16 -
BitDefender 7.2 2008.09.16 -
CAT-QuickHeal 9.50 2008.09.16 -
ClamAV 0.93.1 2008.09.16 -
DrWeb 4.44.0.09170 2008.09.16 -
eSafe 7.0.17.0 2008.09.15 -
eTrust-Vet 31.6.6090 2008.09.15 -
Ewido 4.0 2008.09.16 -
F-Prot 4.4.4.56 2008.09.16 -
F-Secure 8.0.14332.0 2008.09.16 -
Fortinet 3.113.0.0 2008.09.16 -
GData 19 2008.09.16 -
Ikarus T3.1.1.34.0 2008.09.16 -
K7AntiVirus 7.10.458 2008.09.16 -
Kaspersky 7.0.0.125 2008.09.16 -
McAfee 5384 2008.09.16 -
Microsoft 1.3903 2008.09.16 -
NOD32v2 3446 2008.09.16 -
Norman 5.80.02 2008.09.16 -
Panda 9.0.0.4 2008.09.16 -
PCTools 4.4.2.0 2008.09.16 -
Prevx1 V2 2008.09.16 -
Rising 20.62.12.00 2008.09.16 -
Sophos 4.33.0 2008.09.16 Mal/EncPk-DG
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.16 -
TheHacker 6.3.0.9.084 2008.09.15 -
TrendMicro 8.700.0.1004 2008.09.16 -
VBA32 3.12.8.5 2008.09.16 -
ViRobot 2008.9.16.1377 2008.09.16 -
VirusBuster 4.5.11.0 2008.09.16 -
Webwasher-Gateway 6.6.2 2008.09.16 -
Informazioni addizionali
File size: 122880 bytes
MD5...: f9526f4e3f3ff417040cd2fc02bf006e
SHA1..: 874f208cf36babe78aae0d9f12d2bb0af0152d3c
SHA256: f8024b8fd38b35f6ef28405773313fce00030eea031a1b56433e16ac59ae2f09
SHA512: d85dc1edbce493626a351a6c4e1adc34057e5fd815fc109d0b8491ff32a3a4e4
089ff514ca05fcec49767e2a35dd8754402813d8e5d859fbd530895a538d24e7
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001a39
timedatestamp.....: 0x48ba8848 (Sun Aug 31 12:02:16 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.xwfzux 0x1000 0x18ba4 0x19000 6.91 9966da1fe8646383fba73f64c2cb1e3a
.dvceg 0x1a000 0x893 0x1000 3.48 37d3643fed5da190f025a697c26d6635
.kbexxk 0x1b000 0x1fc0 0x1000 0.54 83adcbe201b1629a26337f5aea23f3e0
.reloc 0x1d000 0x1982 0x2000 6.02 88a7a20d7dfe59bfdb424c222ed9195e

( 4 imports )
> KERNEL32.dll: WaitForSingleObject, LoadLibraryW, CreateProcessW, FindFirstFileW, SizeofResource, CancelWaitableTimer, GlobalAlloc, ResetEvent, FindNextFileW, GetSystemTime, WritePrivateProfileStringW, FindResourceExW, GetCurrentThreadId, CreateThread, CreateEventW, GetCurrentProcess, SetThreadPriority, FindNextChangeNotification, GlobalFree, SetEndOfFile, GetDriveTypeW, WideCharToMultiByte, MultiByteToWideChar, SetWaitableTimer, GlobalDeleteAtom, MulDiv, LoadLibraryA, GetProcAddress, SetCurrentDirectoryW, SetEvent, WaitForMultipleObjects, GetPrivateProfileStringW, DuplicateHandle
> USER32.dll: DefWindowProcW, PostMessageW, LoadStringW, GetParent, SetWindowTextW, RedrawWindow, SetDlgItemTextW, GetWindowRect, DispatchMessageW, TrackPopupMenu, GetDlgItem, DestroyMenu, GetMessageW, RegisterWindowMessageW, FillRect, IsDlgButtonChecked, SystemParametersInfoW, GetClassNameW, RegisterHotKey, MessageBoxW, UpdateWindow, GetKeyState, DestroyIcon
> GDI32.dll: DeleteObject, CreateCompatibleDC, BitBlt, GetMapMode, SetBkMode, StretchBlt, GetObjectW, GetClipBox, DeleteDC
> ADVAPI32.dll: GetUserNameW, RegDeleteValueW, RegOpenKeyExW, RegCloseKey, RegSetValueExW, InitializeSecurityDescriptor, RegQueryValueExW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

[ste_95]

Seleziona a sinistra queste voci e premi in basso il pulsante Fix Checked:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.defaulthomepage.info
O4 - HKLM\..\Run: [lphctokj0etbn] C:\WINDOWS\system32\lphctokj0etbn.exe
O20 - Winlogon Notify: jkkLCUkK - C:\WINDOWS\
O20 - Winlogon Notify: tuvSihgg - C:\WINDOWS\
O21 - SSODL: endscchk - {276B9B44-8396-16E7-1FD9-07653439F656} - C:\Programmi\ftaxemd\endscchk.dll

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\lphctokj0etbn.exe

Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Prova a riscrivere manualmente la prima riga (Files to delete:) ricordando i due punti. Se il problema persiste prova con la vecchia versione di Avenger.

[filippo79]

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\WINDOWS\system32\lphctokj0etbn.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Nulla!!!! provo con la vecchia versione di Avenger

[kap]

File "C:\WINDOWS\system32\lphctokj0etbn.exe" deleted successfully.

Nulla!!!! provo con la vecchia versione di Avenger

Come nulla?? Il file è stato eliminato!

[ste_95]

Come nulla?? Il file è stato eliminato!

Già... Hai ancora problemi?

[filippo79]

Eh già...quella maledetta finestra resta sul desktop e non vuole andarsene....
Grazie...ha fatto veramente molto...forse si è insidiato da qualche altra parte e non c'è antivirus o antispyware che lo elimini...ne ho installati almeno 3-4
Boh????!!!!

[Amantide]

Prova a fare la scansione con ComboFix. Prima di avviarlo ricordati di disattivare l'antivirus ed antispyware.