Home News Guide Hardware Download Forum Glossario

Condividi:        

Trojan e Spyware che si rinnovano

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Regole del forum
Rispondi al post

Trojan e Spyware che si rinnovano

Postdi alfplata » 19/03/06 09:02

Buon giorno,
Ad ogni accensione del pc AVG rileva un trojan (sempre diverso) che sistematicamente cancello.
Ho provato con la scansione dell'intero sistema e succede la stessa cosa, li elimino ma si ripresentano, ho provato con spybot che rileva minacce e li cancella ma, sistemativamente riappaiono.
Ho cercato su google un servizio sospetto CSRSS che volevo fermare, nulla.
Vi posto un log di HijackThis nella speranza che qualcuno di Voi possa aiutarmi.
Grazie anticipatamente
p.s. appana cerco di salvare il log si blocca l'applicazione, forse è più grave di quello che pensavo.
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania
Top
Sponsor
 

Re: Trojan e Spyware che si rinnovano

Postdi alfplata » 19/03/06 09:16

alfplata ha scritto:Buon giorno,
Ad ogni accensione del pc AVG rileva un trojan (sempre diverso) che sistematicamente cancello.
Ho provato con la scansione dell'intero sistema e succede la stessa cosa, li elimino ma si ripresentano, ho provato con spybot che rileva minacce e li cancella ma, sistemativamente riappaiono.
Ho cercato su google un servizio sospetto CSRSS che volevo fermare, nulla.
Vi posto un log di HijackThis nella speranza che qualcuno di Voi possa aiutarmi.
Grazie anticipatamente
p.s. appana cerco di salvare il log si blocca l'applicazione, forse è più grave di quello che pensavo.


Dopo tante prove sono riuscito a salvare il log in una cartelle predefinita, non mi consente di fare il salvataggio in posti diversi:

Logfile of HijackThis v1.99.0
Scan saved at 9.10.36, on 19/03/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\dllmgr64.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dllhost.exe
C:\Documents and Settings\Giuseppe\Impostazioni locali\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: LG Sync Manager.lnk.disabled
O4 - Global Startup: LG SyncManager.lnk.disabled
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5376B093-902E-4964-8CDB-022084565163}: NameServer = 213.230.130.222 213.230.155.94
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: dllmgr64 - Unknown - C:\WINDOWS\dllmgr64.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio iPod - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: IrBridge User-Level Interface - Unknown - C:\WINDOWS\system32\usrbridg.exe (file missing)
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania
Top

Postdi fabrizius » 19/03/06 09:40

Ciao,
hai una versione vecchia di hijackthis,scarica la nouvo versione e riposta un log,hijackthis
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55
Top

Postdi alfplata » 19/03/06 10:12

fabrizius ha scritto:Ciao,
hai una versione vecchia di hijackthis,scarica la nouvo versione e riposta un log,hijackthis


Ciao Fabrizius,
Mi si sta progressivamente imballando tutto, non riesco a scaricare il nuovo hijackthis, al salvataggio o all'apertura del file, si blocca l'applicazione e chiudondola perdo anche la connessione ad internet.
Cosa mi consigli, grazie
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania
Top

Postdi fabrizius » 19/03/06 10:29

OK,
Allora comincia ad andare nel task manager (Ctrl+Alt+Del)e termina questo processo:
dllmgr64.exe
Poi Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
cerca ed elimina
C:\WINDOWS\dllmgr64.exe
Poi con hijackthis fixa queste voci:
O4 - Global Startup: LG Sync Manager.lnk.disabled
O4 - Global Startup: LG SyncManager.lnk.disabled
O23 - Service: dllmgr64 - Unknown - C:\WINDOWS\dllmgr64.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) O23 - Service: IrBridge User-Level Interface - Unknown - C:\WINDOWS\system32\usrbridg.exe (file missing)

Dai una ripulita ai files inutili,temp etc...
Fai tasto destro sull'icona IE,--->>proprietà--->>nel Tab Generale,clicca su elimina Cookie e conferma OK,poi clicca su elimina file,metti la spunta a (elimina tutto il contenuto non in linea) e conferma OK
Puoi farti aiutare anche da Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)
Oppure:Assicurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
Vai in:C:\Documents and Settings\xxxxxx\Impostazioni locali\Temporary Internet Files,e svuota tutto il contenuto della cartella,fai la stessa cosa anche con la cartella temp...

Esegui anche questo comando,:start--->>esegui,digita sc delete dllmgr64 e invia
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55
Top

Postdi alfplata » 19/03/06 11:48

fabrizius ha scritto:OK,
Allora comincia ad andare nel task manager (Ctrl+Alt+Del)e termina questo processo:
dllmgr64.exe
Poi Assciurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
cerca ed elimina
C:\WINDOWS\dllmgr64.exe
Poi con hijackthis fixa queste voci:
O4 - Global Startup: LG Sync Manager.lnk.disabled
O4 - Global Startup: LG SyncManager.lnk.disabled
O23 - Service: dllmgr64 - Unknown - C:\WINDOWS\dllmgr64.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) O23 - Service: IrBridge User-Level Interface - Unknown - C:\WINDOWS\system32\usrbridg.exe (file missing)

Dai una ripulita ai files inutili,temp etc...
Fai tasto destro sull'icona IE,--->>proprietà--->>nel Tab Generale,clicca su elimina Cookie e conferma OK,poi clicca su elimina file,metti la spunta a (elimina tutto il contenuto non in linea) e conferma OK
Puoi farti aiutare anche da Ccleaner
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)
Oppure:Assicurati di avere accesso a cartelle e file nascosti
(Pannello di controllo---> Opzioni Cartella ---> Visualizzazione--->metti la spunta su"visualizza file e cartelle nascoste"--->disattiva nascondi file e cartelle di sistema)
Vai in:C:\Documents and Settings\xxxxxx\Impostazioni locali\Temporary Internet Files,e svuota tutto il contenuto della cartella,fai la stessa cosa anche con la cartella temp...

Esegui anche questo comando,:start--->>esegui,digita sc delete dllmgr64 e invia


Innanzitutto grazie per la tua disponibilità,

ho avuto parecchie difficoltà a fermare il processo da te indicato, appena provavo AVG rilevava trojan horse proxy BIH che sistematicamente cancellavo, ma il processo si riattivava.
alla fine penso di esserci riuscito, però spybot mi rileva ancora "minacce", approfitto ancora della tua cortesia e ti invio il log di Spybot.

--- Search result list ---
Windows Explorer: Stream history (2 files) (Chiave di registro, fixed)
HKEY_USERS\S-1-5-21-839522115-706699826-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU

Log: Shutdown: System32\wbem\logs\wmiprov.log (File di backup, fixed)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Log: Activity: SchedLgU.Txt (File di backup, fixing failed)
C:\WINDOWS\SchedLgU.Txt

Log: Shutdown: System32\wbem\logs\winmgmt.log (File di backup, fixed)
C:\WINDOWS\System32\wbem\logs\winmgmt.log

MS Search Assistant: Typed search terms history (Chiave di registro, fixed)
HKEY_USERS\S-1-5-21-839522115-706699826-854245398-1003\Software\Microsoft\Search Assistant\ACMru

Windows Security Center.AntiVirusDisableNotify: Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

Windows Security Center.AntiVirusOverride: Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

Windows Security Center.FirewallDisableNotify: Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

Windows Security Center.FirewallOverride: Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0

Windows Security Center.SP2Update: Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dword:0

Windows Security Center.UpdateDisableNotify: Impostazioni (Modifica al registro, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

Windows.ActiveDesktop: Impostazioni utente (Modifica al registro, fixed)
HKEY_USERS\S-1-5-21-839522115-706699826-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoHTMLWallPaper!=W=1


--- Spybot - Search && Destroy version: 1.3 ---
2006-01-27 Includes\Cookies.sbi
2006-01-27 Includes\Dialer.sbi
2006-01-27 Includes\Hijackers.sbi
2006-01-27 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2006-01-27 Includes\Malware.sbi
2006-01-27 Includes\PUPS.sbi
2006-01-27 Includes\Revision.sbi
2006-01-27 Includes\Security.sbi
2006-01-27 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2006-01-27 Includes\Trojans.sbi


--- System information ---
Windows XP (Build: 2600) Service Pack 1
/ Windows XP / SP1: Windows XP Service Pack 1a
/ Windows XP / SP2: Aggiornamento rapido per Windows XP - KB828741
/ Windows XP / SP2: Aggiornamento rapido per Windows XP - KB833407
/ Windows XP / SP2: Aggiornamento rapido per Windows XP - KB835732
/ Windows XP / SP2: Aggiornamento rapido per Windows XP - KB842773


--- Startup entries list ---
Located: HK_LM:Run, AVG7_CC
command: C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
file: C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
size: 357888
MD5: 679093afd939b3c1b88110ebf859984d

Located: HK_LM:Run, SiS Tray
command: C:\WINDOWS\system32\sistray.EXE
file: C:\WINDOWS\system32\sistray.EXE
size: 303104
MD5: 8d30cba10f1ebd4a871ecb5fb01da064

Located: HK_LM:Run, CHotkey (DISABLED)
command: mHotkey.exe
file: C:\WINDOWS\mHotkey.exe
size: 472576
MD5: ef6cb5858d17f5d7b484db7b78383e93

Located: HK_LM:Run, DataLayer (DISABLED)
command: C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
file: C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
size: 986624
MD5: 9c31d663ad677563f206c9aa2f577217

Located: HK_LM:Run, EPSON Stylus C66 Series (DISABLED)
command: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB002" /M "Stylus C66"
file: C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
size: 99840
MD5: 438f5a247ab69062442462924e92d3b5

Located: HK_LM:Run, iTunesHelper (DISABLED)
command: C:\Programmi\iTunes\iTunesHelper.exe
file: C:\Programmi\iTunes\iTunesHelper.exe
size: 278528
MD5: 2e0e2be7bd6614ea4c86b9ece793e31e

Located: HK_LM:Run, NeroFilterCheck (DISABLED)
command: C:\WINDOWS\system32\NeroCheck.exe
file: C:\WINDOWS\system32\NeroCheck.exe
size: 155648
MD5: 3e4c03cefad8de135263236b61a49c90

Located: HK_LM:Run, PCSuiteTrayApplication (DISABLED)
command: C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
file: C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
size: 148992
MD5: a4919f47cf60fcfea71a372a506dde5e

Located: HK_LM:Run, QuickTime Task (DISABLED)
command: "C:\Programmi\QuickTime\qttask.exe" -atboottime
file: C:\Programmi\QuickTime\qttask.exe
size: 98304
MD5: 76a3a30b58405c2c6d833895253a51a9

Located: HK_LM:Run, SiS KHooker (DISABLED)
command: C:\WINDOWS\System32\khooker.exe
file: C:\WINDOWS\System32\khooker.exe
size: 290816
MD5: ba5a479f4fa1c61a87b87bd92ac88986

Located: HK_LM:Run, SiS Tray (DISABLED)
command: C:\WINDOWS\System32\sistray.EXE
file: C:\WINDOWS\System32\sistray.EXE
size: 303104
MD5: 8d30cba10f1ebd4a871ecb5fb01da064

Located: HK_LM:Run, SiSUSBRG (DISABLED)
command: C:\WINDOWS\sisUSBrg.exe
file: C:\WINDOWS\sisUSBrg.exe
size: 32768
MD5: 73586316bd6976762753767762e46e70

Located: HK_LM:Run, SoundMan (DISABLED)
command: SOUNDMAN.EXE
file: C:\WINDOWS\SOUNDMAN.EXE
size: 46592
MD5: 190ee06f2c9d4e0101bceb363614b6f5

Located: HK_LM:Run, stcinstaller (DISABLED)
command: c:\installer\id53.exe
file: c:\installer\id53.exe
size: 0
MD5: d41d8cd98f00b204e9800998ecf8427e

Located: HK_LM:Run, SunJavaUpdateSched (DISABLED)
command: C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
file: C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
size: 36975
MD5: 61a3a9d5d98bf0331df5b716144a8100

Located: HK_LM:Run, SynTPEnh (DISABLED)
command: C:\Programmi\Synaptics\SynTP\SynTPEnh.exe

Located: HK_LM:Run, SynTPLpr (DISABLED)
command: C:\Programmi\Synaptics\SynTP\SynTPLpr.exe

Located: HK_LM:Run, WheelMouse (DISABLED)
command: C:\E-WHEE~1\wh_exec.exe
file: C:\E-WHEE~1\wh_exec.exe
size: 77824
MD5: 7363e61ce495713c31af52d2ccbbd0eb

Located: HK_CU:Run, CTFMON.EXE (DISABLED)
command: C:\WINDOWS\System32\ctfmon.exe
file: C:\WINDOWS\System32\ctfmon.exe
size: 13312
MD5: 177476265ad4fbfd151a27f74b8da42f

Located: HK_CU:Run, MoneyAgent (DISABLED)
command: "C:\Programmi\Microsoft Money\System\Money Express.exe"
file: C:\Programmi\Microsoft Money\System\Money Express.exe
size: 122944
MD5: 61c60514b4907177a7b6916be85a9186

Located: HK_CU:Run, MSMSGS (DISABLED)
command: "C:\Programmi\Messenger\msmsgs.exe" /background

Located: Esecuzione automatica (comune), BTTray.lnk
command: C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
file: C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
size: 360509
MD5: fe7c3a127a91b42adadfaaef317c459a



--- Browser helper object list ---


--- ActiveX list ---
{33564D57-9980-0010-8000-00AA00389B71} ()
DPF name:
CLSID name:
description: Microsoft WMV Video Codec
classification: Legitimate
known filename: WMV9DMO.CAB
info link:
info source: Patrick M. Kolla

{556DDE35-E955-11D0-A707-000000521957} ()
DPF name:
CLSID name:

{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control)
DPF name:
CLSID name: BDSCANONLINE Control
Path: C:\WINDOWS\DOWNLO~1\
Long name: oscan8.ocx
Short name:
Date (created): 09/03/2005 15.40.44
Date (last access): 18/03/2006 23.11.58
Date (last write): 09/03/2005 15.40.44
Filesize: 475136
Attributes: archive
MD5: 38F3695A3824342E29703D28404B121A
CRC32: AD9D0B16
Version: 0.1.0.0

{6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5)
DPF name:
CLSID name: Housecall ActiveX 6.5
Path: C:\WINDOWS\Downloaded Program Files\
Long name: Housecall_ActiveX.dll
Short name: HOUSEC~1.DLL
Date (created): 16/01/2006 16.27.16
Date (last access): 18/03/2006 23.11.56
Date (last write): 16/01/2006 16.27.16
Filesize: 347136
Attributes: archive
MD5: D6DF1E562EEA41CE919CBC7E2F761CB5
CRC32: A0FFAC11
Version: 0.6.0.5

{8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0)
DPF name: Java Runtime Environment 1.5.0
CLSID name: Java Plug-in 1.5.0_06
description: Sun Java
classification: Legitimate
known filename: %PROGRAM FILES%\JabaSoft\JRE\*\Bin\npjava131.dll
info link:
info source: Patrick M. Kolla
Path: C:\Programmi\Java\jre1.5.0_06\bin\
Long name: NPJPI150_06.dll
Short name: NPJPI1~1.DLL
Date (created): 10/11/2005 13.03.56
Date (last access): 18/03/2006 23.04.30
Date (last write): 10/11/2005 13.22.10
Filesize: 69746
Attributes: archive
MD5: D2CF6BB5E9020E6707B62575F8083954
CRC32: 7F39DC54
Version: 0.5.0.0

{9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class)
DPF name:
CLSID name: ActiveScan Installer Class
Path: C:\WINDOWS\Downloaded Program Files\
Long name: asinst.dll
Short name:
Date (created): 19/12/2005 13.35.32
Date (last access): 19/03/2006 10.32.24
Date (last write): 19/12/2005 13.35.32
Filesize: 135168
Attributes: archive
MD5: 20C07B231040B49AFCE82397BFC35F9C
CRC32: 9301377D
Version: 0.58.0.4

{B1826A9F-4AA0-4510-BA77-9013E74E4B9B} ()
DPF name:
CLSID name:

{CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0)
DPF name: Java Runtime Environment 1.5.0
CLSID name: Java Plug-in 1.5.0
Path: C:\Programmi\Java\jre1.5.0\bin\
Long name: NPJPI150.dll
Short name:
Date (created): 12/01/2006 22.29.30
Date (last access): 18/03/2006 23.03.00
Date (last write): 12/01/2006 22.29.30
Filesize: 69740
Attributes: archive
MD5: D25BB4762A876A3DBF6F2BAA36A179FA
CRC32: 9367234B
Version: 0.1.0.5

{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0)
DPF name: Java Runtime Environment 1.5.0
CLSID name: Java Plug-in 1.5.0_06
Path: C:\Programmi\Java\jre1.5.0_06\bin\
Long name: NPJPI150_06.dll
Short name: NPJPI1~1.DLL
Date (created): 10/11/2005 13.03.56
Date (last access): 19/03/2006 11.28.12
Date (last write): 10/11/2005 13.22.10
Filesize: 69746
Attributes: archive
MD5: D2CF6BB5E9020E6707B62575F8083954
CRC32: 7F39DC54
Version: 0.5.0.0

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0)
DPF name: Java Runtime Environment 1.5.0
CLSID name: Java Plug-in 1.5.0_06
Path: C:\Programmi\Java\jre1.5.0_06\bin\
Long name: NPJPI150_06.dll
Short name: NPJPI1~1.DLL
Date (created): 10/11/2005 13.03.56
Date (last access): 19/03/2006 11.28.12
Date (last write): 10/11/2005 13.22.10
Filesize: 69746
Attributes: archive
MD5: D2CF6BB5E9020E6707B62575F8083954
CRC32: 7F39DC54
Version: 0.5.0.0

{D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)
DPF name:
CLSID name: Shockwave Flash Object
description: Macromedia Shockwave Flash Player
classification: Legitimate
known filename:
info link:
info source: Patrick M. Kolla
Path: C:\WINDOWS\System32\Macromed\Flash\
Long name: Flash8.ocx
Short name:
Date (created): 27/08/2005 13.38.56
Date (last access): 19/03/2006 10.20.16
Date (last write): 27/08/2005 13.38.56
Filesize: 1435272
Attributes: archive
MD5: 900373C059C2B51CA91BF110DBDECB33
CRC32: F19599BC
Version: 0.8.0.0



--- Process list ---
Spybot - Search && Destroy process list report, 19/03/2006 11.28.12

PID: 0 ( 0) [System]
PID: 4 ( 0) System
PID: 156 (2000) C:\WINDOWS\Explorer.EXE
PID: 212 ( 156) C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
PID: 388 ( 156) C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
PID: 424 ( 156) C:\WINDOWS\system32\sistray.EXE
PID: 444 ( 156) C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
PID: 480 ( 4) \SystemRoot\System32\smss.exe
PID: 528 ( 480) csrss.exe
PID: 552 ( 480) \??\C:\WINDOWS\system32\winlogon.exe
PID: 596 ( 552) C:\WINDOWS\system32\services.exe
PID: 608 ( 552) C:\WINDOWS\system32\lsass.exe
PID: 776 ( 596) C:\WINDOWS\system32\svchost.exe
PID: 800 ( 596) C:\WINDOWS\System32\svchost.exe
PID: 828 ( 776) C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
PID: 880 ( 596) svchost.exe
PID: 892 ( 596) svchost.exe
PID: 1152 ( 596) C:\WINDOWS\system32\spoolsv.exe
PID: 1248 ( 596) alg.exe
PID: 1260 ( 596) C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
PID: 1280 ( 596) C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
PID: 1292 ( 596) C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
PID: 1312 ( 596) C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
PID: 1440 ( 596) C:\WINDOWS\System32\svchost.exe
PID: 1808 ( 212) C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10MT2.EXE


--- Browser start & search pages list ---
Spybot - Search && Destroy browser pages report, 19/03/2006 11.28.12

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
C:\WINDOWS\System32\blank.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
http://search.msn.com/spbasic.htm
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
http://www.libero.it/
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page
%SystemRoot%\system32\blank.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page
http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page
about:blank
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


--- Winsock Layered Service Provider list ---
Protocol 0: MSAFD Irda [IrDA]
GUID: {3972523D-2AF1-11D1-B655-00805F3642CC}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Infrared protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Irda [IrDA]

Protocol 1: MSAFD Tcpip [TCP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip [*]

Protocol 2: MSAFD Tcpip [UDP/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip [*]

Protocol 3: MSAFD Tcpip [RAW/IP]
GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP IP protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD Tcpip [*]

Protocol 4: RSVP UDP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 5: RSVP TCP Service Provider
GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
Filename: %SystemRoot%\system32\rsvpsp.dll
Description: Microsoft Windows NT/2k/XP RVSP
DB filename: %SystemRoot%\system32\rsvpsp.dll
DB protocol: RSVP * Service Provider

Protocol 6: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DDACB1E6-0077-490F-A18C-EDDA398E0F7D}] SEQPACKET 7
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 7: MSAFD NetBIOS [\Device\NetBT_Tcpip_{DDACB1E6-0077-490F-A18C-EDDA398E0F7D}] DATAGRAM 7
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 8: MSAFD NetBIOS [\Device\NetBT_Tcpip_{940445F7-250A-4B9D-847B-15EE0FCEAB5C}] SEQPACKET 6
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 9: MSAFD NetBIOS [\Device\NetBT_Tcpip_{940445F7-250A-4B9D-847B-15EE0FCEAB5C}] DATAGRAM 6
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 10: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5540D6A5-9CCB-42D1-9BF2-444494BA3A98}] SEQPACKET 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 11: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5540D6A5-9CCB-42D1-9BF2-444494BA3A98}] DATAGRAM 0
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{06BDD3FB-5ED8-4164-B1E5-8AFA7524C798}] SEQPACKET 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 13: MSAFD NetBIOS [\Device\NetBT_Tcpip_{06BDD3FB-5ED8-4164-B1E5-8AFA7524C798}] DATAGRAM 1
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 14: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C914E51-893D-4788-B4DB-F45884B4764F}] SEQPACKET 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 15: MSAFD NetBIOS [\Device\NetBT_Tcpip_{1C914E51-893D-4788-B4DB-F45884B4764F}] DATAGRAM 2
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 16: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0C1E0116-2AFD-4D98-B087-7AFAB74014B0}] SEQPACKET 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 17: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0C1E0116-2AFD-4D98-B087-7AFAB74014B0}] DATAGRAM 3
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 18: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B858BD05-5575-41A5-A490-EEB800D7FFF5}] SEQPACKET 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 19: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B858BD05-5575-41A5-A490-EEB800D7FFF5}] DATAGRAM 4
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 20: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5376B093-902E-4964-8CDB-022084565163}] SEQPACKET 5
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Protocol 21: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5376B093-902E-4964-8CDB-022084565163}] DATAGRAM 5
GUID: {8D5F1830-C273-11CF-95C8-00805F48A192}
Filename: %SystemRoot%\system32\mswsock.dll
Description: Microsoft Windows NT/2k/XP NetBios protocol
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: MSAFD NetBIOS *

Namespace Provider 0: Tcpip
GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP TCP/IP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: TCP/IP

Namespace Provider 1: NTDS
GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
Filename: %SystemRoot%\System32\winrnr.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\winrnr.dll
DB protocol: NTDS

Namespace Provider 2: Spazio dei nomi NLA (Network Location Awareness)
GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
Filename: %SystemRoot%\System32\mswsock.dll
Description: Microsoft Windows NT/2k/XP name space provider
DB filename: %SystemRoot%\system32\mswsock.dll
DB protocol: NLA-Namespace
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania
Top

Postdi fabrizius » 19/03/06 12:30

ciao,quali sono i problemi che hai ancora attualmente? Prova a fare una scansione del tuo pc in modalità provvisoria,sia con Spybot che con il tuo antivirus,ma adesso riesci a scaricare la versione aggiornata di Hijackthis?
dovresti anche fare assolutamente l'aggiornamento del tuo sistema,di IE e del service pack,poi dovresti anche installare un firewall....cerca di fare queste operazioni e poi posta un log aggiornato con la nuova versione di hijackthis
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55
Top

Postdi alfplata » 19/03/06 12:51

fabrizius ha scritto:ciao,quali sono i problemi che hai ancora attualmente? Prova a fare una scansione del tuo pc in modalità provvisoria,sia con Spybot che con il tuo antivirus,ma adesso riesci a scaricare la versione aggiornata di Hijackthis?
dovresti anche fare assolutamente l'aggiornamento del tuo sistema,di IE e del service pack,poi dovresti anche installare un firewall....cerca di fare queste operazioni e poi posta un log aggiornato con la nuova versione di hijackthis


Ciao,
si adesso sono riuscito a scaricare il nuovo Hijackthis, ma ho spesso errori di applicazioni di IE che mi chiudono il programma, inoltre dalla barra degli indirizzi non mi consente di digitare lindirizzo omettendo http:// come era prima, farò tutto quello che hai chiesto e dopo se puoi ci risentiamo.
Ciao grazie
alfplata
Utente Junior
 
Post: 27
Iscritto il: 09/02/06 15:56
Località: Catania
Top

Postdi fabrizius » 19/03/06 13:05

ok,ti metto i link di cosa dovresti installare:
Firewall
ZoneAlarm
--->Free e in italiano--->Guida all'uso
oppure
Kerio
--->Free e in italiano--->Guida all'uso

Poi ti consiglio anche queste protezioni:
SpywareBlaster--->FREE!
--->Guida all'uso
CWShredder--->FREE!
--->Guida all'uso

Ottimo antimalware
Ewido
PS:é shareware ma dopo i 14 gg di prova,smetterà di funzionare solo la protezione in tempo reale, il programma potrai continuare ad aggiornarlo per fare lo scan del tuo pc.

Scarica anche Ccleaner per eliminare i files inutili,temp etc..
PS:prima di usarlo vai in opzioni--->avanzate e togli la spunta da:(elimina file solo se piu vecchi di 48 ore)

Dovresti fare anche il windows update
Se poi non vuoi installare il Service Pack2 vai in questa pagina e installa almeno gli ultimi aggiornamenti per data di uscita
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55
Top

Postdi Luke57 » 19/03/06 14:00

Ciao, Fabrizio
@ alfaplata
hai eseguito tutte le operazioni suggerite? Non ho capito se dllmgr64.exe è stato eliminato. Prova a scaricare stinger 260 da qui:
http://vil.nai.com/vil/stinger/
fai una scansione dalla modalità provvisoria ( è un programma standalone, non ha bisogno di essere installato, lo scarichi e lo esegui)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10
Top
Rispondi al post

Torna a Sicurezza e Privacy


Topic correlati a "Trojan e Spyware che si rinnovano":

Pc infetto da trojan sicuranza
Autore: dayfreeman 		Forum: Sistemi Operativi Windows
Risposte: 26
mi hanno messo uno spyware o un virus, voglio denunciarli!
Autore: demonark 		Forum: Sicurezza e Privacy
Risposte: 1
spyware
Autore: babart 		Forum: Sicurezza e Privacy
Risposte: 1
trojan win32/sirefef
Autore: marzianu 		Forum: Sicurezza e Privacy
Risposte: 27
Spyware che non va via
Autore: libelloso 		Forum: Sicurezza e Privacy
Risposte: 6

Chi c’è in linea

Visitano il forum: Nessuno e 42 ospiti