Condividi:        

icona instant access sul desktop e relativo indirizzo web

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Luke57 » 18/06/07 16:30

Ciao, posta nuvo report di findawf + un log di hijackthis.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Sponsor
 

Postdi falco975 » 19/06/07 13:02

ecco qua luke

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 178.762.526.720 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
09/07/2001 10.50 155.648 NeroCheck.exe
10/03/2004 17.26 406.016 PSDrvCheck.exe
3 File 577.024 byte
2 Directory 178.762.526.720 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

02/11/2004 20.24 32.768 PDVDServ.exe
1 File 32.768 byte
2 Directory 178.762.522.624 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\GRISOFT\AVG7\BAK

19/05/2007 13.25 416.256 avgcc.exe
1 File 416.256 byte
2 Directory 178.762.522.624 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\MICROS~2\MICROS~1\BAK

04/06/2005 18.06 301.776 EDICT.EXE
1 File 301.776 byte
2 Directory 178.762.522.624 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

29/06/2005 15.29 176.128 LaunchApplication.exe
24/06/2005 14.08 860.160 PcSync2.exe
2 File 1.036.288 byte
2 Directory 178.762.522.624 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\FILECO~1\PCSUITE\DATALA~1\BAK

07/06/2005 11.31 819.712 DataLayer.exe
1 File 819.712 byte
2 Directory 178.762.522.624 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

26/11/2003 15.00 99.840 E_S4I0S2.EXE
1 File 99.840 byte
2 Directory 178.762.522.624 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
23568 1 Jun 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
23568 1 Jun 2007 "C:\WINDOWS\system32\PSDrvCheck.exe"
406016 10 Mar 2004 "C:\WINDOWS\system32\bak\PSDrvCheck.exe"
23568 1 Jun 2007 "C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe"
32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe"
23568 1 Jun 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
416256 19 May 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
23568 1 Jun 2007 "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE"
301776 4 Jun 2005 "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\bak\EDICT.EXE"
23568 1 Jun 2007 "C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe"
45056 9 Aug 2004 "C:\Programmi\Pinnacle\Studio 9\LaunchList.exe"
176128 29 Jun 2005 "C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe"
23568 1 Jun 2007 "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe"
860160 24 Jun 2005 "C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe"
23568 1 Jun 2007 "C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe"
819712 7 Jun 2005 "C:\Programmi\File comuni\PCSuite\DataLayer\bak\DataLayer.exe"
99840 26 Nov 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\E_S4I0S2.EXE"
23568 1 Jun 2007 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0S2.EXE"
99840 26 Nov 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0S2.EXE"




Logfile of HijackThis v1.99.1
Scan saved at 14.01.52, on 19/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
c:\programmi\internet explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Utente\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [E06IXLRD_3034546] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{13A86023-4F36-4047-AA48-E68E7B2703AB}: NameServer = 213.230.155.94 213.230.130.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{13A86023-4F36-4047-AA48-E68E7B2703AB}: NameServer = 213.230.155.94 213.230.130.222
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
falco975
Utente Junior
 
Post: 29
Iscritto il: 27/01/07 04:53

Postdi Luke57 » 19/06/07 15:46

Ciao, ripeti l'operazione con avenger e posta il report
Con hijackthis, elimina queste voci:
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi falco975 » 19/06/07 19:41

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mdurnlmm

*******************

Script file located at: \??\C:\tfbpfhvj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\PSDrvCheck.exe|C:\WINDOWS\system32\PSDrvCheck.exe completed successfully.
File move operation C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe|C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe completed successfully.
File move operation C:\Programmi\Grisoft\AVG7\bak\avgcc.exe|C:\Programmi\Grisoft\AVG7\avgcc.exe completed successfully.
File move operation C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\bak\EDICT.EXE|C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE completed successfully.
File move operation C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe|C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe completed successfully.
File move operation C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe|C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe completed successfully.
File move operation C:\Programmi\File comuni\PCSuite\DataLayer\bak\DataLayer.exe|C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe completed successfully.
File move operation C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0S2.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0S2.EXE completed successfully.

Completed script processing.

*******************

Finished! Terminate.


come faccio ad eliminare quelle voci con hijackthis???
falco975
Utente Junior
 
Post: 29
Iscritto il: 27/01/07 04:53

Postdi Luke57 » 19/06/07 20:55

Ciao, apri il programma, premi "do a system scan only", cerchi e spunti le due voci, premi fix checked.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi kamyRegna » 20/06/07 11:45

Ciao Luke... mi sa che ho di nuovo dei problemi.
Anche se non mi è apparsa di nuovo la D verde, oggi mi si è ripresentata una nuova connessione remota chiamata "connection" - HDAUDIO soft data fax mode. E in più mi si verifica un errore del programma Nod32kui.
Ho provato a usare nuovamente finAWF, ma non ha trovato niente.
Devo ripetere tutte le operazioni dall'inizio? :neutral:
Grazie..scusa per il disturbo
kamyRegna
Utente Junior
 
Post: 11
Iscritto il: 17/05/07 09:07

Postdi falco975 » 20/06/07 15:22

grazie ancora luke..
spero di aver risolto definitivamente...

ah dimenticavo che anche a me prima di ricomparire l'icona di instant access, mi era comparsa la connessione "connection"

ciao
falco975
Utente Junior
 
Post: 29
Iscritto il: 27/01/07 04:53

Postdi Luke57 » 20/06/07 20:57

kamyRegna ha scritto:Ciao Luke... mi sa che ho di nuovo dei problemi.
Anche se non mi è apparsa di nuovo la D verde, oggi mi si è ripresentata una nuova connessione remota chiamata "connection" - HDAUDIO soft data fax mode. E in più mi si verifica un errore del programma Nod32kui.
Ho provato a usare nuovamente finAWF, ma non ha trovato niente.
Devo ripetere tutte le operazioni dall'inizio? :neutral:
Grazie..scusa per il disturbo

Ciao, togli la connessione, fai una scansione con hijackthis e verifica le voci 015 del log.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi kamyRegna » 21/06/07 10:53

Buongiorno! Ho Fatto la scansione con hijackthis, e nel log non ho trovato le voci 015 :neutral:
comunque ti posto il log
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.48.35, on 21/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Documents and Settings\win xp\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://toscana.indymedia.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.intl.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Programmi\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /normal-run2
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Poker - http://download2.games.yahoo.com/games/ ... /pt3_x.cab
O16 - DPF: Yahoo! Scopa - http://download2.games.yahoo.com/games/ ... sct5_x.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/ka ... nicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://kamyregna.spaces.live.com//Photo ... nPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B52DAEC2-6EB0-4E12-9A85-5C9E507F1D5C}: NameServer = 85.37.17.5 85.38.28.77
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCC8383B-CC1B-4C94-8DA4-1507678C5B33}: NameServer = 212.216.112.222
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe

--
End of file - 9034 bytes

Grazie ancora, e scusa nuovamente il disturbo :-?
kamyRegna
Utente Junior
 
Post: 11
Iscritto il: 17/05/07 09:07

Postdi Sigur » 29/06/07 11:14

Ciao Luke, credo ora di avere risolto grazie al tuo script.
Il responso di Avenger è OK e il problema ormai non si presenta da tempo.
Come misura preventiva vedo che suggerisci di disattivare quanti più programmi possibile in avvio di sessione del pc.
Dove si agisce per questa operazione?
Grazie ancora!!!
Sigur :)
Sigur
Newbie
 
Post: 2
Iscritto il: 13/06/07 16:10

Postdi tayler77 » 10/07/07 21:38

Ciao,
ho questo dialer sul PC. Ho visto che in molti hanno avuto
il mio stesso problema e che sono riusciti a risolverlo.
Ho provato con doctor spyware e spybot, ma non sono riuscito
a eliminarlo
Ho seguito le istruzioni di Luke.

Ho eseguito find AWF e questo è il log



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\WINDOWS\SYSTEM32\BAK

23/03/2005 10.01 245.760 Check.exe
19/08/2004 05.00 15.360 ctfmon.exe
04/03/2005 13.13 32.768 keyhook.exe
3 File 293.888 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\ARCADE\BAK

09/03/2005 18.59 49.152 PCMService.exe
1 File 49.152 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\LAUNCH~1\BAK

28/03/2005 12.30 315.392 QtZgAcer.EXE
1 File 315.392 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\LEXMAR~2\BAK

23/03/2004 15.07 294.912 fm3032.exe
1 File 294.912 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\LEXMAR~1\BAK

04/06/2004 12.01 57.344 lxbtbmgr.exe
1 File 57.344 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\WEBACC~1\BAK

07/04/2006 04.51 253.952 slipcore.exe
1 File 253.952 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\WINDOWS\IME\IMJP8_1\BAK

19/08/2004 05.00 208.952 IMJPMIG.EXE
1 File 208.952 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\SYNAPT~1\SYNTP\BAK

07/10/2004 23.43 688.218 SynTPEnh.exe
07/10/2004 23.44 98.394 SynTPLpr.exe
2 File 786.612 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\GRISOFT\AVGFRE~1\BAK

14/11/2006 08.09 369.664 avgcc.exe
1 File 369.664 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\PROGRA~1\ULEADS~1\ULEADP~1.0\BAK

10/09/2002 10.54 28.672 Monitor.exe
1 File 28.672 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\WINDOWS\SYSTEM32\IME\PINTLGNT\BAK

19/08/2004 05.00 59.392 ImScInst.exe
1 File 59.392 byte
2 Directory 21.207.203.840 byte disponibili
Il volume nell'unit… C Š ACER
Numero di serie del volume: 320D-180E

Directory di C:\WINDOWS\SYSTEM32\IME\TINTLGNT\BAK

19/08/2004 05.00 455.168 TINTSETP.EXE
1 File 455.168 byte
2 Directory 21.207.203.840 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
32768 4 Mar 2005 "C:\WINDOWS\system32\bak\keyhook.exe"
245760 23 Mar 2005 "C:\WINDOWS\system32\bak\Check.exe"
49152 9 Mar 2005 "C:\Programmi\Arcade\bak\PCMService.exe"
315392 28 Mar 2005 "C:\Programmi\Launch Manager\bak\QtZgAcer.EXE"
294912 23 Mar 2004 "C:\Programmi\Lexmark Fax Solutions\bak\fm3032.exe"
57344 4 Jun 2004 "C:\Programmi\Lexmark 5200 Series\bak\lxbtbmgr.exe"
253952 7 Apr 2006 "C:\Programmi\Web Accelerator\bak\slipcore.exe"
208952 19 Aug 2004 "C:\WINDOWS\ime\imjp8_1\imjpmig.exe"
208952 19 Aug 2004 "C:\WINDOWS\ime\imjp8_1\bak\IMJPMIG.EXE"
98394 7 Oct 2004 "C:\Programmi\Synaptics\SynTP\Media\SYNTPLPR.EXE"
98394 7 Oct 2004 "C:\Programmi\Synaptics\SynTP\bak\SynTPLpr.exe"
688218 7 Oct 2004 "C:\Programmi\Synaptics\SynTP\Media\SYNTPENH.EXE"
688218 7 Oct 2004 "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe"
416256 9 Jul 2007 "C:\Programmi\Grisoft\AVG Free\avgcc.exe"
369664 14 Nov 2006 "C:\Programmi\Grisoft\AVG Free\bak\avgcc.exe"
360448 28 Mar 2005 "C:\Programmi\acer\eRecovery\Monitor.exe"
28672 10 Sep 2002 "C:\Programmi\Ulead Systems\Ulead Photo Explorer 7.0\bak\Monitor.exe"
59392 19 Aug 2004 "C:\WINDOWS\system32\IME\PINTLGNT\imscinst.exe"
59392 19 Aug 2004 "C:\WINDOWS\system32\IME\PINTLGNT\bak\ImScInst.exe"
455168 19 Aug 2004 "C:\WINDOWS\system32\IME\TINTLGNT\tintsetp.exe"
455168 19 Aug 2004 "C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE"


end of report


per favore aiuto.

Grazie mille
tayler77
Newbie
 
Post: 2
Iscritto il: 10/07/07 21:22

Postdi falco975 » 27/09/07 17:46

ciao luke...
ci sei ancora????

purtroppo a distanza di quasi tre mesi mi si ripresenta il problema!!!!

potresti aiutarmi???

questo è il log

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 147.282.219.008 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
09/07/2001 10.50 155.648 NeroCheck.exe
10/03/2004 17.26 406.016 PSDrvCheck.exe
3 File 577.024 byte
2 Directory 147.282.219.008 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\GRISOFT\AVG7\BAK

17/08/2007 16.00 416.256 avgcc.exe
1 File 416.256 byte
2 Directory 147.282.214.912 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\MICROS~2\MICROS~1\BAK

04/06/2005 18.06 301.776 EDICT.EXE
1 File 301.776 byte
2 Directory 147.282.214.912 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

29/06/2005 15.29 176.128 LaunchApplication.exe
24/06/2005 14.08 860.160 PcSync2.exe
2 File 1.036.288 byte
2 Directory 147.282.214.912 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\FILECO~1\PCSUITE\DATALA~1\BAK

07/06/2005 11.31 819.712 DataLayer.exe
1 File 819.712 byte
2 Directory 147.282.214.912 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

26/11/2003 15.00 99.840 E_S4I0S2.EXE
1 File 99.840 byte
2 Directory 147.282.214.912 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
24592 12 Sep 2007 "C:\WINDOWS\system32\PSDrvCheck.exe"
406016 10 Mar 2004 "C:\WINDOWS\system32\bak\PSDrvCheck.exe"
24592 12 Sep 2007 "C:\Programmi\Grisoft\AVG7\avgcc.exe"
416256 17 Aug 2007 "C:\Programmi\Grisoft\AVG7\bak\avgcc.exe"
24592 12 Sep 2007 "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE"
301776 4 Jun 2005 "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\bak\EDICT.EXE"
24592 12 Sep 2007 "C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe"
45056 9 Aug 2004 "C:\Programmi\Pinnacle\Studio 9\LaunchList.exe"
176128 29 Jun 2005 "C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe"
24592 12 Sep 2007 "C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe"
860160 24 Jun 2005 "C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe"
24592 12 Sep 2007 "C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe"
819712 7 Jun 2005 "C:\Programmi\File comuni\PCSuite\DataLayer\bak\DataLayer.exe"
99840 26 Nov 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\E_S4I0S2.EXE"
24592 12 Sep 2007 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0S2.EXE"
99840 26 Nov 2003 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0S2.EXE"


end of report

grazie mille
falco975
Utente Junior
 
Post: 29
Iscritto il: 27/01/07 04:53

Postdi Luke57 » 29/09/07 22:10

Ciao, scusa il ritardo,
Utilizza avenger e inserisci questo script.

files to move:
C:\WINDOWS\system32\bak\PSDrvCheck.exe | C:\WINDOWS\system32\PSDrvCheck.exe
C:\Programmi\Grisoft\AVG7\bak\avgcc.exe | C:\Programmi\Grisoft\AVG7\avgcc.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\bak\EDICT.EXE | C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe | C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe | C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\File comuni\PCSuite\DataLayer\bak\DataLayer.exe | C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0S2.EXE | C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0S2.EXE


Poi utilizza hijackthis ed elimina, se presenti, le voci 015 caratteristiche del dialer.

Comunque posta anche un log di hijackthis.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi falco975 » 30/09/07 17:55

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\imrutmjp

*******************

Script file located at: \??\C:\Documents and Settings\kttbtdmc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\PSDrvCheck.exe|C:\WINDOWS\system32\PSDrvCheck.exe completed successfully.
File move operation C:\Programmi\Grisoft\AVG7\bak\avgcc.exe|C:\Programmi\Grisoft\AVG7\avgcc.exe completed successfully.
File move operation C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\bak\EDICT.EXE|C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE completed successfully.
File move operation C:\Programmi\Nokia\Nokia PC Suite 6\bak\LaunchApplication.exe|C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe completed successfully.
File move operation C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe|C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe completed successfully.
File move operation C:\Programmi\File comuni\PCSuite\DataLayer\bak\DataLayer.exe|C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe completed successfully.
File move operation C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_S4I0S2.EXE|C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0S2.EXE completed successfully.

Completed script processing.

*******************

Finished! Terminate.
falco975
Utente Junior
 
Post: 29
Iscritto il: 27/01/07 04:53

Postdi falco975 » 30/09/07 17:59

Logfile of HijackThis v1.99.1
Scan saved at 18.58.28, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Documents and Settings\Utente\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [E06IXLRD_3034546] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{13A86023-4F36-4047-AA48-E68E7B2703AB}: NameServer = 213.230.128.222 213.230.129.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{13A86023-4F36-4047-AA48-E68E7B2703AB}: NameServer = 213.230.128.222 213.230.129.94
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
falco975
Utente Junior
 
Post: 29
Iscritto il: 27/01/07 04:53

Postdi falco975 » 30/09/07 18:04

ti posto anche il nuovo log di FIND AWF...

spero che vada tutto bene...

scusa se ti do ancora fastidio...
ma secondo te, come mai dopo qualche tempo mi si ripresenta il problema???
dipende da qualche programma in particolare???
dipende da qualche sito che visito (calcola che ultimamente lo sto utilizzando veramente poco internet e visito tutti siti tranquilli tipo libero la mia banca ecc.)???
fosse che l'antivirus AVG free edition non è buono???

o è solo sfiga???

per il momento un grosso saluto e grazie mille ancora


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 147.177.697.280 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
09/07/2001 10.50 155.648 NeroCheck.exe
2 File 171.008 byte
2 Directory 147.177.697.280 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\GRISOFT\AVG7\BAK

0 File 0 byte
2 Directory 147.177.693.184 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\MICROS~2\MICROS~1\BAK

0 File 0 byte
2 Directory 147.177.693.184 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\NOKIA\NOKIAP~1\BAK

0 File 0 byte
2 Directory 147.177.693.184 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\PROGRA~1\FILECO~1\PCSUITE\DATALA~1\BAK

0 File 0 byte
2 Directory 147.177.693.184 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 2C59-5B99

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

0 File 0 byte
2 Directory 147.177.693.184 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"


end of report
falco975
Utente Junior
 
Post: 29
Iscritto il: 27/01/07 04:53

Postdi Luke57 » 30/09/07 18:37

Ciao, nelle ultime cartelle indicate da findawf i files sono tutti originali (riportano la stessa data) comunque per sicurezza inserisci in avenger questo script:

files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe


Fatto ciò, elimina le seguenti cartelle bak, ormai vuote:
C:\WINDOWS\system32\bak
C:\PROGRA~1\MESSEN~1\BAK
C:\PROGRA~1\GRISOFT\AVG7\BAK
C:\PROGRA~1\MICROS~2\MICROS~1\BAK
C:\PROGRA~1\NOKIA\NOKIAP~1\BAK
C:\PROGRA~1\FILECO~1\PCSUITE\DATALA~1\BAK
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK


E' facile reinfettarsi, comunque, con hijackthis elimina questa voce:
R3 - Default URLSearchHook is missing .
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Postdi falco975 » 01/10/07 18:46

ciao luke
ho fatto tutto quello che hai detto

per eccesso di zelo ti posto i vari log

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xbnredov

*******************

Script file located at: \??\C:\dqrivghb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe completed successfully.

Completed script processing.

*******************

Finished! Terminate.


Logfile of HijackThis v1.99.1
Scan saved at 19.42.35, on 01/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Utente\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [E06IXLRD_3034546] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{13A86023-4F36-4047-AA48-E68E7B2703AB}: NameServer = 213.230.130.222 213.230.155.94
O17 - HKLM\System\CS1\Services\Tcpip\..\{13A86023-4F36-4047-AA48-E68E7B2703AB}: NameServer = 213.230.130.222 213.230.155.94
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report



resto in attesa di sapere se questa è la volta giusta!!!

ciao e di nuovo grazie mille
falco975
Utente Junior
 
Post: 29
Iscritto il: 27/01/07 04:53

Postdi Luke57 » 01/10/07 20:54

Ciao, sembra d sì ;)
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: icona instant access sul desktop e relativo indirizzo web

Postdi krauti » 02/05/08 18:48

Buona sera a tutti. Anke io mi sono imbattutto in questo instant access (nn ho l'idea di come abbia fatto a prenderlo). ogni volta che mi connetto a internet e apro IE 7 mi compaiono finestre porno che, inoltre, creano un icona di collegamento sul desktop. le cancello sempre ma tutte le volte sono punto a capo... COSA POSSO FARE??? viprego aiutatemi questa cosa va avanti da mesi!!!!!!!!!!! :cry:
krauti
Newbie
 
Post: 1
Iscritto il: 02/05/08 18:41

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "icona instant access sul desktop e relativo indirizzo web":


Chi c’è in linea

Visitano il forum: Nessuno e 91 ospiti