AIUTATEMI A SCONFIGGERE DIALER.TROJAN

[Luke57]

iao, elimina solamente queste che io ti indico in neretto:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\Raara
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\Rxara
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\Tcctc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\Tzctc ù
Che cosa intendi per le altre? Se ti riferisci a quelle che io ho indicato in neretto, va bene.

[vedaila]

Mi riferisco a ciò che hai scritto:
"cerca ed elimina le stesse voci sotto la chiave iniziale di registro : HKEY_CURRENT_USER SOFTWARE Microsoft Internet Explorer AdvancedOptions Nome causale con 5 lettere"
Anche qui devo fare lo stesso procedimento? aquesto mi riferisco
Grazie....sei un tesoro!

[Luke57]

Ciao, sì, verifica che non ci siano le stesse voci dell'altra chiave. Se presenti, eliminale.

[vedaila]

Ciao Luke,
ho terminato. Sotto HKEY_CURRENT_USER ho eliminato ancora RAARA, TCCTC e TZCTC. E poi ho eliminato AdvacedOptions.
Ho eliminato ShockPlayer32 mentre RFC1156Agent non c'era...
Devo fare qualcos'altro?
grazie

[Luke57]

Ciao Luke,
ho terminato. Sotto HKEY_CURRENT_USER ho eliminato ancora RAARA, TCCTC e TZCTC. E poi ho eliminato AdvacedOptions.
Ho eliminato ShockPlayer32 mentre RFC1156Agent non c'era...
Devo fare qualcos'altro?
grazie

Ciao, la chiave advancedoptions non va eliminata, ma le sue sottovoci con nomi casuali....
Scarica hijackthis_v2.exe da qui:
http://www.trendsecure.com/portal/en-US ... his_v2.exe
lo scarichi in una cartella del disco fisso, no desktopo, appositamente creata.
Da tale cartella lo apri cliccandoci sopra, premi "do a system scan and save a log file", attendi che si apra un file di testo, al cui interno viene elaborato un contenuto. Copia e incolla il contenuto del file in un post.

[vedaila]

Cioa Luke,
scusa l'ignoraqnza...ma per disco fisso intendi il disco locale??
E poi.....visto che ho eliminato ( ...sempre da ignorante....!) quella chiave ora che succede???
Sempre grazie

[vedaila]

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.30.19, on 11/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
c:\programmi\internet explorer\iexplore.exe
C:\Nuova cartella\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [sqlffzlh] "c:\windows\system32\sqlffzlh.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [msmmi] C:\WINDOWS\system32\msmmi.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/230?2aa154d982f24c0cbb409e078ee4681
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/229?2aa154d982f24c0cbb409e078ee4681
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0967590506
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F26E57A-C318-4AB9-9930-40A1B407D5A5}: NameServer = 213.205.36.70 213.205.32.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D9BB054-84B5-41D2-B667-0F9F4CA9AD8F}: NameServer = 212.216.172.62,212.216.112.112
O17 - HKLM\System\CCS\Services\Tcpip\..\{F25D34A5-B53B-43DD-9747-73F71D9F859D}: NameServer = 212.216.172.62,212.216.112.112
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O24 - Desktop Component 0: (no name) - file:///C:/Documents%20and%20Settings/BRUNO/Documenti/Immagini/chi_siamo_htm_cmp_senbassinga110_hbtn_a_file/chi_siamo.htm_cmp_senbassinga110_hbtn_a

--
End of file - 7057 byte
Luke....ho scaricato Hijackthis in una cartella del disco locale C....chissà se ho fatto bene!!
Questo è ciò che ho ottenuto ....sempre se è giusto.
Grazie Aspetto che mi illumini!!!

[Luke57]

Ciao, sei infetta ancora.
scarica avenger sul desktop
http://swandog46.geekstogo.com/avenger.zip
scompatta il file.zip
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla (ctrl+V) le scritte in neretto:



registry values to delete:
HKLM\Software\Microsoft\Windows\Current\Run | sqlffzlh
HKLM\Software\Microsoft\Windows\Current\Run | msmmi

Files to delete:
c:\windows\system32\sqlffzlh.exe
C:\WINDOWS\system32\msmmi.exe

Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi due volte Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente


Il programma rilascia un log con le operazioni eseguite.

Posta il log di Avenger (C:/avenger.txt) con l´esito dello script.

Inoltre scarica Findawf da qui:
http://noahdfear.geekstogo.com/FindAWF.exe

Esegui il file, si aprirà una finestra dos (schermata nera) , premi invio per continuare, finita la scansione, si aprirà il block notes, salva il file, copia il suo contenuto in un post nel forum

[vedaila]

Ok Luke......
una domanda prima di iniziare......che significa "scompatta il file.zip????".....
.....che disastro che sono!!!!!!!!!!

[vedaila]

......e poi come si avvia il file avenger.exe??
....perdonami lo che sono una rottura!!!

[Luke57]

Ciao, ci clicchi con il tasto dx, scegli Extract, metti il file con estensione .exe (avenger.exe) sul desktop.
Avviarlo vuol dire semplicemente poi cliccarci due volte ( come si fa con file eseguibili, estensione .exe).

[vedaila]

Fatto Luke.....Questo è il risult di Avenger:

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: HKLM/Software/Microsoft/Windows/Current/Run/msmmi


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\woasammi

*******************

Script file located at: \??\C:\WINDOWS\fvbhcahw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File c:/windows/system32/sqlffzlh.exe not found!
Deletion of file c:/windows/system32/sqlffzlh.exe failed!

Could not process line:
c:/windows/system32/sqlffzlh.exe
Status: 0xc0000034



File C:/WINDOWS/system32/msmmi.exe not found!
Deletion of file C:/WINDOWS/system32/msmmi.exe failed!

Could not process line:
C:/WINDOWS/system32/msmmi.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.



...e questo il contenuto del file di Findawf:



Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98C4-EBD9

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 71.652.503.552 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98C4-EBD9

Directory di C:\PROGRA~1\MSNMES~1\BAK

0 File 0 byte
2 Directory 71.652.503.552 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98C4-EBD9

Directory di C:\PROGRA~1\SYMANT~1\BAK

22/04/2004 12.46 124.128 VPTray.exe
1 File 124.128 byte
2 Directory 71.652.499.456 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98C4-EBD9

Directory di C:\WINDOWS\SYSTEM32\BAK

14/04/2007 17.10 49.664 msmmi.exe
19/08/2004 15.39 11.681 sqlffzlh.exe
2 File 61.345 byte
2 Directory 71.652.499.456 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98C4-EBD9

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

22/04/2004 12.38 66.656 ccApp.exe
1 File 66.656 byte
2 Directory 71.652.499.456 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98C4-EBD9

Directory di C:\PROGRA~1\SPRINT~1.0OF\SPRINT\BAK

31/01/2001 16.32 241.664 CAgent.exe
1 File 241.664 byte
2 Directory 71.652.499.456 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98C4-EBD9

Directory di C:\PROGRA~1\GOOGLE\GOOGLE~2\121128~1.546\BAK

24/04/2007 17.08 171.448 GoogleToolbarNotifier.exe
1 File 171.448 byte
2 Directory 71.652.499.456 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 98C4-EBD9

Directory di C:\PROGRA~1\ADOBE\PHOTOS~1\3.0\APPS\BAK

07/07/2005 18.41 57.344 apdproxy.exe
1 File 57.344 byte
2 Directory 71.652.499.456 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

23568 29 May 2007 "C:\Programmi\Symantec AntiVirus\VPTray.exe"
124128 22 Apr 2004 "C:\Programmi\Symantec AntiVirus\bak\VPTray.exe"
23568 29 May 2007 "C:\WINDOWS\system32\msmmi.exe"
49664 14 Apr 2007 "C:\WINDOWS\system32\bak\msmmi.exe"
11681 19 Aug 2004 "C:\WINDOWS\system32\bak\sqlffzlh.exe"
23568 29 May 2007 "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
66656 22 Apr 2004 "C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe"
241664 2 Feb 2001 "C:\Programmi\Sprint & FineReader 5.0 Office Try&Buy\CAgent.exe"
23568 29 May 2007 "C:\Programmi\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe"
241664 31 Jan 2001 "C:\Programmi\Sprint & FineReader 5.0 Office Try&Buy\Sprint\bak\CAgent.exe"
52272 24 Apr 2007 "C:\Programmi\Google\googletoolbar1user.exe"
69632 29 Mar 2007 "C:\Programmi\Google\Google Earth\googleearth.exe"
138168 24 Apr 2007 "C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe"
23568 29 May 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe"
171448 24 Apr 2007 "C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe"
23568 29 May 2007 "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
57344 7 Jul 2005 "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe"


end of report


Attendo......ordini!!
grazie

[Luke57]

Ciao, il mio sospetto era fondato, hai un dialer che ti ha sostituito i file legittimi dei programmi d'avvio con sue copie infette, mantenendo però i file "sani" in cartelle bak appositamente create. Si tratta di sostituire i file infetti con quelli sani.
riutilizza avenger comne spiegato però inserisci (ctrl+v) questo script:

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | sqlffzlh
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | msmmi

files to delete:
C:\WINDOWS\system32\bak\msmmi.exe
C:\WINDOWS\system32\msmmi.exe
C:\WINDOWS\system32\bak\sqlffzlh.exe
C:\WINDOWS\system32\sqlffzlh.exe

files to move:
C:\Programmi\Symantec AntiVirus\bak\VPTray.exe | C:\Programmi\Symantec AntiVirus\VPTray.exe
C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe | C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Sprint & FineReader 5.0 Office Try&Buy\Sprint\bak\CAgent.exe | C:\Programmi\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe | C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe | C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe


Posta il solito report in C:\avenger.

Inoltre, apri hijackthis cliccandoci 2 volte, premi " do a system scan only", cerchi e metti il segno di spunta alle seguenti voci:
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com

premi fix checked.

[vedaila]

Ciao Luke, scusa il ritardo ma sono stata fuori.
Allora questo il report di avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xtxpmtmu

*******************

Script file located at: \??\C:\WINDOWS\cbrxxbeu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\bak\msmmi.exe deleted successfully.
File C:\WINDOWS\system32\msmmi.exe deleted successfully.
File C:\WINDOWS\system32\bak\sqlffzlh.exe deleted successfully.


File C:\WINDOWS\system32\sqlffzlh.exe not found!
Deletion of file C:\WINDOWS\system32\sqlffzlh.exe failed!

Could not process line:
C:\WINDOWS\system32\sqlffzlh.exe
Status: 0xc0000034

File move operation C:\Programmi\Symantec AntiVirus\bak\VPTray.exe|C:\Programmi\Symantec AntiVirus\VPTray.exe completed successfully.
File move operation C:\Programmi\File comuni\Symantec Shared\bak\ccApp.exe|C:\Programmi\File comuni\Symantec Shared\ccApp.exe completed successfully.
File move operation C:\Programmi\Sprint & FineReader 5.0 Office Try&Buy\Sprint\bak\CAgent.exe|C:\Programmi\Sprint & FineReader 5.0 Office Try&Buy\Sprint\CAgent.exe completed successfully.
File move operation C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe|C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe completed successfully.
File move operation C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak\apdproxy.exe|C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe completed successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|sqlffzlh deleted successfully.
Registry value HKLM\Software\Microsoft\Windows\CurrentVersion\Run|msmmi deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Ho avviato Hijackthis ho spuntato le due voci che mi hai indicato e ho cliccato su fix checked.....poi nn c'erano più......dovevano essere eliminate?...
Attendo notizie
Baci

[Luke57]

Ciao, grazie dei baci, posta nuovo log di hijackthis.

[vedaila]

Ecco:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.12.36, on 14/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\Programmi\TG\TGOnline.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Nuova cartella\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/230?2aa154d982f24c0cbb409e078ee4681
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/229?2aa154d982f24c0cbb409e078ee4681
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0967590506
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F26E57A-C318-4AB9-9930-40A1B407D5A5}: NameServer = 213.205.36.70 213.205.32.70
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D9BB054-84B5-41D2-B667-0F9F4CA9AD8F}: NameServer = 212.216.172.62,212.216.112.112
O17 - HKLM\System\CCS\Services\Tcpip\..\{F25D34A5-B53B-43DD-9747-73F71D9F859D}: NameServer = 212.216.172.62,212.216.112.112
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O24 - Desktop Component 0: (no name) - file:///C:/Documents%20and%20Settings/BRUNO/Documenti/Immagini/chi_siamo_htm_cmp_senbassinga110_hbtn_a_file/chi_siamo.htm_cmp_senbassinga110_hbtn_a

--
End of file - 7118 bytes



Speriamo bene!!!

[Luke57]

Ciao, nel log non scorgo minacce, semmai cancella queste cartelle ormai vuote:
C:\Programmi\Symantec AntiVirus\bak
C\Programmi\File comuni\Symantec Shared\bak
C:\Programmi\Sprint & FineReader 5.0 Office Try&Buy\Sprint\bak
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\bak
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\bak

[vedaila]

Ok Luke , fatto!
Ti ringrazio infinitamente.....sei stato di una disponibilità assurda!!!
Volevo chiederti però cosa devo fare con due cartelle infette che il mio antivirus aveva messo in quarantena sono: sqlffzlh.exe e b[1].ico devo fare ripulisci?
E poi Symantec va bene come antivirus?
Grazieeeeeeeeeeeeeeeeeeeeee milleeeeeeeeee

PS.....Verresti in Sicilia per una cena?....te la devo!!!!

[vedaila]

Luke.......nn ci sei?

[Luke57]

Luke.......nn ci sei?

Ciao, per la cena o per i virus?
Puoi cancellare le cartelle, anche se in quarentena risultano del tutto inoffensive.