eccolo qui il log, c'è il verme

di **detriti** » 27/12/05 20:41

Dylan666 ha scritto:sai cosa sia sla.exe?

ciao stessa domanda anche per me?..grazie

di **Dylan666** » 27/12/05 22:21

Le voci 015 le fissa pure HijackThis, se ricompaiono significa che qualche processo non è stato rimosso e le ha ri-scritte. probabilmente basta solo terminare da Ctrl+Alt+Canc il file ciakaisen.exe e poi levare quanto detto prima

di **erdario** » 28/12/05 16:46

Vi prego aiutatemi ad eliminare questa orribile scocciatura dal mio pc!
Questo è il mio log file, ditemi cosa devo cancellare....grazie infinite!

ogfile of HijackThis v1.99.1
Scan saved at 13.40.53, on 27/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\Documents and Settings\STEFANO\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skymasters.biz?5604
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fastweb.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da FastWeb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Programmi\K-litePro\K-litePro.exe" -tray
O4 - HKCU\..\Run: [CAS2] "C:\Programmi\System Files\System.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: KVG.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.fastweb.it
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/nd/nd02971.exe
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//sdkbkdc//cadwieg//ciqkvjg//jkrlhq//IT//arct.chm::/painter.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media ... ge-c18.cab
O16 - DPF: {30CE93AE-4987-483C-9ABE-F2BD5301AB70} - http://check-wire.com/it/user00/act/it.exe
O16 - DPF: {6FCCBDEF-8A8A-511B-A241-A98D04E8BB29} - http://www.consumeralertsystem.com/dist/cas.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1058625.exe
O16 - DPF: {F57D27AE-CE57-4BC8-B232-EA57747BE5B7} -
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://download.energyfactor.com/dialer ... 261_it.exe
O18 - Filter: text/html - {8253D547-38DD-4325-B35A-F1817EDFA5F5} - C:\Programmi\System Files\plugin.dll
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Servizio di framework di McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

di **Luke57** » 28/12/05 17:20

Ciao Erdario, scarica KillSgunt da qui:
http://www.francydelorenzi.it/component ... ecatid,105
Scarica CCleaner da qui: http://www.filehippo.com/download_ccleaner/
scarica CwShredder da qui: http://www.ilsoftware.it/querydl.asp?ID=750
Metti hijackthis in una cartella del disco fisso, né temporanea né desktop, in modo da fare il backup in caso di errori.
Avvia KillSgrunt. Esegui CwShredder, lanciandolo e premendo fix.
In modalità normale, a browser chiuso e disconnesso da internet, apri hiajckthis, premi “do a system scan only”, cerchi e metti il segno di spunta alle seguenti voci:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.skymasters.biz?5604
O4 - Global Startup: KVG.exe
TUTTE LE VOCI 015
TUTTE LE VOCI 016, tranne questa O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
Cerca e termina, con il task manager, se c’è, il processo
KGV.exe
Cancella con CCleaner file temporanei di windows, cookies, cache di IE , svuota cestino. Scansiona dalla modalità provvisoria con antivirus aggiornato, fai scansione on line con Kaspersky lab http://www.kaspersky.com/scanforvirus

di **Dylan666** » 28/12/05 17:37

Incolla il log qui e leva tutte le voci rosse.
http://www.hijackthis.de/index.php?langselect=italian

Ma prima leva questi:
O4 - HKCU\..\Run: [CAS2] "C:\Programmi\System Files\System.exe"

O4 - Global Startup: KVG.exe

O16 - DPF: {F57D27AE-CE57-4BC8-B232-EA57747BE5B7} -

O18 - Filter: text/html - {8253D547-38DD-4325-B35A-F1817EDFA5F5} - C:\Programmi\System Files\plugin.dll

Pure le due voci 016 che vedrai in giallo se non le conosci

di **silviaroma** » 31/12/05 10:21

Logfile of HijackThis v1.99.1
Scan saved at 10.15.52, on 31/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\eMule\emule.exe
C:\Documents and Settings\silvia\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tivutibi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tivutibi.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ViewMgr] C:\Programmi\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\digicomt\Michelangelo USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSIns ... eloadredir
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2581576730
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3655094910
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F5C2A12-148B-4F53-9FAA-E2BDB44646AF}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{1F5C2A12-148B-4F53-9FAA-E2BDB44646AF}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

secondo voi ora è tutto ok?

di **Luke57** » 31/12/05 10:54

Complimenti Silvia, togli solo con hijackthis questa voce:
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll (file missing)
Buon anno

di **silviaroma** » 31/12/05 13:54

grazie luke... anche se è molto rallentato... forse ho troppi processi all'avvio....
auguri a tutti...

di **silviaroma** » 31/12/05 14:14

altra domanda....
C:\WINDOWS\system32\lsass.exe
ci deve essere???? in giro lo danno come un worm....

di **Dylan666** » 31/12/05 14:51

Sì ci deve essere e non è un worm, lo si è detto tante altre volte, basta cercare

di **silviaroma** » 31/12/05 15:00

avevo cercato...

W32/Sasser.worm.e
Il nome del file è LSASSS.EXE
Usare il tool di rimozione Stinger, Symantec o Microsoft.
http://news.swzone.it/swznews-10987.php

di **Dylan666** » 31/12/05 16:37

So bene quello che intendi ma so pure dove sbagli:

http://www.pc-facile.com/forum/viewtopi ... ass+sasser

http://www.pc-facile.com/forum/viewtopi ... ass+sasser

Se il tuo PC ha un firewall, i windows update o il sp2 non può essere infetto. Ma se vuoi toglierti lo scrupolo passa pure lo Stinger

di **marinaseal** » 02/01/06 23:58

Ciao Luke, Dylan, Silvia & C.

!Buon 2006!
.....mi son fatta coraggio e ho rimesso le mani in questo supermarket del malware che è il mio pc: nelle ultime 2 settimane ho eliminato 2 virus, 1 trojan e 1 worm, l'ho ripulito con CCleaner (grazie Luke) da cookie persistenti/spyware, eppure dopo essermi collegata a internet mi ritrovo i soliti affettuosi file desktop.ini ( se trovassi un fidanzato così insistente alla fine lo sposerei....

), ho ancora il problema del copia-incolla con i file di testo, non riesco a eliminare i file index.dat neanche da modalità provvisoria e virgilio ce l'ha con me perchè non mi fa allegare i file alle email , quanto a spedirle poi non se ne parla neanche. Ho fatto gli ultimi fix che mi avete suggerito e rimando il log, secondo voi c'è speranza? Esiste un pacchetto anti-tutto che riesca ad ammazzare tutte 'ste bestiacce in un colpo solo?
grazie!!! ciao marinaseal

Logfile of HijackThis v1.99.1
Scan saved at 22.35.08, on 02/01/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
C:\WINDOWS\SYSTEM\INETSRV\INETINFO.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSDTCW.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\PWSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\A-DATA\USB FLASH DISK UTILITY\PLBKMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMI\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Infostrada LIBERO
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [PWSTray] PwsTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ADATA_PLUtil] C:\Programmi\A-DATA\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start
O4 - HKLM\..\RunServices: [inetinfo.exe] C:\WINDOWS\SYSTEM\inetsrv\inetinfo.exe -e w3svc
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMMI\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - Startup: Vodafone Mobile Connect Card.lnk = C:\Programmi\Vodafone\VodafoneMobileConnectCard\VodafoneMobileConnectCard.exe
O10 - Broken Internet access because of LSP provider 'c:\programmi\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by105fd.bay105.hotmail.msn.com/r ... nPUpld.cab

di **Luke57** » 03/01/06 08:36

Ciao Marina. dal log mi pare che non ci siano problemi di malware. Non ti preoccupare per i file index che non si possono eliminare, ma solamente ripulirli.

di **marinaseal** » 03/01/06 22:05

Ciao Luke

ho indagato un po' sugli eseguibili che mi vanno in esecuzione e ho trovato un altro trojan - o almeno lo danno per tale - nel sito http://www.processlibrary.com/directory ... #D15262392.
E' il file taskmon.exe. Ho visto che compare in molti log postati in diversi topic del forum e mi sembra ce l'abbia anche Silvia, come fare per avvertire gli altri? Tu che dici, si fa un topic nuovo con un avviso nell'oggetto? Cerco di toglierlo da modalità provv. con HijackThis, anche se mi pare di aver letto che non elimina i malware ma si limita a disattivarli, e nè avast nè spyware doctor l'hanno segnalato... mah! Di seguito riporto quanto si dice del trojan MyDoom.

Ciao Marinaseal

Process File: taskmon.exe
Process Name: MyDoom Trojan
Description: taskmon.exe is a process which is registered as the AUTOTROJ-C, MYDOOM.A or MYDOOM.J trojans. It takes advantage of the Windows LSASS vulnerability, which creates a buffer overflow and instigates your computer to shut down. To see more information about this vulnerability please look at the following Microsoft bulletin: http://www.microsoft.com/technet/securi ... 4-011.mspx
This is a registered security risk and should be removed immediately. Please see additional details regarding this process
Recommendation: DISABLE AND REMOVE IMMEDIATELY. This process is most likely a virus or trojan.

di **Dylan666** » 04/01/06 02:03

Guarda le proprietà di taskmon.exe e vedrai che è roba di Microsoft

di **marinaseal** » 06/01/06 19:43

aaaagggghhh!!! :cry:

ho fixato taskmon.exe con HijackThis prima di leggere il topic e controllare le proprietà del file (che è Microsoft!).
Avevi ragione Dylan, e ora come lo recupero? Non l'ho eliminato, c'è ancora nella cartella Windows, ma non va in esecuzione.....
Domanda: ma se è un file sano e necessario, come mai il controllo dei file di sistema in Microsoft System Information non mi segnala o non mi ripristina il file?
Nel frattempo ho fatto la scansione on line (free) con l'antivirus F-secure (trovata sul sito http://www.f-secure.com) che mi ha trovato un dialer-trojan, il Wdialupd nella cartella C:\WINDOWS\_p9hEPQkbj.exe trojan.win32.dialer.hz, che ho eliminato bene anche in mod. normale. Ho scaricato e installato Ad-Aware SE, che mi ha trovato e eliminato il malware Alexa e dopo ho fatto tutti gli aggiornamenti disponibili da windows update. Avrei scaricato anche il Pack2 ma windows 98 SE non lo regge... Ora devo trovare il modo di rimediare al fix che ho fatto in un eccesso di zelo, vi prego aiutatemi! Poi non rompo più, lo giuro..... :roll:

ciao e grazie.... marinaSEAL

di **Luke57** » 06/01/06 22:14

Ciao Marina, il programma ti dovrebbe aver fatto una cartella di backup, prova a vedere.

di **marinaseal** » 06/01/06 22:41

eccomi, si ho un file di testo hijackthis.log che contiene il vecchio log dove c'era il file taskmon.exe e l'ultimo dopo che ho fix il file. Sono quelli oppure c'è un'altra cartella?

di **Luke57** » 06/01/06 22:58

Ci dovrebbe essere un'altra cartella "Backup" con dentro le voci fissate. Se non l'hai, apri hijackthis, clicchi "view the list of backups", se all'interno trovi le voci fissate, cerchi quella che ti interessa, e premi "restore".

eccolo qui il log, c'è il verme

skymasters.biz

...ci sono ancora... marinaseal

Trojan MyDoom, taskmon.exe

help!

ciao Luke!

Chi c’è in linea