Taskill

[lepere85]

Ciao a tutti è la prima volta che scrivo in un forum per chiedere aiuto sono sempre andato a sbirciare i vari forum e ho sempre trovato la soluzione ma ora mi resta difficile....

praticamente
ogni volta che accendo il pc mi compare una finestra Dos e dopo poco mi scompare,
in un'altro pc mi compare una finestra Dos fissa quando accendo il pc,
non mi apre piu nessun HD di qualsiasi genere,quando clicco due volte mi compare sempre quella finestra e mi scompare subito (questo problema l'ho risolto usando PRT.exe -allegato- ma forse non lo utilizzo bene e non riesco a risolvere gli altri problemi)
la stessa finestra me la apre quando clicco sul file exc.bat che mi trovo su document&setting
sono riuscito a stampare la pagina di una finestra Dos che allego
....ditemi voi cosa devo fare aiutatemi...!!!grazie!!!!

[lepere85]

...questa è la finestra che mi compare appena accendo il pc.....

[quizface]

Penso che il tuo problema sia il virus SSVICHOSST
Prova la prima soluzione da qui'
http://www.windowsreference.com/windows ... sst-virus/

[aurelio37]

Sposto in sicurezza e Privacy, aurelio37

[lepere85]

,,ma è tutto in inglese...non ci capisco nulla....io sono andato su altri orum e mi è stto consiglito di fare una scasione con combofix poi caricare il log su Wikisend e poi caricare il log sul forum io non so dove mettermi le mani con i file log, li arico cosa dicono???? grazie...

[lepere85]

inoltr mi crea il fil exc tipo file batch ms-dos....AIUTtemi perche mi lasciate solooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo!!!!

[Frate Aurelio]

@lepere85
Ciao e benvenuto nel forum.

Sei grado di trascriverci il contenuto del file batch (di norma ha l'estensine . bat o .nt) da te segnalato e che puo aprire con Blocco Note.
Comunque tranquillo !.

Hijackthis

http://www.trendsecure.com/portal/en-US ... s/download
Scaricare cliccando su:
● Download Hijackthis Installer (consigliato)
Il file scaricato è: Hjtinstall.exe
L’installazione non installa nulla se non il solo file eseguibile.
Caricare, cliccando, il file exe scaricato che proporrà un percorso di installazione:
- C:\Programmi\Trend Micro\HijackThis (lo puoi anche cambiare a piacimento)
- Confermare premendo il pulsante Install
- Verrà creata, sul desktop, l’icona di collegamento a Hijackthis.

● Consiglio Generale
Tutte le operazioni devono essere eseguite:
- Avvio PC in modalità normale
- Con il minor numero possibile di programmi in attività

● Creazione file Hijackthis.log:
- Cliccare sulla icona Hijackthis sul Desktop
- Premere il pulsante:
- Do System scan and save a logfile
Si aprirà il file Hijackthis.log con Blocco Note e nel contempo lo salverà in C:\Programmi\Trend Micro\HijackThis dove lo si potrà sempre rintracciare.
Con Notepad eseguire:
- Modifica►Seleziona tutto►Tasto Destro del mouse►copia
Postarlo nel Topic seguendo la seguente istruzione:
- Copiare, nella risposta al topic, i seguenti tag:
[code][/code]
- Incollare il file Hijackthis.log, in mezzo alle due parentesi quadre centrali.

Frate Aurelio

[lepere85]

Codice: Seleziona tutto

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.51.28, on 12/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmi\CA\eTrust Internet Security Suite\caissdt.exe
C:\Programmi\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\Programmi\CA\eTrust Internet Security Suite\eTrust Anti-Spam\QSP-4.0.380.0\QOELoader.exe
C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
C:\Programmi\CA\eTrust Internet Security Suite\eTrust Personal Firewall\ca.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\WScript.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\acer\eRecovery\Monitor.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmi\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Programmi\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programmi\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [QOELOADER] "C:\Programmi\CA\eTrust Internet Security Suite\eTrust Anti-Spam\QSP-4.0.380.0\QOELoader.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\CA\eTrust Internet Security Suite\eTrust Personal Firewall\ca.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FJS2894] C:\WINDOWS\system32\FJS2894.vbe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ccleaner] "C:\Programmi\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programmi\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programmi\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 8901 bytes


[lepere85]

e adesso?????

[lepere85]

...qualcuno mi puo far sapere cosa debbo fareeeeeeee....!!! ...per favoreeeeeeeeeeeeeee

[Frate Aurelio]

@lepere85
Ciao

Non hai risposto alla mia domanda.

Sei grado di trascriverci il contenuto del file batch (di norma ha l'estensine . bat o .nt) da te segnalato e che puoi aprire con Blocco Note ?.

Comunque esegui:
● Scarica Combofix (puoi salvarlo sul desktop) da:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● Importante:
- Non funziona in modalità provvisoria.
- Chiudere la connessione a Internet (meglio se spegni il modem).
- Disabilitare temporaneamente l’antivirus, antispyware e firewall.
- Chiudere tutti i programmi aperti.
- Non usare nessun programma sino al termine.
- Se durante la scansione viene richiesta la rimozione di driver, acconsentire.
- Sono eventualmente drivers infetti.
- Durante la scansione non usare il PC. Lasciare inattiva la tastiera e attendere il termine di tutte le operazione.
- Combofix puo riavviare il PC, non fate assolutamente nulla.

● Caricamento ComboFix
Cliccare su:
- combofix.exe
- Premere Invio.
- Alla richiesta di creare una console di ripristino rispondere:
NO
● Importante:
Non usare nessun programma sino a che Combofix non abbia terminato.
- Al termine, verrà creato un file log in C:\ComboFix.txt
Viene aperto da Combofix con il Blocco Note o potrebbe essere da voi aperto con il citato percorso.
Eseguire:
- Modifica►Seleziona tutto►Tasto Destro del mouse►copia
Postarlo nel Topic seguendo la seguente istruzione:
- Copiare nella risposta al topic i seguenti tag:
[code][/code]
- Incollare, il log di Combofix, in mezzo alle due parentesi quadre centrali.

Frate Aurelio

[lepere85]

allora...se clicco due volte sul file batch mi apre una finestra DOS nella quale carica le seguneti scritte:

Taskkill /F /im SSCVIHOST.exe /T
Taskkill /F /im xmss.exe /T
Taskkill /F /im "Funny UST Scandal.avi.exe" /T

in una frazione di secondo, e subito dopo chiude la finestra DOS.


Il file log di combofix gi lo inserito come allegato nel messaggio precedentecmq ora la rifaccio e faccio come dici tu...
ma cosa si è notato dal file log precedente??

[Frate Aurelio]

@lepere85
Ciao

allora...se clicco due volte sul file batch mi apre una finestra DOS nella quale carica le seguenti scritte:
.........

Come si chiama il file batch ?

Eseguire:
- Posizionarsi sul file batch con il cursore del mouse.
Tasto destro del mouse►apri con..
- Selezionare Blocco note…
- Se presente, levare la spunta a:
Usa sempre il programma selezionato per aprire questo tipo di file
- Premere il tasto:
OK
Eseguire:
- Modifica►Seleziona tutto►Tasto Destro del mouse►copia
Postarlo nel Topic seguendo la seguente istruzione:
- Copiare nella risposta al topic i seguenti tag:
[code][/code]
- Incollare, il contenuto del file batch, in mezzo alle due parentesi quadre centrali.

Quello che mi preoccupa é che il file log di Hijackthis è pulito.

Frate Aurelio

[lepere85]

allora scusa per le incomprensioni...cmq

-ho aperto il file batch, tramite modifica e nel bloknote compaiono lle seguenti scritte che da quel poco che riesco a leggere sono le stesse che compaiono quando clicco due volte sul file ed mi si apre la finestra Dos.

- il file si chiama exc ed è un file di tipo "File batch MS-DOS"

Codice: Seleziona tutto

Taskkill /F /im SSCVIHOST.exe /T
Taskkill /F /im xmss.exe /T
Taskkill /F /im "Funny UST Scandal.avi.exe" /T

- posto il risultato di combofix:

Codice: Seleziona tutto

ComboFix 09-02-12.03 - Michele 2009-02-13 10.01.07.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1040.18.1022.641 [GMT 1:00]
Eseguito da: c:\documents and settings\Michele\Desktop\ComboFix.exe
 * Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
D:\Autorun.inf

.
(((((((((((((((((((((((((   Files Creati Da 2009-01-13 al 2009-02-13  )))))))))))))))))))))))))))))))))))
.

2009-02-13 09:31 . 2009-02-13 09:31   <DIR>   d--------   c:\windows\system32\LogFiles
2009-02-12 10:50 . 2009-02-12 10:50   <DIR>   d--------   c:\programmi\Trend Micro
2009-02-09 11:23 . 2009-02-09 11:23   <DIR>   d--------   C:\BackUpMSNCleaner
2009-02-09 11:06 . 2009-02-06 17:34   32,768   --a------   C:\PRT.exe
2009-02-09 11:03 . 2009-02-09 11:11   1,372   --a------   C:\taskkill_ssvichosst.lnk
2009-02-09 11:02 . 2001-09-04 07:23   72,192   --a------   c:\windows\system32\taskkill.exe
2009-02-03 18:10 . 2009-02-13 08:45   109   --a------   c:\documents and settings\Michele\exc.bat
2009-02-03 10:49 . 2009-02-13 10:01   4,734   -rahs----   c:\windows\system32\FJS2894.vbe
2009-02-03 10:49 . 2009-02-13 10:01   4,734   -rahs----   c:\windows\FJS2894.vbe
2009-02-03 10:49 . 2009-02-13 10:01   4,734   -rahs----   C:\FJS2894.vbe
2009-02-03 10:49 . 2009-02-13 10:01   109   -rahs----   c:\windows\system32\exc.bat
2009-02-03 10:49 . 2009-02-13 10:01   109   -rahs----   c:\windows\exc.bat
2009-02-03 09:37 . 2009-02-03 09:37   <DIR>   d--------   c:\programmi\Packard Bell
2009-02-02 20:33 . 2009-02-02 20:33   <DIR>   d--------   c:\programmi\Packard Bell External HDD
2009-02-02 19:47 . 2005-11-15 10:41   <DIR>   d--------   c:\programmi\CAESAR3
2009-01-14 13:20 . 2009-01-14 13:20   <DIR>   d--------   c:\programmi\Microsoft Silverlight

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-09 11:45   ---------   d-----w   c:\programmi\Total Video Converter
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-13 1695232]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]
"PcSync"="c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]
"ccleaner"="c:\programmi\CCleaner\ccleaner.exe" [2006-05-31 573440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-07 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-07 126976]
"SynTPLpr"="c:\programmi\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-19 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-24 2880512]
"LManager"="c:\programmi\Launch Manager\QtZgAcer.EXE" [2005-03-28 319488]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"NeroFilterCheck"="c:\programmi\File comuni\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"PCSuiteTrayApplication"="c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"FJS2894"="c:\windows\system32\FJS2894.vbe" [2009-02-13 4734]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Tasto di scelta rapida per l'avvio di AutoCAD.lnk - c:\programmi\File comuni\Autodesk Shared\acstart17.exe [2006-03-05 11000]
Adobe Gamma Loader.exe.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-21 110592]
Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-21 110592]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2008-10-20 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2008-10-20 78208]
.
Contenuto della cartella 'Scheduled Tasks'

2009-02-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Scansione supplementare -------
.
uStart Page = hxxp://global.acer.com
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
FF - ProfilePath - c:\documents and settings\Michele\Dati applicazioni\Mozilla\Firefox\Profiles\l9nsa78c.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-13 10:04:47
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(288)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(632)
c:\windows\system32\VetRedir.dll
c:\windows\system32\ISafeIf.dll
.
Ora fine scansione: 2009-02-13 10.06.27
ComboFix-quarantined-files.txt  2009-02-13 09:06:20
ComboFix2.txt  2009-02-09 10:53:42

Pre-Run: 13.138.690.048 byte disponibili
Post-Run: 13,137,739,776 byte disponibili

117


[Luke57]

Ciao, apri un file di testo dal blocco note di windows, incollaci il seguemnte codice:

Codice: Seleziona tutto

File::
C:\taskkill_ssvichosst.lnk
c:\documents and settings\Michele\exc.bat
c:\windows\system32\FJS2894.vbe
c:\windows\FJS2894.vbe
C:\FJS2894.vbe
c:\windows\system32\exc.bat
c:\windows\exc.bat

Rgistry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FJS2894"=-

salvlo nlla stessa directory di combofix chiamandolo obbligatoriamente CFScript.txt
trascinalo con il puntatore del mouse sull'icona di combofix, il programma eseguirà una nuova scansione. Al ermne di esa riavvia il computer e posta il nuvo report C:\combofix.txt.

[lepere85]

Codice: Seleziona tutto

ComboFix 09-02-12.03 - Michele 2009-02-13 11.50.35.3 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1040.18.1022.645 [GMT 1:00]
Eseguito da: c:\documents and settings\Michele\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Michele\Desktop\CFScript.txt
AV: Twister AntiTrojanVirus *On-access scanning disabled* (Outdated)
 * Creato nuovo punto di ripristino

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!

FILE ::
c:\documents and settings\Michele\exc.bat
C:\FJS2894.vbe
C:\taskkill_ssvichosst.lnk
c:\windows\exc.bat
c:\windows\FJS2894.vbe
c:\windows\system32\exc.bat
c:\windows\system32\FJS2894.vbe
.

(((((((((((((((((((((((((((((((((((((   Altre eliminazioni   )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\documents and settings\Michele\exc.bat
C:\FJS2894.vbe
c:\windows\exc.bat
c:\windows\FJS2894.vbe
c:\windows\system32\exc.bat
c:\windows\system32\FJS2894.vbe
D:\Autorun.inf

.
(((((((((((((((((((((((((   Files Creati Da 2009-01-13 al 2009-02-13  )))))))))))))))))))))))))))))))))))
.

2009-02-13 11:45 . 2009-02-13 11:45   <DIR>   d--------   c:\windows\LastGood
2009-02-13 11:37 . 2009-02-13 11:37   1,170   --a------   c:\windows\system32\acdb.err
2009-02-13 11:06 . 2009-02-13 11:06   <DIR>   d--------   c:\documents and settings\Michele\Dati applicazioni\InstallShield
2009-02-13 09:31 . 2009-02-13 09:31   <DIR>   d--------   c:\windows\system32\LogFiles
2009-02-12 10:50 . 2009-02-12 10:50   <DIR>   d--------   c:\programmi\Trend Micro
2009-02-09 11:23 . 2009-02-09 11:23   <DIR>   d--------   C:\BackUpMSNCleaner
2009-02-09 11:06 . 2009-02-06 17:34   32,768   --a------   C:\PRT.exe
2009-02-09 11:02 . 2001-09-04 07:23   72,192   --a------   c:\windows\system32\taskkill.exe
2009-02-03 09:37 . 2009-02-03 09:37   <DIR>   d--------   c:\programmi\Packard Bell
2009-02-02 20:33 . 2009-02-02 20:33   <DIR>   d--------   c:\programmi\Packard Bell External HDD
2009-02-02 19:47 . 2005-11-15 10:41   <DIR>   d--------   c:\programmi\CAESAR3
2009-01-14 13:20 . 2009-01-14 13:20   <DIR>   d--------   c:\programmi\Microsoft Silverlight

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-09 11:45   ---------   d-----w   c:\programmi\Total Video Converter
.

(((((((((((((((((((((((((((((((((((((   Punti Reg Caricati   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programmi\Messenger\msmsgs.exe" [2008-04-13 1695232]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programmi\File comuni\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]
"PcSync"="c:\programmi\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]
"ccleaner"="c:\programmi\CCleaner\ccleaner.exe" [2006-05-31 573440]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-07 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-07 126976]
"SynTPLpr"="c:\programmi\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394]
"SynTPEnh"="c:\programmi\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-19 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"ATIPTA"="c:\programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-24 2880512]
"LManager"="c:\programmi\Launch Manager\QtZgAcer.EXE" [2005-03-28 319488]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"NeroFilterCheck"="c:\programmi\File comuni\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"PCSuiteTrayApplication"="c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"QuickTime Task"="c:\programmi\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\programmi\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"twister"="c:\programmi\Filseclab\Twister\twister.exe" [2008-01-01 565248]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Tasto di scelta rapida per l'avvio di AutoCAD.lnk - c:\programmi\File comuni\Autodesk Shared\acstart17.exe [2006-03-05 11000]
Adobe Gamma Loader.exe.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-21 110592]
Adobe Gamma Loader.lnk - c:\programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-21 110592]
Filseclab Messenger.lnk - c:\programmi\File comuni\Filseclab\FilMsg.exe [2009-02-13 319488]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmi\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmi\\MSN Messenger\\livecall.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=

R1 filar;Filseclab Dynamic Defense System Driver;c:\progra~1\FILECO~1\FILSEC~1\filar.sys [2009-02-13 10896]
R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2008-10-20 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2008-10-20 78208]
R3 IMMDRV;Filseclab Twister Kernel Module;c:\progra~1\FILSEC~1\Twister\immdrv.sys [2009-02-13 151952]
S3 filpp;Filseclab Process Protection Driver;c:\progra~1\FILECO~1\FILSEC~1\filpp.sys [2009-02-13 8176]
.
Contenuto della cartella 'Scheduled Tasks'

2009-02-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-FJS2894 - c:\windows\system32\FJS2894.vbe


.
------- Scansione supplementare -------
.
uStart Page = hxxp://global.acer.com
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
FF - ProfilePath - c:\documents and settings\Michele\Dati applicazioni\Mozilla\Firefox\Profiles\l9nsa78c.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-13 11:51:36
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
--------------------- Dlls caricate dai processi in esecuzione ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\windows\system32\Ati2evxx.dll
.
Ora fine scansione: 2009-02-13 11.52.28
ComboFix-quarantined-files.txt  2009-02-13 10:52:28
ComboFix3.txt  2009-02-09 10:53:42
ComboFix2.txt  2009-02-13 09:06:32

Pre-Run: 12.956.368.896 byte disponibili
Post-Run: 12,969,836,544 byte disponibili

133


[Frate Aurelio]

Ciao luke57,
mi lasciano perplessi quei due file autorun.inf già cancellati precedentemente da combofix e nuovamente ricancellati nell'ultima azione di combo.
Buona giornata.

Frate Aurelio

[lepere85]

...ciao aurelio ora che sei connesso ne approfitto...senti io nel frattempo ho seguito questo processo perche mi hanno detto che avevo anche il virus xmss.exe quindi ho seguito questa procedura per eliminarlo, quindi non so cosa posso aver cambiato nella scansione di combofix, anche perche non sono stato in grado di trovare nessun file che mi consigliavano di eliminare, infatti dopo aver cambiato Shell da explorer.exe a explorer.exe, xmss.exe non sono riuscito a trovatre i file da eliminare sotto citati...ciao rispondimi ti pregoo!!!!

[lepere85]

è questa la procedura che ho seguito da

Correzioni Win32 worm autorun .*

a

Riavviare Windows

http://42.kaizeku.com/it/windows/xmss-exe-funny-ust-scandal-avi-worm/

[Luke57]

Ciao, per piacere puoi modificare questo tono di angoscia nei tuoi messaggi? E' abbastanza fastidioso.
Adesso il report di combofix sembrerebbe a posto, i problemi continuano?