Condividi:        

virus: Hacktool.Rootkit

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

virus: Hacktool.Rootkit

Postdi mr gray » 18/11/06 17:15

Salve, mi capita da qualche giorno di visualizzare, all'accenzione del computer, un avviso di Norton AntiVirus che dice:"Norton AntiVirus has detecteda virus on your computer" e in ogetto c'é scritto
Object name- C:\WINDOWS\IEXPLORER32.DLL
Virus Name - Hacktool.Rootkit
Action Taken - Acces to the file was denied
Quando premo ok su detto avviso ricompare istantaneamente come se Norton si fosse incantato ed in oltre il mio PC si é particolarmente rallentato nell'apertura di files, cartelle e pagine web...cosa posso fare?
Allego mio log file...Grazie.

Logfile of HijackThis v1.99.1
Scan saved at 16.59.43, on 18/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\service32.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
c:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Stefano\IMPOST~1\Temp\Rar$EX00.173\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\Shared Files\CAMTRAY.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programmi\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{65BE5CD5-4403-47C4-8577-82ADF8246EA8}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

Sponsor
 

Postdi andorra24 » 18/11/06 17:38

mr gray ha scritto:Mi scuso, ho scritto male cio' che compare nel Virus Allert di Norton.
In Object Name c'é: C\WINDOWS\iexplorre32.dll
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi andorra24 » 18/11/06 17:40

Ciao, apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce indicata sotto e premi ''kill process'':

C:\WINDOWS\service32.exe

Poi, da START\ESEGUI digita regedit

Portati alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\

e cancella la chiave: 1 = C:\WINDOWS\service32.exe

Portati alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\
e cancella la chiave: 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L)

Riavvia il PC.

Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata e disattiva nascondi file protetti di sistema. (Pannello di controllo > Opzioni Cartella > Visualizzazione)

Scarica KillBox
http://www.killbox.net/downloads/KillBox.exe
estrai l'eseguibile sul desktop
Apri KillBox
inserisci all'interno della stringa bianca questo percorso
C:\WINDOWS\service32.exe
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso.

Dopo aver eliminato il file service32.exe potrai eliminare il file C\WINDOWS\iexplorre32.dll

Controlla per sicurezza se hai anche qualcuno dei seguenti files e se ne trovi qualcuno eliminalo:

C:\WINDOWS\svchost.exe
C:\WINDOWS\syst32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\scrss32.dll
C:\WINDOWS\623958248.exe
C:\WINDOWS\winsyst32.exe
C:\WINDOWS\lsas32.dll
C:\WINDOWS\svchost32.dll

Elimina i files temp sia di windows che di IE. Puoi anche avvalerti dell'ausilio di un pulitore tipo ccleaner.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Prego chiarire per favore.

Postdi mr gray » 18/11/06 18:20

Ciao, apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce indicata sotto e premi ''kill process'':

C:\WINDOWS\service32.exe

Poi, da START\ESEGUI digita regedit

Portati alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\

e cancella la chiave: 1 = C:\WINDOWS\service32.exe

Fin qui tutto bene!
Portati alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\
e cancella la chiave: 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L)

Su questo punto sopra riportato ho qualche difficolta', non riesco a trovare chiave 9F65E3H10M o simili.
Su HKEY_LOCAL_MACHINE\SOFTWARE\ -- mi compare solo un file (predefinito) tipo REG_SZ
Devo forse andare in qualche sottocartella di SOFTWARE?
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

Postdi andorra24 » 18/11/06 19:30

mr gray ha scritto:Guardando bene su HKEY_LOCAL_MACHINE\SOFTWARE\ c'é una sottocartella che contiene il seguente codice: 73KLT90N2H tipo REG_BINARY é forse quello il codice in questione?
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi andorra24 » 18/11/06 19:33

Prima di eliminare quella chiave fai per sicurezza un backup cliccandola col destro del mouse e selezionando ''esporta''.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

manca qualcosa.

Postdi mr gray » 19/11/06 01:46

Chiedo scusa per avere fatto un po' di confusione con il forum, non accadra' piu'.

Tornando al problema, stando alle tue istruzioni ho eliminato il file C:\WINDOWS\service32.exe con KillBox e quando tento di fare la stessa cosa con il file C\WINDOWS\iexplorre32.dll mi compare la seguente schermata: "Pending File Operations Registri Data has been Removed by External Process!".
Ci ho provato anche con uno dei file che mi hai detto di togliere insieme a quello suindicato, che é C:\WINDOWS\system32\svchost.exe ma KillBox mi da la stessa risposta...che mi consigli di fare?

p.s.: come noterai, sono un novizio in queste cose perciò ti prego di essere piu' semplice possibile nelle spiegazioni senza dare nulla per scontato (per esempio mi hai detto che alla fine di tutte queste operazioni devo eliminare i files temp sia di windows che di IE...Come si fa? E che cosa é IE?

Grazie infinite per la pazienza!
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

Re: manca qualcosa.

Postdi andorra24 » 19/11/06 02:14

mr gray ha scritto:Chiedo scusa per avere fatto un po' di confusione con il forum, non accadra' piu'.

Tornando al problema, stando alle tue istruzioni ho eliminato il file C:\WINDOWS\service32.exe con KillBox e quando tento di fare la stessa cosa con il file C\WINDOWS\iexplorre32.dll mi compare la seguente schermata: "Pending File Operations Registri Data has been Removed by External Process!".

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema (consigliato)''.
Controlla se il file in rosso e' ancora presente oppure no e fammelo sapere: C\WINDOWS\iexplorre32.dll

mr gray ha scritto:Ci ho provato anche con uno dei file che mi hai detto di togliere insieme a quello suindicato, che é C:\WINDOWS\system32\svchost.exe ma KillBox mi da la stessa risposta...che mi consigli di fare?

Errore. Io non ti ho detto di eliminare il file svchost.exe che si trova nella cartella system32 (che e' un file di sistema) ma ti ho detto di eliminare (qualora fosse presente) il file svchost.exe nella cartella windows.
mr gray ha scritto:per esempio mi hai detto che alla fine di tutte queste operazioni devo eliminare i files temp sia di windows che di IE...Come si fa? E che cosa é IE?

Grazie infinite per la pazienza!

Per eliminare i files temp di windows e IE (Internet Explorer) puoi usare ATF Cleaner:
scarica ATF Cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
Avvia ATF cleaner, clicca sul menu "main" e poi seleziona la casella "Select All". Adesso clicca sul pulsante "Empty selected" e aspetta il messaggio "Done Cleaning!"
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

HACKTOOL ROOTKIT

Postdi mr gray » 19/11/06 02:40

Si il file iexplorre32.dll é ancora presente nella cartella C:\WINDOWS.

Comunque il file svchost.exe fortunatamente non é stato cancellato, anche il mio PC ha avuto pietà di me :-) e me lo ha impedito.
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

Postdi andorra24 » 19/11/06 09:44

Scarica avenger sul desktop
http://www.suspectfile.com/upload/files ... venger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,copia e incolla la scritta in neretto:

Files to delete:
C:\WINDOWS\iexplorre32.dll


Clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
Una volta riavviato il pc, collegati e posta il contenuto del file C:\Avenger.txt
Ultima modifica di andorra24 su 19/11/06 15:43, modificato 1 volte in totale.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Avenger.

Postdi mr gray » 19/11/06 15:21

Ecco il post di Avenger:



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jrkuylyw

*******************

Script file located at: \??\C:\WINDOWS\qllcfles.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Could not open file C\WINDOWS\iexplorre32.dll for deletion
Deletion of file C\WINDOWS\iexplorre32.dll failed!

Could not process line:
C\WINDOWS\iexplorre32.dll
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

Postdi andorra24 » 19/11/06 15:45

Hai fatto un piccolo errore ma non preoccuparti. Ripeti nuovamente l'operazione che ti ho descritto nel messaggio precedente e poi posta il log di avenger.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Avenger

Postdi mr gray » 19/11/06 16:00

Sembra che questa volta Avenger l'abbia presa male, ecco il log:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!

Ho fatto come mi hai detto scrupolosamente :-?
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

Postdi andorra24 » 19/11/06 16:39

Mah strano, vorra' dire che cambieremo tool per eliminare quel file. Usa Delete doctor. Lo scarichi da qui: http://www.ilsoftware.it/dl.asp?ID=796
Qui invece ti spiega come usarlo: http://www.megalab.it/articoli.php?id=652
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Sembra che...

Postdi mr gray » 19/11/06 17:07

Sembra che con Delete Doctor il file sia finalmente sparito; ho fatto un po' di pulizie con ATF Cleaner, l'unica strana anomalia c'e' quando riavvio il computer, ossia la caratteristica musica che si sente all'avvio di windows, per un istante va in distorsione per poi ritornare normale.
Colpa forse del file 73KLT90N2H che ho tolto da HKEY_LOCAL_MACHINE\SOFTWARE\ nelle prime fasi delle operazioni di eliminazione del Virus?
Comunque, dietro tue indicazioni, ho esportato il file 73KLT90N2H facendone una copia che adesso riposa in una cartella sul Desk Top.
Attendo istruzioni :)
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

Postdi andorra24 » 19/11/06 17:21

Ma questa cosa della musichetta ti e' accaduta varie volte o solo una volta? Magari e' una cosa casuale, passeggera che si risolvera' da sola. Non vedo nessuna attinenza con l'eliminazione di un file infetto o con l'eliminazione dei files Temp. Per quanto riguarda il backup di quella voce di registro che hai fatto tienilo per qualche giorno e dopo puoi anche eliminarlo. Se vuoi puoi postare un nuovo log di hijackthis per vedere se e' tutto a posto.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Musica Windows

Postdi mr gray » 20/11/06 03:41

In realta' queto problema della distorsione della musica di apertura Windows é una costante da ieri, ossia da quando sto lavorato al PC al solo scopo di risolvere l'inconveniente del Virus grazie al tuo preziosissimo aiuto, ergo l'unica causa che mi viene in mente, dal piu' profondo baratro della mia ignoranza in materia, é che forse l'aver tolto la chiave (73KLT90N2H) da HKEY_LOCAL_MACHINE\SOFTWARE\ potrebbe avere, se pur indirettamente, dato luogo a tale anomalia...non so.
Hai dei suggerimenti al riguardo?
Tipo rimettere la chiave al suo posto?
Oppure qualche altra idea?
Grazie 1000!!! :)
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

log file

Postdi mr gray » 20/11/06 04:05

Dimenticavo, ecco il log file che mi avevi chiesto.


Logfile of HijackThis v1.99.1
Scan saved at 4.04.22, on 20/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
c:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Stefano\IMPOST~1\Temp\Rar$EX00.254\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] c:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programmi\Creative\Shared Files\CAMTRAY.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programmi\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5746\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{65BE5CD5-4403-47C4-8577-82ADF8246EA8}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

Postdi andorra24 » 20/11/06 10:34

Il log adesso e' pulito. Per quanto riguarda questo strano inconveniente della distorsione della musica di windows non c'e' nessuna attinenza con i files infetti che hai eliminato. Al limite puoi provare a ripristinare quella chiave del registro che hai tolto (facendo doppio click sul backup) e vedi se la musichetta torna normale. Se non torna normale elimina nuovamente quella chiave come hai fatto ieri.
Ultima modifica di andorra24 su 20/11/06 15:14, modificato 1 volte in totale.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Risolto

Postdi mr gray » 20/11/06 15:08

Come sospettavo, l'aver rimesso al suo posto quella chiave non ingenera piu' quella fastidiosa anomalia sulla musica di apertura di Windows percio' ora si puo' dire che il caso é risolto, Ti sono veramente grato per l'aiuto...un grazie di cuore! :lol:
mr gray
Utente Junior
 
Post: 27
Iscritto il: 04/10/06 21:41

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "virus: Hacktool.Rootkit":


Chi c’è in linea

Visitano il forum: Nessuno e 97 ospiti