• User

    Pioggia Di Dialer

    Rieccomi qui con un nuovo problemino niente male. Da alcuni giorni il mio pc è tempestato da dialer: Perchè questo accanimento??? Ho LIBERO ADSL e il modem in alcuni momenti o non riesce proprio a connettersi oppure la connessione dura pochissimo poi cade. Ora il modem é in stato di grazia(pare) quindi colgo l'attimo per sapere cosa ne pensate. Da quando mi avete fatto conoscere Virit Explorer, ho disistallato Avast (violato non poco) e mi sono affidato a quest'ultimo. Altra mia sentinella è a-squared Anti-Dialer e questi sono gli ospiti indesiderati che turbano la quiete del mio pc:
    flroxa.exe Infetto da Trojan.Win32.Dialer.IH(è il più seccante: esce dalla porta e rientra dalla finestra):x :arrabbiato: :arrabbiato:
    ozzbua.exe Infetto da Trojan.Win32.Dialer.IH:x
    Dh12.exe Infetto da Trojan.Win32.Dialer.IH:x
    becgya.exe:x
    Le scansioni le effettuo anche con Spybot e con Lavasoft Ad-Aware ma debbo dire che le magagne me le trova Virit. Attualmente ritengo che Flroxa sia mio ospite indesiderato, ma non lo riesco ad individuare con i suoi labroni rossi!:figo: Ritenete ci sia il modo di tenere lontani una volta per tutte questi dannosi intrusi e ridare di nuovo salute e vigore al mio malato modem:? :mmm:
    Ringraziandovi anticipatamente per un vs eventuale aiuto rimango in attesa(ovviamente modem permettendo)
    il vs devotissimo Brandos


  • User Attivo

    Ciao, Brandos.

    Effettivamente, questo accanimento verso il tuo PC è sospetto.
    Avrai mica un trojan downloader installato?

    Prova a fare una scansione online con kaspersky e una con hijack.


  • User

    Ciao, Kru
    Intanto ti invio il log di Hjackthis: per quanto riguarda la scnsione con Kaspersky ho qualche problema poichè ho il modem sotto attacco e la connessione dura circa 20 secondi😢
    Logfile of HijackThis v1.99.1
    Scan saved at 0.16.04, on 19/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\csrss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\Programmi\Bonjour\mDNSResponder.exe
    H:\WINDOWS\eHome\ehRecvr.exe
    h:\windows\system32\winlogon.exe
    H:\WINDOWS\eHome\ehSched.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\WINDOWS\system32\slserv.exe
    H:\WINDOWS\system32\svchost.exe
    H:\VEXPLITE\viritsvc.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\system32\dllhost.exe
    H:\WINDOWS\system32\wscntfy.exe
    H:\WINDOWS\System32\alg.exe
    H:\WINDOWS\ehome\ehtray.exe
    H:\WINDOWS\system32\RunDll32.exe
    H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
    H:\WINDOWS\eHome\ehmsas.exe
    H:\WINDOWS\system32\RUNDLL32.EXE
    H:\Programmi\a-squared Anti-Dialer\a2adguard.exe
    H:\VEXPLITE\MONLITE.EXE
    H:\WINDOWS\system32\ctfmon.exe
    H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
    H:\Programmi\MSN Messenger\MsnMsgr.Exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
    H:\WINDOWS\system32\slrundll.exe
    H:\Programmi\MSN Messenger\usnsvc.exe
    H:\Programmi\Internet Explorer\iexplore.exe
    H:\Documents and Settings\family\Desktop\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
    O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
    O4 - HKLM..\Run: [QuickTime Task] "H:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
    O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
    O4 - HKLM..\Run: [a-squared Anti-Dialer] "H:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
    O4 - HKLM..\Run: [enxfaa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\enxfaa.exe
    O4 - HKLM..\Run: [kztfaa.exe] H:\WINDOWS\TEMP\kztfaa.exe
    O4 - HKLM..\Run: [VIRIT LITE MONITOR] H:\VEXPLITE\MONLITE.EXE
    O4 - HKLM..\Run: [ozzbua.exe] H:\DOCUME~1\family\IMPOST~1\Temp\ozzbua.exe
    O4 - HKLM..\Run: [flroxa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\flroxa.exe
    O4 - HKLM..\Run: [niopaa.exe] H:\WINDOWS\TEMP\niopaa.exe
    O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU..\Run: [Uniblue Registry Booster2] H:\Programmi\Uniblue\RegistryBooster2\RegistryBooster.exe /S
    O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O17 - HKLM\System\CCS\Services\Tcpip..{87D86D13-A550-463B-A7CC-CB0129DA6867}: NameServer = 193.70.152.15 193.70.152.25
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - H:\VEXPLITE\viritsvc.exe


  • User Attivo

    Ecco quà:

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O4 - HKLM..\Run: [enxfaa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\enxfaa.exe

    O4 - HKLM..\Run: [kztfaa.exe] H:\WINDOWS\TEMP\kztfaa.exe

    O4 - HKLM..\Run: [ozzbua.exe] H:\DOCUME~1\family\IMPOST~1\Temp\ozzbua.exe

    O4 - HKLM..\Run: [flroxa.exe] H:\DOCUME~1\family\IMPOST~1\Temp\flroxa.exe

    O4 - HKLM..\Run: [niopaa.exe] H:\WINDOWS\TEMP\niopaa.exe

    Tutte le voci in grassetto sono trojan! Complimenti!!!! Ma la collezione la fai per scopi puramente personali, o poi li rivendi cari? 😄
    Scherzo, naturalmente.

    Ecco il mio consiglio. Copiati tutto questo elenco su un documento .txt.
    Riavvia in modalità provvisoria, lancia Hijack e fixa tutte quelle voci.
    Fatto ciò, elimina uno per uno tutti i files indicati nelle voci che ho postato, seguendo i percorsi indicati.
    Vedi pure questa quì:

    O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"

    Se non conosci questo file di programma, o non ti dice niente, ti consiglio di fixarlo, magari fai fare il backup. Un file exe non di windows nella cartella system32 è sempre da considerarsi ultra sospetto.

    Infine, riavvia, rilancia hijack e verifica se sono ancora presenti le voci che hai fixato (oppure riposta il log 😉 )

    Facci sapere :ciauz:


  • User

    Eccomi Kru,ho fatto ciò che mi hai consigliato di fare e questo è il nuovo log:

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\csrss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\Programmi\Bonjour\mDNSResponder.exe
    H:\WINDOWS\eHome\ehRecvr.exe
    H:\WINDOWS\eHome\ehSched.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\WINDOWS\system32\slserv.exe
    H:\WINDOWS\system32\svchost.exe
    H:\VEXPLITE\viritsvc.exe
    H:\WINDOWS\system32\dllhost.exe
    H:\WINDOWS\System32\alg.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\system32\wscntfy.exe
    H:\WINDOWS\system32\wbem\wmiprvse.exe
    H:\WINDOWS\ehome\ehtray.exe
    H:\WINDOWS\eHome\ehmsas.exe
    H:\WINDOWS\system32\RunDll32.exe
    H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
    H:\WINDOWS\system32\RUNDLL32.EXE
    H:\Programmi\a-squared Anti-Dialer\a2adguard.exe
    H:\VEXPLITE\MONLITE.EXE
    H:\WINDOWS\system32\ctfmon.exe
    H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
    H:\Programmi\MSN Messenger\MsnMsgr.Exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
    H:\WINDOWS\system32\slrundll.exe
    H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
    H:\WINDOWS\system32\wuauclt.exe
    H:\WINDOWS\system32\wbem\wmiprvse.exe
    H:\Documents and Settings\family\Desktop\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
    O4 - HKLM..\Run: [QuickTime Task] "H:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
    O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
    O4 - HKLM..\Run: [a-squared Anti-Dialer] "H:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
    O4 - HKLM..\Run: [VIRIT LITE MONITOR] H:\VEXPLITE\MONLITE.EXE
    O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU..\Run: [Uniblue Registry Booster2] H:\Programmi\Uniblue\RegistryBooster2\RegistryBooster.exe /S
    O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - H:\VEXPLITE\viritsvc.exe

    Però ti debbo dire che il modem è sempre agonizzante😢 😢 😢


  • User Attivo

    Hai un modem aethra ?

    Se si, queste 2 voci:

    O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
    O4 - HKLM..\Run: [2kadiras] 2kadiras.exe

    dovrebbero essere normali. Altrimenti, puoi provare ad eliminare anche quelle. Spesso i trojan si riconoscono perchè il nome del file è uguale al nome del processo ([9xadiras]).

    Ma parli di un modem ADSL o 56k ?


  • User

    Ciao, Kru.
    Il modem è un Aethra Starmodem ed ho l' adsl flat di Libero. La connessione attualmente è molto evanescente, dopo qualche istante cade:? :mmm: :mmm:
    Cosa devo fare con i files che mi hai segnalato?


  • User Attivo

    Quei files, allora, non sono dannosi. Fanno parte dei SW del tuo modem. Ho visto però che sembrano inutili.
    Comunque non ti risolvono il problema.

    Il log mi sembra pulito, però....
    dunque, mi viene da pensare che non sia un problema di trojan, nè di dialer (che con l'ADSL non funzionano 😉 ).
    Ho paura che sia più un problema di Libero, che di virus. Insomma, il tuo PC è Libero da virus, ma affetto da Libero 😄

    Facciamo un altro esame.
    Riesci a fare un log dei processi in esecuzione (con il task manager) ? Dovrebbe esserci una discussione di qualche settimana fa, in cui Wolf spiega come ottenerlo.

    Prova a postare quello...


  • User

    Scusami Kru, ma non riesco a trovare questa procedura:bho:


  • User Attivo

  • User

    Rieccomi! Ciao Kru.
    Purtroppo non sono in grado di loggare i processi di task manager. Se si parla di Dos non sò proprio dove mettere le mani :bho:


  • User Attivo

    Se hai win XP, dal menu di avvio
    tutti i programmi > accessori > prompt dei comandi.

    Ti appare una finestra, con il cursore che lampeggia.

    Scrivi: tasklist -v>log.txt

    Fatto 🙂


  • User

    Eccezionale 😄 😄 😄 é bello imparare 😉 😉 😉 GRAZIE!!!
    Ecco il log:

    Nome immagine PID Nome sessione Sessione Utilizzo mem Stato Nome utente Tempo CPU Titolo finestra
    ========================= ====== ================ ======== ============ =============== ================================================== ============ ========================================================================
    System Idle Process 0 Console 0 16 K In esecuzione NT AUTHORITY\SISTEMA 7.51.16 N/D
    System 4 Console 0 220 K In esecuzione NT AUTHORITY\SYSTEM 0.00.17 N/D
    smss.exe 640 Console 0 372 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    csrss.exe 692 Console 0 3.872 K In esecuzione NT AUTHORITY\SYSTEM 0.00.07 N/D
    winlogon.exe 716 Console 0 2.112 K In esecuzione NT AUTHORITY\SYSTEM 0.00.02 N/D
    services.exe 764 Console 0 4.256 K In esecuzione NT AUTHORITY\SYSTEM 0.00.03 N/D
    lsass.exe 776 Console 0 1.424 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
    svchost.exe 936 Console 0 4.992 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    svchost.exe 984 Console 0 4.600 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.01 N/D
    svchost.exe 1024 Console 0 21.452 K In esecuzione NT AUTHORITY\SYSTEM 0.00.10 N/D
    svchost.exe 1104 Console 0 3.380 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.00 N/D
    svchost.exe 1140 Console 0 4.420 K In esecuzione NT AUTHORITY\SERVIZIO LOCALE 0.00.00 N/D
    spoolsv.exe 1324 Console 0 5.272 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    mDNSResponder.exe 1416 Console 0 3.360 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
    ehRecvr.exe 1440 Console 0 4.208 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    ehSched.exe 1464 Console 0 4.976 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    nvsvc32.exe 1540 Console 0 3.676 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 NVSVCPMMWindowClass
    slserv.exe 1604 Console 0 1.016 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    svchost.exe 1624 Console 0 4.028 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    VIRITSVC.EXE 1640 Console 0 1.736 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    explorer.exe 424 Console 0 33.436 K In esecuzione BRANDOS-C1FAD93\family 0.00.35 N/D
    dllhost.exe 460 Console 0 6.140 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    alg.exe 532 Console 0 3.532 K In esecuzione NT AUTHORITY\SERVIZIO LOCALE 0.00.00 N/D
    wscntfy.exe 592 Console 0 2.564 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
    ehtray.exe 2116 Console 0 1.112 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
    rundll32.exe 2132 Console 0 4.128 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 Hidden Main Window
    ehmsas.exe 2140 Console 0 4.752 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 OleMainThreadWndName
    GrooveMonitor.exe 2148 Console 0 5.016 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
    rundll32.exe 2200 Console 0 3.632 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 MediaCenter
    a2adguard.exe 2216 Console 0 5.344 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 a-squared Anti-Dialer 2.0 - Guard
    MONLITE.EXE 2228 Console 0 15.544 K In esecuzione BRANDOS-C1FAD93\family 0.00.25 VirIT Lite Monitor
    ctfmon.exe 2244 Console 0 3.544 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
    NMBgMonitor.exe 2252 Console 0 9.888 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 CDirectoryChangeWatcherHelperWindow
    msnmsgr.exe 2260 Console 0 18.916 K In esecuzione BRANDOS-C1FAD93\family 0.00.11 [EMAIL="[email protected]"][email protected][/EMAIL]
    NMIndexingService.exe 2280 Console 0 9.204 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    NMIndexStoreSvr.exe 2348 Console 0 21.752 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 DirectDBListenWndProc
    DSLMON.exe 2380 Console 0 3.800 K In esecuzione BRANDOS-C1FAD93\family 0.00.01 StarModem ADSL USB MODEM
    slrundll.exe 2728 Console 0 2.648 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 SLLauncher
    usnsvc.exe 3956 Console 0 2.556 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
    IEXPLORE.EXE 1952 Console 0 3.040 K In esecuzione BRANDOS-C1FAD93\family 0.01.01 | virus contro hi-jack-this - Microsoft Internet Explorer
    cmd.exe 492 Console 0 3.324 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 Prompt dei comandi - tasklist -v
    tasklist.exe 3676 Console 0 5.188 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 OleMainThreadWndName
    wmiprvse.exe 3812 Console 0 6.288 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.00 N/D


  • User

    Nel frattempo, non sò perchè, ma qualche cosa mi ha detto di riaffidarmi ad avast( speriamo bene ) e a Prisma firewall :figo:
    Comunque il modem è sempre lesso :arrabbiato:
    Potrò mai riavere la mia bella connessione di un tempo :mmm:
    Eppure ho sempre avuto l'Adsl di Libero. Possibile che all'improvviso tale compagnia abbia sclerato :mmm: Booo.......


  • User Attivo

    Ciao, Brandos.

    Ho esaminato il log, ma sembra pulito anche questo.

    Io non vedo nessun tipo di minaccia attiva. Inoltre, tieni conto che di solito i virus tendono ad inibire l'utilizzo del taskmanager, degli antivirus e di HijackThis, mentre a te questo non succede. Non penso sia un virus.
    Inoltre, hai utilizzato una miriade di SW per effettuare le scansioni, e nessuno ha rilevato niente, salvo i trojan che abbiamo rimosso.

    Potrebbe essere il modem che non va più, a questo punto, oppure una minaccia che riesce a mimetizzarsi troppo bene (ma è quasi impossibile...).

    Hai la possibilità di testare quel modem, da un amico, per esempio, oppure provare ad utilizzare tu un altro modem per connetterti?

    Inoltre vorrei capire una cosa. Dici che dopo un poco cade la connessione. Ma dopo un pò riesci a riconnetterti, oppure una volta caduta non torna più?


  • User

    Ciao, Kru.
    La mia connessione attualmente funziona così: mi connetto, dopo 15 20 secondi la connessione cade allora mi riconnetto e poi ricade ed io mi riconnetto.......... Credimi non è comodo per nulla :bho: :arrabbiato:


  • User Attivo

    Sono sempre più convinto che dipenda dal modem o da Libero.

    Prova ad andare sul task manager, ed a monitorare l'utilizzo di rete.
    Studia quanta banda viene utilizzata istante per istante, poi, osservane i cambiamenti quando "cade" la connessione.


  • User

    Rieccomi,Ciao Kru.
    Non ero sparito ma ero preso a combattere una nuova guerra :arrabbiato:
    Devo dire che è veramente un periodaccio :bho: :bho:
    Ti avevo detto di aver reistallato Avast. Ebbene sia lui che Spybot sono saltati.Ho provato a disistallarli ed a reistallarli ma non vanno. Quando provo a lanciarli il sistema mi dice che non trova l'exe 😞
    Che diano fastidio a qualche intruso? :figo:
    Nel frattempo ho eliminato:
    O4 - HKLM..\Run: [zzqeca.exe] H:\DOCUME~1\family\IMPOST~1\Temp\zzqeca.exe e un Wintenes.exe in System32 (Mi mancavano alla collezione vero??).
    Quindi che dici devo rassegnarmi e rinunciare a questi due programmi oltre che alla regolarità della connessione oppure ho qualche speranza?
    Dimenticavo di dire che il pc non mi permette di riavviare in modalità provvisoria nè di creare un ripristino di configurazione precedente :mmm: :mmm:


  • User

    Attualmente sprovvisto di protezione. ( festaaaaa)
    Non riesco ad istallare nemmeno Avg. Questo è quello che mi comunica il pc:
    Local machine: installation failed
    Installation:
    Error: Action failed for file avgamsvr.exe: creating file....
    No such file or directory
    C'è un qualche cosa che impedisce la creazione degli exe o di alcuni exe 😞
    Sento che la formattazione è vicina:bho: :bho: :bho:


  • User

    Mi controlli, per favore, questo log?:?
    Logfile of HijackThis v1.99.1
    Scan saved at 0.55.49, on 22/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\Programmi\Bonjour\mDNSResponder.exe
    H:\WINDOWS\eHome\ehRecvr.exe
    H:\WINDOWS\eHome\ehSched.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\WINDOWS\system32\slserv.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\system32\dllhost.exe
    H:\WINDOWS\ehome\ehtray.exe
    H:\WINDOWS\system32\RunDll32.exe
    H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
    H:\WINDOWS\eHome\ehmsas.exe
    H:\WINDOWS\system32\RUNDLL32.EXE
    H:\WINDOWS\system32\ctfmon.exe
    H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
    H:\Programmi\MSN Messenger\MsnMsgr.Exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
    H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
    H:\WINDOWS\system32\slrundll.exe
    H:\Programmi\MSN Messenger\usnsvc.exe
    H:\Programmi\Internet Explorer\iexplore.exe
    H:\Programmi\Internet Explorer\iexplore.exe
    H:\Documents and Settings\family\Desktop\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
    O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
    O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
    O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
    O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe