• B
    User

    Eccomi Kru,ho fatto ciò che mi hai consigliato di fare e questo è il nuovo log:

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\csrss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\Programmi\Bonjour\mDNSResponder.exe
    H:\WINDOWS\eHome\ehRecvr.exe
    H:\WINDOWS\eHome\ehSched.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\WINDOWS\system32\slserv.exe
    H:\WINDOWS\system32\svchost.exe
    H:\VEXPLITE\viritsvc.exe
    H:\WINDOWS\system32\dllhost.exe
    H:\WINDOWS\System32\alg.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\system32\wscntfy.exe
    H:\WINDOWS\system32\wbem\wmiprvse.exe
    H:\WINDOWS\ehome\ehtray.exe
    H:\WINDOWS\eHome\ehmsas.exe
    H:\WINDOWS\system32\RunDll32.exe
    H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
    H:\WINDOWS\system32\RUNDLL32.EXE
    H:\Programmi\a-squared Anti-Dialer\a2adguard.exe
    H:\VEXPLITE\MONLITE.EXE
    H:\WINDOWS\system32\ctfmon.exe
    H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
    H:\Programmi\MSN Messenger\MsnMsgr.Exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
    H:\WINDOWS\system32\slrundll.exe
    H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
    H:\WINDOWS\system32\wuauclt.exe
    H:\WINDOWS\system32\wbem\wmiprvse.exe
    H:\Documents and Settings\family\Desktop\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
    O4 - HKLM..\Run: [QuickTime Task] "H:\Programmi\QuickTime\qttask.exe" -atboottime
    O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
    O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
    O4 - HKLM..\Run: [a-squared Anti-Dialer] "H:\Programmi\a-squared Anti-Dialer\a2adguard.exe"
    O4 - HKLM..\Run: [VIRIT LITE MONITOR] H:\VEXPLITE\MONLITE.EXE
    O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU..\Run: [Uniblue Registry Booster2] H:\Programmi\Uniblue\RegistryBooster2\RegistryBooster.exe /S
    O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - H:\VEXPLITE\viritsvc.exe

    Però ti debbo dire che il modem è sempre agonizzante😢 😢 😢

    0
  • K
    User Attivo

    Hai un modem aethra ?

    Se si, queste 2 voci:

    O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
    O4 - HKLM..\Run: [2kadiras] 2kadiras.exe

    dovrebbero essere normali. Altrimenti, puoi provare ad eliminare anche quelle. Spesso i trojan si riconoscono perchè il nome del file è uguale al nome del processo ([9xadiras]).

    Ma parli di un modem ADSL o 56k ?

    0
  • B
    User

    Ciao, Kru.
    Il modem è un Aethra Starmodem ed ho l' adsl flat di Libero. La connessione attualmente è molto evanescente, dopo qualche istante cade:? :mmm: :mmm:
    Cosa devo fare con i files che mi hai segnalato?

    0
  • K
    User Attivo

    Quei files, allora, non sono dannosi. Fanno parte dei SW del tuo modem. Ho visto però che sembrano inutili.
    Comunque non ti risolvono il problema.

    Il log mi sembra pulito, però....
    dunque, mi viene da pensare che non sia un problema di trojan, nè di dialer (che con l'ADSL non funzionano 😉 ).
    Ho paura che sia più un problema di Libero, che di virus. Insomma, il tuo PC è Libero da virus, ma affetto da Libero 😄

    Facciamo un altro esame.
    Riesci a fare un log dei processi in esecuzione (con il task manager) ? Dovrebbe esserci una discussione di qualche settimana fa, in cui Wolf spiega come ottenerlo.

    Prova a postare quello...

    0
  • B
    User

    Scusami Kru, ma non riesco a trovare questa procedura:bho:

    0
  • K
    User Attivo

    La trovi qui:

    Procedura per creare il log da taskmanager

    a dopo 😉

    0
  • B
    User

    Rieccomi! Ciao Kru.
    Purtroppo non sono in grado di loggare i processi di task manager. Se si parla di Dos non sò proprio dove mettere le mani :bho:

    0
  • K
    User Attivo

    Se hai win XP, dal menu di avvio
    tutti i programmi > accessori > prompt dei comandi.

    Ti appare una finestra, con il cursore che lampeggia.

    Scrivi: tasklist -v>log.txt

    Fatto 🙂

    0
  • B
    User

    Eccezionale 😄 😄 😄 é bello imparare 😉 😉 😉 GRAZIE!!!
    Ecco il log:

    Nome immagine PID Nome sessione Sessione Utilizzo mem Stato Nome utente Tempo CPU Titolo finestra
    ========================= ====== ================ ======== ============ =============== ================================================== ============ ========================================================================
    System Idle Process 0 Console 0 16 K In esecuzione NT AUTHORITY\SISTEMA 7.51.16 N/D
    System 4 Console 0 220 K In esecuzione NT AUTHORITY\SYSTEM 0.00.17 N/D
    smss.exe 640 Console 0 372 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    csrss.exe 692 Console 0 3.872 K In esecuzione NT AUTHORITY\SYSTEM 0.00.07 N/D
    winlogon.exe 716 Console 0 2.112 K In esecuzione NT AUTHORITY\SYSTEM 0.00.02 N/D
    services.exe 764 Console 0 4.256 K In esecuzione NT AUTHORITY\SYSTEM 0.00.03 N/D
    lsass.exe 776 Console 0 1.424 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
    svchost.exe 936 Console 0 4.992 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    svchost.exe 984 Console 0 4.600 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.01 N/D
    svchost.exe 1024 Console 0 21.452 K In esecuzione NT AUTHORITY\SYSTEM 0.00.10 N/D
    svchost.exe 1104 Console 0 3.380 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.00 N/D
    svchost.exe 1140 Console 0 4.420 K In esecuzione NT AUTHORITY\SERVIZIO LOCALE 0.00.00 N/D
    spoolsv.exe 1324 Console 0 5.272 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    mDNSResponder.exe 1416 Console 0 3.360 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
    ehRecvr.exe 1440 Console 0 4.208 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    ehSched.exe 1464 Console 0 4.976 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    nvsvc32.exe 1540 Console 0 3.676 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 NVSVCPMMWindowClass
    slserv.exe 1604 Console 0 1.016 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    svchost.exe 1624 Console 0 4.028 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    VIRITSVC.EXE 1640 Console 0 1.736 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    explorer.exe 424 Console 0 33.436 K In esecuzione BRANDOS-C1FAD93\family 0.00.35 N/D
    dllhost.exe 460 Console 0 6.140 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    alg.exe 532 Console 0 3.532 K In esecuzione NT AUTHORITY\SERVIZIO LOCALE 0.00.00 N/D
    wscntfy.exe 592 Console 0 2.564 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
    ehtray.exe 2116 Console 0 1.112 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
    rundll32.exe 2132 Console 0 4.128 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 Hidden Main Window
    ehmsas.exe 2140 Console 0 4.752 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 OleMainThreadWndName
    GrooveMonitor.exe 2148 Console 0 5.016 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
    rundll32.exe 2200 Console 0 3.632 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 MediaCenter
    a2adguard.exe 2216 Console 0 5.344 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 a-squared Anti-Dialer 2.0 - Guard
    MONLITE.EXE 2228 Console 0 15.544 K In esecuzione BRANDOS-C1FAD93\family 0.00.25 VirIT Lite Monitor
    ctfmon.exe 2244 Console 0 3.544 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 N/D
    NMBgMonitor.exe 2252 Console 0 9.888 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 CDirectoryChangeWatcherHelperWindow
    msnmsgr.exe 2260 Console 0 18.916 K In esecuzione BRANDOS-C1FAD93\family 0.00.11 [EMAIL="[email protected]"][email protected][/EMAIL]
    NMIndexingService.exe 2280 Console 0 9.204 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 N/D
    NMIndexStoreSvr.exe 2348 Console 0 21.752 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 DirectDBListenWndProc
    DSLMON.exe 2380 Console 0 3.800 K In esecuzione BRANDOS-C1FAD93\family 0.00.01 StarModem ADSL USB MODEM
    slrundll.exe 2728 Console 0 2.648 K In esecuzione NT AUTHORITY\SYSTEM 0.00.00 SLLauncher
    usnsvc.exe 3956 Console 0 2.556 K In esecuzione NT AUTHORITY\SYSTEM 0.00.01 N/D
    IEXPLORE.EXE 1952 Console 0 3.040 K In esecuzione BRANDOS-C1FAD93\family 0.01.01 | virus contro hi-jack-this - Microsoft Internet Explorer
    cmd.exe 492 Console 0 3.324 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 Prompt dei comandi - tasklist -v
    tasklist.exe 3676 Console 0 5.188 K In esecuzione BRANDOS-C1FAD93\family 0.00.00 OleMainThreadWndName
    wmiprvse.exe 3812 Console 0 6.288 K In esecuzione NT AUTHORITY\SERVIZIO DI RETE 0.00.00 N/D

    0
  • B
    User

    Nel frattempo, non sò perchè, ma qualche cosa mi ha detto di riaffidarmi ad avast( speriamo bene ) e a Prisma firewall :figo:
    Comunque il modem è sempre lesso :arrabbiato:
    Potrò mai riavere la mia bella connessione di un tempo :mmm:
    Eppure ho sempre avuto l'Adsl di Libero. Possibile che all'improvviso tale compagnia abbia sclerato :mmm: Booo.......

    0
  • K
    User Attivo

    Ciao, Brandos.

    Ho esaminato il log, ma sembra pulito anche questo.

    Io non vedo nessun tipo di minaccia attiva. Inoltre, tieni conto che di solito i virus tendono ad inibire l'utilizzo del taskmanager, degli antivirus e di HijackThis, mentre a te questo non succede. Non penso sia un virus.
    Inoltre, hai utilizzato una miriade di SW per effettuare le scansioni, e nessuno ha rilevato niente, salvo i trojan che abbiamo rimosso.

    Potrebbe essere il modem che non va più, a questo punto, oppure una minaccia che riesce a mimetizzarsi troppo bene (ma è quasi impossibile...).

    Hai la possibilità di testare quel modem, da un amico, per esempio, oppure provare ad utilizzare tu un altro modem per connetterti?

    Inoltre vorrei capire una cosa. Dici che dopo un poco cade la connessione. Ma dopo un pò riesci a riconnetterti, oppure una volta caduta non torna più?

    0
  • B
    User

    Ciao, Kru.
    La mia connessione attualmente funziona così: mi connetto, dopo 15 20 secondi la connessione cade allora mi riconnetto e poi ricade ed io mi riconnetto.......... Credimi non è comodo per nulla :bho: :arrabbiato:

    0
  • K
    User Attivo

    Sono sempre più convinto che dipenda dal modem o da Libero.

    Prova ad andare sul task manager, ed a monitorare l'utilizzo di rete.
    Studia quanta banda viene utilizzata istante per istante, poi, osservane i cambiamenti quando "cade" la connessione.

    0
  • B
    User

    Rieccomi,Ciao Kru.
    Non ero sparito ma ero preso a combattere una nuova guerra :arrabbiato:
    Devo dire che è veramente un periodaccio :bho: :bho:
    Ti avevo detto di aver reistallato Avast. Ebbene sia lui che Spybot sono saltati.Ho provato a disistallarli ed a reistallarli ma non vanno. Quando provo a lanciarli il sistema mi dice che non trova l'exe 😞
    Che diano fastidio a qualche intruso? :figo:
    Nel frattempo ho eliminato:
    O4 - HKLM..\Run: [zzqeca.exe] H:\DOCUME~1\family\IMPOST~1\Temp\zzqeca.exe e un Wintenes.exe in System32 (Mi mancavano alla collezione vero??).
    Quindi che dici devo rassegnarmi e rinunciare a questi due programmi oltre che alla regolarità della connessione oppure ho qualche speranza?
    Dimenticavo di dire che il pc non mi permette di riavviare in modalità provvisoria nè di creare un ripristino di configurazione precedente :mmm: :mmm:

    0
  • B
    User

    Attualmente sprovvisto di protezione. ( festaaaaa)
    Non riesco ad istallare nemmeno Avg. Questo è quello che mi comunica il pc:
    Local machine: installation failed
    Installation:
    Error: Action failed for file avgamsvr.exe: creating file....
    No such file or directory
    C'è un qualche cosa che impedisce la creazione degli exe o di alcuni exe 😞
    Sento che la formattazione è vicina:bho: :bho: :bho:

    0
  • B
    User

    Mi controlli, per favore, questo log?:?
    Logfile of HijackThis v1.99.1
    Scan saved at 0.55.49, on 22/05/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\Programmi\Bonjour\mDNSResponder.exe
    H:\WINDOWS\eHome\ehRecvr.exe
    H:\WINDOWS\eHome\ehSched.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\WINDOWS\system32\slserv.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\system32\dllhost.exe
    H:\WINDOWS\ehome\ehtray.exe
    H:\WINDOWS\system32\RunDll32.exe
    H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
    H:\WINDOWS\eHome\ehmsas.exe
    H:\WINDOWS\system32\RUNDLL32.EXE
    H:\WINDOWS\system32\ctfmon.exe
    H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
    H:\Programmi\MSN Messenger\MsnMsgr.Exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    H:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
    H:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
    H:\WINDOWS\system32\slrundll.exe
    H:\Programmi\MSN Messenger\usnsvc.exe
    H:\Programmi\Internet Explorer\iexplore.exe
    H:\Programmi\Internet Explorer\iexplore.exe
    H:\Documents and Settings\family\Desktop\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lacasalingaideale.it/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM..\Run: [ehTray] H:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM..\Run: [GrooveMonitor] "H:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM..\Run: [NeroFilterCheck] H:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
    O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
    O4 - HKLM..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
    O4 - HKLM..\Run: [2kadiras] 2kadiras.exe
    O4 - HKCU..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU..\Run: [MsnMsgr] "H:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = H:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = H:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: DSLMON.lnk = ?
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programmi\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: h:\programmi\bonjour\mdnsnsp.dll
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - H:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - H:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - H:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - H:\Programmi\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - H:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NBService - Nero AG - H:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - H:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - H:\WINDOWS\SYSTEM32\slserv.exe

    0
  • wolf.otakar
    Consiglio Direttivo

    Ciao brandos,
    fixa queste voci:

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://2uid.info

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

    R3 - URLSearchHook: (no name) - {8A4E1972-8F42-4B50-AA71-29DCA9F336BC} - (no file)

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O4 - HKLM..\Run: [netgapft] "h:\windows\system32\netgapft.exe"
    [CENTER]
    [/CENTER]

    Inoltre scarica A-Squared e SuperAntiSpyware; aggiornali e prova ad effettuare uno scan!

     Sento che la formattazione è vicina

    😞 prova un po' questi software e vediamo che succede!

    :ciauz:

    0
  • G
    Super User

    Se non riesci ad installare un antivirus puoi provare a lanciarne uno da pen drive, come ad esempio questa di wininizio

    0
  • B
    User

    Ciao, Wolf. Ben ritrovato.
    Sono riuscito a fare una scansione online con Activescan (Panda) e questo è quello che ha trovato:

    Incidente Stato Percorso
    Virus:W32/Bagle.NH.worm Disinfettato Sistema Operativo
    Virus:w32/bagle.hx.worm Disinfettato Sistema Operativo
    Hacktool:rootkit/mhook Non Disinfettato hkey_local_machine\system\currentcontrolset\services\m_hook
    Spyware:Cookie/Toplist Non Disinfettato H:\Documents and Settings\family\Cookies\family@toplist[1].txt
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~17.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~1A.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~1D.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~2.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~20.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~23.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~26.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~29.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~2C.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~2F.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~33.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~34.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~39.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~3A.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~3E.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~41.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~45.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~46.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~4B.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~4D.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~5.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~50.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~53.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~56.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~8.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~B.exe
    Virus:W32/Bagle.NH.worm Disinfettato H:\Documents and Settings\family\Impostazioni locali\Temp~F.exe
    Strumenti indesiderati:Application/RealSpy Non Disinfettato H:\WINDOWS\system32\actskn45.ocx
    Virus:Trj/Mitglieder.OD Disinfettato H:\WINDOWS\system32\flec003.exe
    Virus:Trj/Mitglieder.OD Disinfettato H:\WINDOWS\system32\hldrrr.exe
    Adware:Adware/LinkOptimizer Non Disinfettato H:\WINDOWS\system32\netgapft.exe

    0
  • K
    User Attivo

    Vedi tutte le voci che non sono state disinfettate?
    Eliminale tutte manualmente, da modalità provvisoria ( tranne questa: Hacktool:rootkit/mhook Non Disinfettato hkey_local_machine\system\currentcontrolset\servic es\m_hook
    che è nel registro di sistema, e puoi elimianre con Hijack).

    Oltre alle voci indicate da Wolf, fixa anche queste, con Hijack:

    O4 - HKLM..\Run: [9xadiras] 9xadiras.exe
    O4 - HKLM..\Run: [2kadiras] 2kadiras.exe

    Come vedi, sono tornate 😉

    poi, riprova la scansione online, e riposta un log Hijack aggiornato 😉

    0
Effettua l'accesso per rispondere