Malware maledetto...

@Ago

Il log è ok.

@DTT utente

Usa Firefox ,fai una scansione sul sito della Trend micro ,c'è un 3d tra gli importanti con il link di House call
 
ERCOLINO ha scritto:
Usa Firefox ,fai una scansione sul sito della Trend micro ,c'è un 3d tra gli importanti con il link di House call
Clicca per espandere...
Ho già fatto una scansione con Trend Micro, ma con I.E., devo fare una scansione con firefox? :eusa_think:
 
No è uguale

Se nessuno non ti rileva nulla non so che dire.

Cancellato tutto il contenuto della cartella Temp,i cookies ed i file temporanei di internet?
 
ERCOLINO ha scritto:
Cancellato tutto il contenuto della cartella Temp,i cookies ed i file temporanei di internet?
Clicca per espandere...
Fatto...

Provo a ripostare il log, forse c'é sfuggito qualcosa...:eusa_think:

Logfile of HijackThis v1.99.1
Scan saved at 17.29.29, on 06/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\FaxTalk NetOnHold\FTNOHMgr.EXE
C:\Programmi\FaxTalk Communicator\FTCtrl32.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\La mia Guida TV Interattiva\GuidaTVMonitor.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\FaxTalk Communicator\FAPIEXE.EXE
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\ALESSI~1\IMPOST~1\Temp\Directory temporanea 26 per hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.it/redirect/startpage/dial_up/ita/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - TELE2Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = diamond_20@liberolight
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Mostra Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NetOnHold] C:\Programmi\FaxTalk NetOnHold\FTNOHMgr.EXE /autoload
O4 - HKLM\..\Run: [CallControl 4.5] C:\Programmi\FaxTalk Communicator\FTCtrl32.exe /autoload
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [GuidaTVMonitor] C:\Programmi\La mia Guida TV Interattiva\GuidaTVMonitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.it/redirect/startpage/dial_up/ita/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F3D34410-6F9A-4FDD-987E-410C6F7AEA27} (ESPluginInstallProgress Class) - http://www.edgestream.com/software/ES_EasyInstall.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C004CDA2-064A-40B9-A531-5B7AE1879907}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe

Mi sembra strano che nemmeno così si riesca a vedere se ci sono malware...
Tra l'altro ho fatto anche la stessa operazione che ha postato stamattina ago, ma non ho nessuna voce sospetta...Ho solo un riferimento a msn...:eusa_think:

Hai guardato 02 - BOH (no name)?
 
04 - Global start up: DSLMON.lnk è il modem adsl

09 sono le scansioni on-line con bit defender
 
Forse ho trovato... :)

Il malware (Trace.File.BaloonPopWordGame) di ieri i vari antivirus non me l'hanno cancellato...L'ho trovato con l'antivirus che mi hai consigliato di scaricare: a-squared...Lo cancello, ma rifacendo la scansione mi ridà il solito malware... :eusa_think:

C'é un modo per debellarlo definitivamente? :eusa_think:
 
In modalità provvisoria, disattiva il ripristino configurazione, cancella il contenuto della cartella temp e fai una scansione con A-squared
 
vianello_85 ha scritto:
In modalità provvisoria, disattiva il ripristino configurazione, cancella il contenuto della cartella temp e fai una scansione con A-squared
Clicca per espandere...
Ok, adesso provo...
 
Sempre detto che se non si riesce normalmente, bisogna farlo in modalità provvisoria ,sempre con il ripristino disattivato
 
vianello_85 ha scritto:
In modalità provvisoria, disattiva il ripristino configurazione, cancella il contenuto della cartella temp e fai una scansione con A-squared
Clicca per espandere...
Niente da fare...

E' sempre lì...Ho cancellato, in modalità provvisoria tutto il contenuto della cartella TEMP, tranne le cartelle che c'erano...

Vado a rifare la scansione e mi dice che il malware é sempre lì... :eusa_wall:

L'antivirus mi dice che risiede in C:\Documents and settings\Mio nome e cognome\Impostazioni Locali\temp\jet11.tmp
 
vianello_85 ha scritto:
Che storia! :(

E si che hai cancellato i file temporanei:eusa_think:
Clicca per espandere...
Ho provato a cercare suddetto file, lo trova ma non me lo fa eliminare dicendomi che é un file in uso da un altro utente o da altro programma...
 
Tutto quello che c'è dentro la directory Temp va eliminato anche le cartelle.(da modalità provvisoria tasto F8 all'accensione)


Infatti è proprio il file jet11.tmp

Se ti dice che il file è in uso controlla che nel task manager non ci siano programmi strani magari con il nome simile in esecuzione
 
Ma la cartella Temp non ci si accede andando su RISORSE DI COMPUTER - WINDOWS e lì c'é la cartella Temp?

Se no come devo fare? :eusa_think:

Perché io quel file l'ho trovato con il "cerca" di windows...

Se no per arrivare alla cartella Temp come devo fare?
 
La cartella Temp sta in

c:windows


Percorso completo

c:windows\temp

Va cancellato tutto quello che c'è all'interno della cartella Temp.

C'è anche un altra Temp in impostazioni locali che a quanto pare è dove ti trova il virus.


Puoi anche fare la pulitura disco,clicca con il tasto destro del mouse sull'unità C poi vai su proprietà e fai pulitura disco cosi elimini alcune cose
 
Posso anche fare la pulitura disco senza eliminare manualmente il malware in quanto ci pensa già il pc oppure devo comunque rimuoverlo da solo? :eusa_think:
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso