kavo....... due scatole!!!

[Lucadal]

Salve a tutti.

Ho formattato il disco fisso del mio portatile qualche giorno fa ed adesso già sono alle prese con un brutto cavallo di troia che mi sta facendo impazzire.

Ho fatto tutto quanto consigliato nella discussione di sopra, ovvero:

ho scansionato il sistema sia normalmente che dalla modalità provvisoria con AVG, Ad-Aware e Spybot-search-&-destroy. Dalla modalità provvisoria non mi rileva nulla, mentre nella modalità normale mi rileva Doubleclick (cockie tracciante), WebTrends live (cockie tracciante). Il Trojan Remover ad ogni avvio mi rileva quanto si vede nell'immagine allegata.

ho scansionato il sistema online con kaspersky, il quale ha trovato il sistema pulito.

I virus che mi vedono i miei antivirus e antispyware nella modalità normale li ho eliminati, ma OVVIAMENTE al riavvio ci risono di nuovo.

Allora come ultimo tentativo, vi posto il log di hijackthis, sperando che qualcuno mi possa aiutare.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.39.45, on 13/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Luca\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.it/nwshp?hl=it&tab=wn
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{534D981B-37CF-4F26-B0D2-E7AE816C56F1}: NameServer = 192.168.1.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 5108 bytes


Un'ultima domanda... avendo io il router wireless con firewall integrato non ho istallato alcun firewall sul pc... ho sbagliato?? Se si mi conigliate qualche buon firewall gratuito??

Grazie.

[frznn]

su hijackthis devi fixare (senza molte sorprese...) la chiave
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe

una domanda perchè hai detto: "i miei antivirus" ??
quanti antivirus hai installato?

[Lucadal]

Ciaooo frznn.... ti ricordi?? Sono lo stesso della connessione Alice dell'altra volta!!
Che piacere che sia ancora tu a rispondermi visto che l'altra volta sei stato così gentile...

Cmq... ho AVG 7.5, Ad-Aware, Spybot search and distroy, e trojan detector. Speravo di risolvere qualcosa... ma nulla!!

Cmq come dicevi tu l'ho già fatto... ma poi ricompare alla successiva accensione del pc.

[Lucadal]

Bloccati...prima avevo cancellato il virus a mano nella directory!!
Adesso ho fatto come hai dettol tu ed è andato tutto a buon fine... ho provato a riavviare il pc e sembra non ci sia più!!

Senti.. e che mi dici di doubleclick e webtrends live (tracking cockies) ?

E poi ... ho fato bene a non istallare alcun firewall dal momento in cui ho il router con firewall integrato?

Spero di leggere presto novità.

Ciaoo

[Lucadal]

Adesso ho altri virus.... ma che è ohh!!!??????

AVG mi rileva: i.dll (Trojan horse PSW. Onlinegames AOTA), tru6.tmp /trojan horse SHeur.BKBA ) e uwm.dll (Trojan horse PSW. Onlinegames AOSY).

Adesso a prescindere da se riuscirò a risolvere da solo o no... ma non mi sembra normale che io prenda questi cavalli di troia con questa frequenza.

PS: ieri ho istallato il service pack 3... mentre lo facevo Spybot search and destroy mi avvertiva di tentate modifiche al registro di sistema... io ho fatto fare perchè pensavo fossero gli effetti dell'istallazione del service pack 3... Probabilmente invece non erano?? Boh... io impazzisco..!!!

Spero di leggervi presto... ciao

[frznn]

Originariamente inviato da Lucadal
Senti.. e che mi dici di doubleclick e webtrends live (tracking cockies)?

Sono cookies relativamente innocui, purtroppo spesso è difficile evitarli, cmq a parte violare la nostra cara privacy non fanno danni al computer.

Originariamente inviato da Lucadal
E poi ... ho fato bene a non istallare alcun firewall dal momento in cui ho il router con firewall integrato?

Assolutamente no, il firewall del router ha caratteristiche diverse dal personal firewall installato sul computer, e offre un diverso livello di protezione. Con un buon firewall sul tuo computer ti eviterai un sacco di rogne.

Originariamente inviato da Lucadal
PS: ieri ho istallato il service pack 3... mentre lo facevo Spybot search and destroy mi avvertiva di tentate modifiche al registro di sistema... io ho fatto fare perchè pensavo fossero gli effetti dell'istallazione del service pack 3...

Sì, tranquillo è normale

[Lucadal]

Ti ringrazio delle informazioni.

Comunque continuo ad avere problemi... e credo che siano correlati al fatto che il mio pc è collegato attraverso il router con quello di mio fratello, dove secondo me c'è una popolazione di virus in costante aumento. Devo metterlo a posto se no qua non si finisce mai....

Grazie ancora... ciaoo!!