Altra Internet Connection!!! Aiuto!

[Ufolina]

Ciao Deifobe e colleghi esperti!

Come Rosso84 ed altri, anch'io ho scoperto che il mio pc è infetto da questo spyware che crea una connessione automatica col numero "000" + un file .dat.exe nella carta Temp e nella cronologia di IE inserisce la pagina di whatabout. L'antivirus AVG oggi mi ha rilevato finalmente il programma potenzialmente dannoso Dialer.GNF, ed ho cancellato tutti i file.

(N. B.: dopo qualche settimana di comportamenti strani, dove mi scollegavo sempre per evitare fregature, riavviavo il pc e cancellavo la connessione intrusa).

Adesso dopo aver letto di questo spyware/dialer, e non sapendo se il mio pc sta veramente fuori pericolo, invio i log di Hijackthis e Find AWF con la richiesta di darci una bell'occhiata per vedere se sta ok.


Fatemi sapere presto........... grrrrrrrrrrrrrrrrrrrrrrrr!


-------------------------------------------------

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.17.28, on 20/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Libero 6x\liberoaccel.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK .EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK .EXE
C:\Programmi\File comuni\Ahead\lib\bak\NMBgMonitor.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Grisoft\AVG7\avgcc.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:5400
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programmi\Libero 6x\PBHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Programmi\Web Accelerator\components\NOWImaging.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Finestra di stato di Canon LBP-810.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK .EXE
O4 - Global Startup: Libero Web Accelerator.lnk = C:\Programmi\Libero 6x\liberoaccel.exe
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Mostra immagine originale - res://C:\Programmi\Libero 6x\liberoaccel.exe/227
O8 - Extra context menu item: Mostra tutte le immagini originali - res://C:\Programmi\Libero 6x\liberoaccel.exe/250
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Sonia\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Sonia\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1144876299859
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D89AA68-29F4-43F2-B4C0-93D162DFFE56}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe

--
End of file - 6083 bytes



------------------------------------


Find AWF:


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 5421-3514

Directory di C:\PROGRA~1\QUICKT~1\BAK

14/06/2006 17.33 155.648 qttask.exe
1 File 155.648 byte
2 Directory 9.484.161.024 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 5421-3514

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 9.484.161.024 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 5421-3514

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

16/09/2005 09.47 94.208 NMBgMonitor.exe
1 File 94.208 byte
2 Directory 9.484.156.928 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

24592 20 Sep 2007 "C:\Programmi\QuickTime\qttask.exe"
155648 14 Jun 2006 "C:\Programmi\QuickTime\bak\qttask.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
24592 20 Sep 2007 "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
94208 16 Sep 2005 "C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe"


end of report

[Topdrake]

fixa:
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com

script per avenger

files to delete:
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe


files to move:

C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe | C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe

riposta i due log

[Ufolina]

Thanks,

ho fixato i codici 015 e son spariti (per ora), per avenger forse è meglio che non lo uso perchè non essendo un'esperta di comandi del kernel non vorrei inconsapevolmente combinare guai al s.o. . Non posso manualmente fare i cambiamenti dopo essere entrata nel registo col comando regedit, invece che utilizzare questo programma? Che ne pensi, sarebbe meglio per una non programmatrice come me?

P.S.: Sto provvedendo anche ad installare più di un antispyware, ma per sapere ...... come sono incappata in questo spyware? C'entra qualcosa il fatto che il masterizzatore cd della Philips (CDRW800) installato nel pc da qualche mese era impazzito e si apriva e chiudeva da solo? Le due cose allora sono legate!?!

Fammi sapereeeeeeeeeee.

[Habanero]

quarda che è molto più pericoloso maneggiare nel registro che usare uno script corretto... e poi con avenger non solo elimini voci di registro ma elimi fisicamente dei file... e questo è proprio il tuo caso. Segui il consiglio di Topdrake.

[jorpis]

Ho lo stesso problma, ho provato a risolvere ma non sono andato molto lontano da solo

Logfile of HijackThis v1.99.1
Scan saved at 12.41.44, on 09/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Giorgio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programmi\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [itype] "C:\Programmi\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] "C:\Programmi\Creative\SBAudigy2ZS\Program\Sta rtup Menu\ChkColor.EXE"
O4 - HKCU\..\Run: [PMCLoader] C:\Programmi\Pinnacle\TVCenter Pro\PMCLoader.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1197162452015
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8194ADDA-1F64-4BD2-8950-B2E4F07C0FC8}: NameServer = 213.230.155.94 213.230.130.222
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe





Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\ATI-CP~1\BAK

22/02/2005 21.05 339.968 atiptaxx.exe
1 File 339.968 byte
2 Directory 5.189.140.480 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\WINDOWS\BAK

11/05/2000 01.00 90.112 UpdReg.EXE
1 File 90.112 byte
2 Directory 5.189.140.480 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\PROGRA~1\D-TOOLS\BAK

27/12/2003 20.43 81.920 daemon.exe
1 File 81.920 byte
2 Directory 5.189.136.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\PROGRA~1\MI558C~1\BAK

22/11/2006 02.08 813.912 itype.exe
1 File 813.912 byte
2 Directory 5.189.136.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\PROGRA~1\MIFB84~1\BAK

06/02/2007 00.52 849.280 ipoint.exe
1 File 849.280 byte
2 Directory 5.189.136.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\WINDOWS\SYSTEM32\BAK

09/07/2001 09.50 155.648 NeroCheck.exe
1 File 155.648 byte
2 Directory 5.189.136.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\PROGRA~1\CREATIVE\SBDRIV~1\BAK

03/12/2002 18.06 45.056 SBDrvDet.exe
1 File 45.056 byte
2 Directory 5.189.136.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

02/11/2004 20.24 32.768 PDVDServ.exe
1 File 32.768 byte
2 Directory 5.189.136.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\PROGRA~1\PINNACLE\TVCENT~1\BAK

22/02/2007 16.20 105.544 PMCLoader.exe
1 File 105.544 byte
2 Directory 5.189.136.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\SURROU~1\BAK

17/09/2003 10.43 57.344 CTSysVol.exe
1 File 57.344 byte
2 Directory 5.189.136.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\PROGRAM\STARTU~1\BAK

0 File 0 byte
2 Directory 5.189.136.384 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\PROGRA~1\PINNACLE\SHARED~1\PROGRAMS\REMOTE\BAK

12/02/2007 20.12 253.000 Remoterm.exe
1 File 253.000 byte
2 Directory 5.189.132.288 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: A49F-E685

Directory di C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\BAK

09/04/2004 04.00 98.304 E_FATI9CE.EXE
1 File 98.304 byte
2 Directory 5.189.132.288 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

26636 30 Nov 2007 "C:\ATI-CPanel\atiptaxx.exe"
339968 22 Feb 2005 "C:\ATI-CPanel\bak\atiptaxx.exe"
26636 30 Nov 2007 "C:\WINDOWS\UpdReg.EXE"
90112 11 May 2000 "C:\WINDOWS\bak\UpdReg.EXE"
26636 30 Nov 2007 "C:\Programmi\D-Tools\daemon.exe"
81920 27 Dec 2003 "C:\Programmi\D-Tools\bak\daemon.exe"
26636 30 Nov 2007 "C:\Programmi\Microsoft IntelliType Pro\itype.exe"
813912 22 Nov 2006 "C:\Programmi\Microsoft IntelliType Pro\bak\itype.exe"
26636 30 Nov 2007 "C:\Programmi\Microsoft IntelliPoint\ipoint.exe"
849280 6 Feb 2007 "C:\Programmi\Microsoft IntelliPoint\bak\ipoint.exe"
26636 30 Nov 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
26636 30 Nov 2007 "C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe"
45056 3 Dec 2002 "C:\Programmi\Creative\SB Drive Det\bak\SBDrvDet.exe"
26636 30 Nov 2007 "C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe"
32768 2 Nov 2004 "C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ. exe"
105544 22 Feb 2007 "C:\Programmi\Pinnacle\TVCenter Pro\bak\PMCLoader.exe"
26636 30 Nov 2007 "C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe"
57344 17 Sep 2003 "C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\bak\CTSysVol.exe"
61699 11 Oct 2002 "C:\Programmi\Pinnacle\PCTV Stereo\Remote\remoterm.exe"
253000 12 Feb 2007 "C:\Programmi\Pinnacle\Shared Files\Programs\Remote\bak\Remoterm.exe"
26636 30 Nov 2007 "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATI 9CE.EXE"
98304 9 Apr 2004 "C:\WINDOWS\system32\spool\drivers\w32x86\epsonsty lus_photo_rx3d98\E_FATI9CE.EXE"
98304 9 Apr 2004 "C:\WINDOWS\system32\spool\drivers\w32x86\3\bak\E_ FATI9CE.EXE"




PS. dove posso trovare una guida per imparare a usare FindAWF ?

[Topdrake]

non è difficile, devi preparare uno script per avenger per eliminare i file infetti e rimettere al loro posto i legittimi
esempio (primo della lista)
26636 30 Nov 2007 "C:\ATI-CPanel\atiptaxx.exe"
339968 22 Feb 2005 "C:\ATI-CPanel\bak\atiptaxx.exe"

files to delete:
C:\ATI-CPanel\atiptaxx.exe quello fasullo
files to move:
C:\ATI-CPanel\bak\atiptaxx.exe | C:\ATI-CPanel\atiptaxx.exe quello da rimettere a posto

e così per tutti quelli che sono in:
Duplicate files of bak directory contents

[jorpis]

a ok , provo a farmi lo script da solo allora, grazie...speriamo bene