backdoor.trojan

[pantuflo]

Ciao a tutti sono nuovo del forum.
Aiutatemi vi prego.
Da alcuni giorni non riesco a liberarmi di un virus nonostante abbia fatto tutto ciò che viene spiegato nei 5 punti da leggere molto attentamente presenti in questo forum.
Il mio problema è che norton mi becca il virus ma non me lo ripara. Ho provato a farlo anche in modalità provvisoria e niente. Mi dice computer ancora infettato da Backdoor.trojan e nient'altro.
Vi allego il log di Hijack che mi è venuto fuori:

Logfile of HijackThis v1.99.1
Scan saved at 13.05.10, on 09/05/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\hpb2ksrv.exe
C:\WINNT\System32\hpbhksrv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hpnra.exe
C:\WINNT\System32\hpstatus.exe
C:\Programmi\Java\j2re1.4.2_10\bin\javaw.exe
C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a. exe
C:\Programmi\Iomega HotBurn\Autolaunch.exe
C:\Programmi\ScanSoft\OmniPagePro14.0\WorkFlowTray .exe
C:\Programmi\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Programmi\ScanSoft\OmniPagePro14.0\OpScheduler. exe
C:\WINNT\rusto.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\j2re1.4.2_10\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Microsoft Office\Office\OSA.EXE
C:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\Microsoft Office\Office\MSOFFICE.EXE
C:\WINNT\System32\HPBSPSVR.EXE
C:\WINNT\System32\HPBJDSNT.EXE
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\SYSTRAN\4_0\Standard\SYSTRA~4.EXE
C:\Programmi\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?299
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Standard 4.0 - {F9443A35-6BFD-11D7-ACD0-00B0D094B576} - C:\Programmi\SYSTRAN\4_0\Standard\IEPlugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINNT\System32\hpnra.exe
O4 - HKLM\..\Run: [HP Status] C:\WINNT\System32\hpstatus.exe
O4 - HKLM\..\Run: [HP Proxy Server] C:\Programmi\Hewlett-Packard\ProxyService\ProxyService.lnk
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a. exe
O4 - HKLM\..\Run: [Promemoria] C:\Programmi\Agenda totale 2004\Promemoria.exe
O4 - HKLM\..\Run: [Allarmi] C:\Programmi\Agenda totale 2004\Allarmi.exe
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Programmi\Iomega HotBurn\Autolaunch.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Programmi\ScanSoft\OmniPagePro14.0\WorkFlowTra y.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Programmi\ScanSoft\OmniPagePro14.0\Opware14.ex e"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programmi\ScanSoft\OmniPagePro14.0\OpScheduler .exe"
O4 - HKLM\..\Run: [bcheh] C:\WINNT\bcheh.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [LanGuard] "C:\WINNT\languard.exe"
O4 - HKLM\..\Run: [cpds] C:\WINNT\cpds.exe
O4 - HKLM\..\Run: [scrbmk] "C:\WINNT\scrbmk.exe"
O4 - HKLM\..\Run: [rusto] "C:\WINNT\rusto.exe"
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_10\bin\jusched.exe
O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [memoday2000] C:\MEMODAY\Memo.exe
O4 - HKCU\..\Run: [Delphi 4#Autostart] "C:\Programmi\Unforgiven Organizer\unorg.exe"
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Startup: Barra degli strumenti Microsoft Office.Lnk = C:\Programmi\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Ricorrenze Next Gestionale.lnk = C:\Programmi\Next Gestionale\Ricorrenze.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Access xp\Office10\OSA.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: www.1987324.com
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {FFFF0029-0001-101A-A3C9-08002B2F49FB} - http://www.studenti.81street.it/8ALL46.exe
O20 - Winlogon Notify: wintzw32 - C:\WINNT\SYSTEM32\wintzw32.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: HP Status - Hewlett-Packard Company - C:\WINNT\System32\hpb2ksrv.exe
O23 - Service: HP Status Print - Unknown owner - C:\WINNT\System32\hpbhksrv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: ISEXEng - Unknown owner - C:\WINNT\system32\angelex.exe (file missing)
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

Cosa devo fare? sto impazzendo.
Grazie e ciao a tutti
Andrea

[holifay]

Ciao e benvenuto nel forum

scarica ATFCleaner da Atribune e salvalo sul desktop

scarica Ewido e installalo. Durante l'installazione nel menu "Additional Options" deseleziona "Install background guard" e "Install scan via context menu". Avvialo e aggiornalo (bottone "Start Update") online, ma non usarlo ancora: aggiornalo solamente.

Scarica Killbox e salvalo sul desktop.

Disabilita il ripristino di configurazione: clicca con il tasto destro sull'icona del Desktop "risorse del computer", dal menù a tendina scegli "proprietà". Metti il flag alla voce "Disabilita ripristino configurazione di sistema" e premi "OK"

Salva su un file txt nel Desktop quanto segue o stampalo, perchè dovrai pulire il PC disconnesso da Internet

Riavvia in modalità provvisoria: premi F8 al Boot subito dopo il caricamento del BIOS e dal menu che comparirà seleziona "modalità Provvisoria" (safe mode)

Avvia Ewido dal link sul desktop e cancella tutto quello che trova

Avvia HijackThis e chiudi tutte le applicazioni e le finestre di Gestione Risorse. Clicca "Do a System Scan only", metti un segno di spunta sulla casella accanto a queste voci (se esistenti) e al temine premi "Fix checked"

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.1987324.com?299
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [bcheh] C:\WINNT\bcheh.exe
O4 - HKLM\..\Run: [LanGuard] C:\WINNT\languard.exe
O4 - HKLM\..\Run: [cpds] C:\WINNT\cpds.exe
O4 - HKLM\..\Run: [scrbmk] C:\WINNT\scrbmk.exe
O4 - HKLM\..\Run: [rusto] C:\WINNT\rusto.exe
O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
O15 - Trusted Zone: www.1987324.com
O16 - DPF: {FFFF0029-0001-101A-A3C9-08002B2F49FB} - http://www.studenti.81street.it/8ALL46.exe
O20 - Winlogon Notify: wintzw32 - C:\WINNT\SYSTEM32\wintzw32.dll
O23 - Service: ISEXEng - Unknown owner - C:\WINNT\system32\angelex.exe (file missing)

Verifica che le voci siano scomparse, altrimenti ripeti il fix.

Avvia ATF cleaner clicca sul menu "main" e poi seleziona la casella "Select All". Se usi Firefox o Opera fai la stessa cosa premendo rispettivamente anche su Firefox e Opera e poi su "Select All" (se vuoi mantenere le password deseleziona la rispettiva casella). Adesso clicca sul pulsante "Empty selected" e aspetta il messaggio "Done Cleaning!".

Avvia Killbox e seleziona Delete on reboot
- clicca sul pulsante All files
- seleziona con il mouse queste voci e poi premi CTRL+C per copiarle negli appunti

C:\WINNT\bcheh.exe
C:\WINNT\languard.exe
C:\WINNT\cpds.exe
C:\WINNT\scrbmk.exe
C:\WINNT\rusto.exe
C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
C:\WINNT\SYSTEM32\wintzw32.dll
C:\WINNT\system32\angelex.exe

- torna su Killbox e premi il menu "File" \ "Paste from Clipboard". Vedrai che i file saranno aggiunti all'elenco
- premi il pulsante rosso con la X bianca (Delete File)
- premi Yes e poi OK ad ogni eventuale messaggio
- se il PC non si riavvia automaticamente riavvialo tu

Riavvia in modalità normale e fai una scansione online con Panda. Quando Panda avrà completato la scansione clicca il pulsante "See Report" e salvalo sul tuo pc.


Posta infine un nuovo log di HijackThis e il log generato da Panda.

Nel frattempo provvedi ad aggiornare il PC!!!!

Ciao

[pantuflo]

ciao.
ti ringrazio tantissimo per l'aiuto. sembra che sia riuscito a risolvere il problema grazie alle tue precise informazioni. il norton non mi segnala più alcun virus (non sono riuscito a fare la scansione on line con panda come suggerivi tu).
ti posto il log di hijack che ho fatto dopo aver seguito tutto il processo che mi hai suggerito:

Logfile of HijackThis v1.99.1
Scan saved at 12.57.19, on 10/05/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\WINNT\System32\hpb2ksrv.exe
C:\WINNT\System32\hpbhksrv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\hpnra.exe
C:\WINNT\System32\hpstatus.exe
C:\Programmi\Java\j2re1.4.2_10\bin\javaw.exe
C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a. exe
C:\Programmi\Iomega HotBurn\Autolaunch.exe
C:\Programmi\ScanSoft\OmniPagePro14.0\WorkFlowTray .exe
C:\Programmi\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Programmi\ScanSoft\OmniPagePro14.0\OpScheduler. exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\j2re1.4.2_10\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programmi\Microsoft Office\Office\OSA.EXE
C:\Programmi\Microsoft Office\Office\MSOFFICE.EXE
C:\Programmi\MemoRex\MemoRex.exe
C:\WINNT\System32\HPBSPSVR.EXE
C:\WINNT\System32\HPBJDSNT.EXE
C:\WINNT\system32\wuauclt.exe
C:\PROGRA~1\SYSTRAN\4_0\Standard\SYSTRA~4.EXE
C:\Programmi\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Standard 4.0 - {F9443A35-6BFD-11D7-ACD0-00B0D094B576} - C:\Programmi\SYSTRAN\4_0\Standard\IEPlugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINNT\System32\hpnra.exe
O4 - HKLM\..\Run: [HP Status] C:\WINNT\System32\hpstatus.exe
O4 - HKLM\..\Run: [HP Proxy Server] C:\Programmi\Hewlett-Packard\ProxyService\ProxyService.lnk
O4 - HKLM\..\Run: [Microsoft IntelliType Pro] "C:\Programmi\Microsoft Hardware\Keyboard\speedkey.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINNT\system32\spool\DRIVERS\W32X86\3\fppdis2a. exe
O4 - HKLM\..\Run: [Promemoria] C:\Programmi\Agenda totale 2004\Promemoria.exe
O4 - HKLM\..\Run: [Allarmi] C:\Programmi\Agenda totale 2004\Allarmi.exe
O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Programmi\Iomega HotBurn\Autolaunch.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Programmi\ScanSoft\OmniPagePro14.0\WorkFlowTra y.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Programmi\ScanSoft\OmniPagePro14.0\Opware14.ex e"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programmi\ScanSoft\OmniPagePro14.0\OpScheduler .exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_10\bin\jusched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [memoday2000] C:\MEMODAY\Memo.exe
O4 - HKCU\..\Run: [Delphi 4#Autostart] "C:\Programmi\Unforgiven Organizer\unorg.exe"
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Programmi\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Startup: Barra degli strumenti Microsoft Office.Lnk = C:\Programmi\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Ricorrenze Next Gestionale.lnk = C:\Programmi\Next Gestionale\Ricorrenze.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Access xp\Office10\OSA.EXE
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O20 - Winlogon Notify: wintzw32 - wintzw32.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: HP Status - Hewlett-Packard Company - C:\WINNT\System32\hpb2ksrv.exe
O23 - Service: HP Status Print - Unknown owner - C:\WINNT\System32\hpbhksrv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

secondo te è tutto a posto?
ciao e grazie di nuovo.
andrea

[holifay]

Direi di sì. Ci sono solo un po' di processi dell'HP che potrebbero anche non essere all'avvio, ma non vedo altri trojan.

E' rimasto questo residuo nel registro di sistema, anche se il file è stato cancellato:

O20 - Winlogon Notify: wintzw32 - wintzw32.dll (file missing)

Come hai fatto prima, seleziona questa voce, mettendo un segno di spunta sulla casellina corrispondente e poi premi "Fix checked", poi fai un nuovo log e controlla se sei riuscito ad eliminarlo. Non dovresti avere difficoltà, ma se non riesci dalla normale, prova dalla provvisoria.

La scansione con Panda io la farei. Mi sono dimenticata prima di dirti di disattivare temporaneamente la scansione in real time di Norton mentre fai la scansione online con un altro AV. Se non riesci con Panda (ma che errore ti da?) prova quella di Kaspersky.

Ciao

[pantuflo]

il panda non mi da errori, ma quando arrivo alla finestra di scelta del supporto da ispezionare clikkando sulle icone non succede niente.
grazie e ciao
andrea

[pantuflo]

sono riuscito a fare la scansione con panda. ..zzo pensavo di essermi liberato di tutto invece ecco che la scansione mi ha beccato ancora un sacco di roba. ti mando il log:

Incidente Stato Percorso

Dialer:dialer.akd Non Disinfettato C:\Documents and Settings\Antonia Zanin\Menu Avvio\Programmi\e1xplorer.lnk
Adware:adware/ncase Non Disinfettato c:\winnt\system32\saieau.dat
Adware:adware/tvmedia Non Disinfettato C:\Documents and Settings\Antonia Zanin\Dati applicazioni\tvmcwrd.dll
Spyware:spyware/linkreplacer Non Disinfettato Registro di sistema di Windows
Adware:adware/ist.istbar Non Disinfettato Registro di sistema di Windows
Dialer:dialer.dcf Non Disinfettato hkey_current_user\software\microsoft\windows\curre ntversion\internet settings\user agent\post platform\snprtz|dialno
Adware:adware/powerstrip Non Disinfettato Registro di sistema di Windows
Adware:adware/hungryhands Non Disinfettato Registro di sistema di Windows
Adware:adware/searchexe Non Disinfettato Registro di sistema di Windows
Dialerialer.GSX Non Disinfettato C:\!KillBox\E-nrgyPlus.exe
Virus:Trj/Eiro.Z Disinfettato C:\!KillBox\rusto.exe
Spyware:Cookie/Doubleclick Non Disinfettato C:\Documents and Settings\Antonia Zanin\Cookies\antonia zanin@doubleclick[1].txt
Spyware:Cookie/Tradedoubler Non Disinfettato C:\Documents and Settings\Antonia Zanin\Cookies\antonia zanin@tradedoubler[1].txt
Virus:Trj/Downloader.CUP Disinfettato C:\Documents and Settings\Osservatorio\Impostazioni locali\Temp\~DF17F.tmp
Security Risk:HackTool/Gendel.A Non Disinfettato C:\gendel32.exe
Spyware:Spyware/BetterInet Non Disinfettato C:\Programmi\Common Files\updater\data2.dat
Hacktool:HackTool/SRunner.B Non Disinfettato C:\WINNT\system32\instsrv.exe
Virus:W32/Bagle.BC.worm!CME-473 Disinfettato Cartelle locali\Posta inviata\Re: Hello\Joke.exe
Virus:W32/Bagle.BC.worm!CME-473 Disinfettato Cartelle locali\Posta inviata\Re:\price.cpl
che devo fare ora? è una storia infinita con sti virus, dialer, spyware, ecc.
ciao e grazie
andrea

[holifay]

Sì, è normale che rimanga qualcosa, anche se non è caricata dal sistema.

Cerca e trova cancella questi file:

C:\Documents and Settings\Antonia Zanin\Menu Avvio\Programmi\e1xplorer.lnk
C:\Documents and Settings\Antonia Zanin\Dati applicazioni\tvmcwrd.dll
C:\Programmi\Common Files\updater\data2.dat
C:\gendel32.exe
C:\WINNT\system32\instsrv.exe
c:\winnt\system32\saieau.dat

C:\!KillBox\ (tutta la cartella)
C:\Documents and Settings\Osservatorio\Impostazioni locali\Temp\ (svuota tutta la cartella)

il resto sono residui nel registro lasciati dalla rimozione di trojan. Se vuoi puoi cercare in Internet tutte le chiavi a cui si riferiscono (linkreplacer, ist.istbar, powerstrip, hungryhands , searchexe) e cancellarle manualmente. E' un po' una faticaccia e non so se ne vale la pena. In alternativa puoi pulire il registro da collegamenti errati con Regseeker e/o Regcleaner: qualcuna dovrebbero riuscire ad eliminarla.


Questa, dato che è segnalata, cancellala:
hkey_current_user\software\microsoft\windows\curre ntversion\internet settings\user agent\post platform\snprtz|dialno


Ciao

[pantuflo]

Grazie mille.
Ciao
Andrea