probleimi con whataboutadog

[wood68]

Salve a tutti, sono nuovo del forum e spero di rispettare le regole.

Ho letto gia il vostro forum ma le soluzioni proposte non hanno risolto il mio problema che evidentmente deve essere leggermente diverso da quello degli altri.

Ho gia disinstallato Avg antivirus che era evidentemente infetto, ma il problema persiste

Vi invio separatamente i dati che di norma richiedete:
1-hyjackthis
2-findawf

[wood68]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.17.13, on 09/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wwSecure.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\iexplore.exe
c:\programmi\internet explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\DOCUME~1\Massimo\IMPOST~1\Temp\Directory temporanea 1 per HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615. 5858\swg.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [TallyGenicom 9316StatusDisplay] C:\WINDOWS\system32\TSTMON_N.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_02\bin\jusched.exe "
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\Massimo\Desktop\89B6AF4.exe" -scan
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O15 - Trusted Zone: *.whataboutadog.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2154E-E929-4CAB-AA08-1E4AE1BEC25A}: NameServer = 85.37.17.16 85.38.28.68
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

--
End of file - 4586 bytes

[wood68]

ind AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 16.39 15.360 ctfmon.exe
09/07/2001 11.50 155.648 NeroCheck.exe
19/05/2004 01.10 163.840 TSTMON_N.EXE
3 File 334.848 byte
2 Directory 65.873.764.352 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

22/02/2005 21.05 339.968 atiptaxx.exe
1 File 339.968 byte
2 Directory 65.873.760.256 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

08/12/2003 17.35 32.768 PDVDServ.exe
1 File 32.768 byte
2 Directory 65.873.760.256 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

11/05/2007 03.06 40.048 Reader_sl.exe
1 File 40.048 byte
2 Directory 65.873.760.256 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

0 File 0 byte
2 Directory 65.873.760.256 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
28172 8 Oct 2007 "C:\WINDOWS\system32\TSTMON_N.EXE"
163840 19 May 2004 "C:\WINDOWS\system32\bak\TSTMON_N.EXE"
28172 8 Oct 2007 "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
339968 22 Feb 2005 "C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe"
28172 8 Oct 2007 "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
32768 8 Dec 2003 "C:\Programmi\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe"
40048 11 May 2007 "C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe"


end of report

[tecnico24]

scarica avenger
clicca su input script manually e poi sulla lente di ingrandimento.
nello spazio bianco inserisci con copia|incolla queste righe:



files to delete:
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\TSTMON_N.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe

files to move:
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\bak\TSTMON_N.EXE | C:\WINDOWS\system32\TSTMON_N.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe | C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe





clicca su done.
poi sul semaforo con luce verde
due volte si,il pc si riavviera' e al ritorno posta il log di avenger(C:/avenger.txt)
poi dovresti essere a posto.

[wood68]

il "cane" sembra essere scomparso definitivamente.

Grazie mille per la soluzione

[tecnico24]

posta pero sempre il log di avenger(c:/avenger.txt)e vediamo cosa se ha tolto tutto.

[wood68]

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\kwcxrkgg

*******************

Script file located at: \??\C:\neujhtuh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\ctfmon.exe not found!
Deletion of file C:\WINDOWS\system32\ctfmon.exe failed!

Could not process line:
C:\WINDOWS\system32\ctfmon.exe
Status: 0xc0000034



File C:\WINDOWS\system32\NeroCheck.exe not found!
Deletion of file C:\WINDOWS\system32\NeroCheck.exe failed!

Could not process line:
C:\WINDOWS\system32\NeroCheck.exe
Status: 0xc0000034

File C:\WINDOWS\system32\TSTMON_N.EXE deleted successfully.
File C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe deleted successfully.
File C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe deleted successfully.


File C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe not found!
Deletion of file C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe failed!

Could not process line:
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
Status: 0xc0000034

File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\syst em32\ctfmon.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\s ystem32\NeroCheck.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\TSTMON_N.EXE|C:\WINDOWS\sy stem32\TSTMON_N.EXE completed successfully.
File move operation C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe|C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe completed successfully.
File move operation C:\Programmi\CyberLink DVD Solution\PowerDVD\bak\PDVDServ.exe|C:\Programmi\Cy berLink DVD Solution\PowerDVD\PDVDServ.exe completed successfully.
File move operation C:\Programmi\Adobe\Reader 8.0\Reader\bak\Reader_sl.exe|C:\Programmi\Adobe\Re ader 8.0\Reader\Reader_sl.exe completed successfully.

Completed script processing.

*******************

Finished! Terminate.

[tecnico24]

tutto tutto proprio non ha eliminato,ma il pc a te come va?

[wood68]

mi sembra bene. Comunque ho "rilanciato" findawf e non mi da piu nessun file bak. Ti invio il report:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 65.821.151.232 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK

0 File 0 byte
2 Directory 65.821.151.232 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\PROGRA~1\CYBERL~1\POWERDVD\BAK

0 File 0 byte
2 Directory 65.821.147.136 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\PROGRA~1\ADOBE\READER~1.0\READER\BAK

0 File 0 byte
2 Directory 65.821.147.136 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 7045-D8E1

Directory di C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

0 File 0 byte
2 Directory 65.821.147.136 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

[tecnico24]

stai a posto allora.