Come risolvo questo problema?

[Alberto_982]

Utilizzando internet explorer mi ritrovo con la connessione predefinita disconnessa e
ho notato una seconda connessione di accesso remoto (denominata "Internet connection" al numero "000").

QUESTO MI SUCCEDE OGNI QUALVOLTA RIAVVIO IL PC!

ho visto che era implicato un processo in background chiamato "2803716352.exe" mai visto prima... (Il numero comunque non è mai lo stesso ad ogni riavvio)

Entrambi li ho rimossi.

Ma, controllando, ho trovato uno strano file nella cartella TEMP chiamato "abc123.pid" che analizzato con l'anti-spyware è risulato infetto.
Ho rimosso il file e tutti le chiavi correlate....ma ad ogni avvio si ricrea sempre nella cartella TEMP !!!
come faccio ad eliminarlo definitivamente?

[OYS]

1) Posta un log di HijackThis.

2) Scarica FindAWF, avvialo, scrivi 1, premi invio e al termine posta il log.

[Alberto_982]

Di seguito sono elencati i log rispettivamente di HijackThis e FindAWF
Una cosa importante da dire è che nel task manager mi trovo sempre 2 processi IEXPLORE, abc123 si ricrea nella cartella temp ad ogni avvio del pc generando dopo pochi minuti che mi sono connesso... un file exe denominato con dei numeri.


Logfile of HijackThis v1.99.1
Scan saved at 11.18.43, on 28/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Windows\Documenti\Programmi&Giochi\Hijack This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe "
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] H:\RegistryBooster 2\RegistryBooster.exe /S
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2B5213D-BE1A-48CB-AD9E-83A60F55E02F}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

__________________________________________________ ______________________

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\DAEMON~1\BAK

08/11/2005 23.00 128.920 daemon.exe
1 File 128.920 byte
2 Directory 23.094.882.304 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\ESET\BAK

14/07/2007 09.54 778.240 nod32kui.exe
1 File 778.240 byte
2 Directory 23.094.882.304 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 23.094.878.208 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\PCIAUD~1\BIN\BAK

05/12/2001 15.47 147.456 EchoCtrl.exe
1 File 147.456 byte
2 Directory 23.094.878.208 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

12/01/2006 15.40 155.648 NeroCheck.exe
1 File 155.648 byte
2 Directory 23.094.878.208 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

14/03/2007 02.43 83.608 jusched.exe
1 File 83.608 byte
2 Directory 23.094.878.208 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

14348 19 Dec 2007 "C:\Programmi\DAEMON Tools\daemon.exe"
128920 8 Nov 2005 "C:\Programmi\DAEMON Tools\bak\daemon.exe"
14348 19 Dec 2007 "C:\Programmi\Eset\nod32kui.exe"
778240 14 Jul 2007 "C:\Programmi\Eset\bak\nod32kui.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
14348 19 Dec 2007 "C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe"
147456 5 Dec 2001 "C:\Programmi\PCI Audio Applications\Bin\bak\EchoCtrl.exe"
14348 19 Dec 2007 "C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe"
155648 12 Jan 2006 "C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe"
14348 19 Dec 2007 "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe "
83608 14 Mar 2007 "C:\Programmi\Java\jre1.6.0_01\bin\bak\jusched.exe "
32881 14 Jul 2007 "C:\Programmi\PTC\ProeWildfire2\i486_nt\obj\J2RE14 \bin\jusched.exe"


end of report

[OYS]

Scarica http://swandog46.geekstogo.com/avenger.zip

clicca su input script manually e poi sulla lente di ingrandimento.
nello spazio bianco inserisci con copia incolla queste righe blu:



files to move:
C:\Programmi\DAEMON Tools\bak\daemon.exe | C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Eset\bak\nod32kui.exe | C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\PCI Audio Applications\Bin\bak\EchoCtrl.exe | C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe | C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
C:\Programmi\Java\jre1.6.0_01\bin\bak\jusched.exe | C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\Programmi\PTC\ProeWildfire2\i486_nt\obj\J2RE14\ bin\bak\jusched.exe |
C:\Programmi\PTC\ProeWildfire2\i486_nt\obj\J2RE14\ bin\jusched.exe




clicca su done.
poi sul semaforo con luce verde
due volte si, il pc si riavviera' e al ritorno posta il log di avenger (C:/avenger.txt).

[Alberto_982]

Grazie OYS, lo faccio subito e ti mando il log

[Alberto_982]

Non sono un esperto, quindi non è che ci capisco molto.
Questo è il log di Avenger. Grazie per l'aiuto che mi stai dando OYS

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\ektsbowl

*******************

Script file located at: \??\C:\Program Files\nnoaxocl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File move operation C:\Programmi\DAEMON Tools\bak\daemon.exe|C:\Programmi\DAEMON Tools\daemon.exe completed successfully.
File move operation C:\Programmi\Eset\bak\nod32kui.exe|C:\Programmi\Es et\nod32kui.exe completed successfully.
File move operation C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\syst em32\ctfmon.exe completed successfully.
File move operation C:\Programmi\PCI Audio Applications\Bin\bak\EchoCtrl.exe|C:\Programmi\PCI Audio Applications\Bin\EchoCtrl.exe completed successfully.
File move operation C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe|C:\Programmi\Fi le comuni\Ahead\Lib\NeroCheck.exe completed successfully.
File move operation C:\Programmi\Java\jre1.6.0_01\bin\bak\jusched.exe| C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe completed successfully.


Could not open file C:\Programmi\PTC\ProeWildfire2\i486_nt\obj\J2RE14\ bin\bak\jusched.exe for move operation
File move operation C:\Programmi\PTC\ProeWildfire2\i486_nt\obj\J2RE14\ bin\bak\jusched.exe|C:\Programmi\PTC\ProeWildfire2 \i486_nt\obj\J2RE14\bin\jusched.exe failed!

Could not process line:
C:\Programmi\PTC\ProeWildfire2\i486_nt\obj\J2RE14\ bin\bak\jusched.exe|C:\Programmi\PTC\ProeWildfire2 \i486_nt\obj\J2RE14\bin\jusched.exe
Status: 0xc000003a


Completed script processing.

*******************

[OYS]

Rifai la scansione con FindAWF e dimmi se ti trova ancora qualcosa o no.

[Alberto_982]

Rifacendo la scansione con FindAWF, adesso mi esce il seguente log...


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\DAEMON~1\BAK

0 File 0 byte
2 Directory 23.078.338.560 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\ESET\BAK

0 File 0 byte
2 Directory 23.078.338.560 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\WINDOWS\SYSTEM32\BAK

0 File 0 byte
2 Directory 23.078.334.464 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\PCIAUD~1\BIN\BAK

0 File 0 byte
2 Directory 23.078.334.464 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

0 File 0 byte
2 Directory 23.078.334.464 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 6078-0252

Directory di C:\PROGRA~1\JAVA\JRE16~1.0_0\BIN\BAK

0 File 0 byte
2 Directory 23.078.334.464 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

[OYS]

Sono tutte vuote. Hai ancora la connessione predefinita non attiva mentre l'altra si?

[Alberto_982]

Nei processi il secondo IEXPLORE.EXE non me lo ritrovo più...
C'è sempre quel file abc123.pid nella cartella C:\Documents and Settings\Windows\Impostazioni locali\Temp. E il relativo 2601409072.exe che mi crea...
Adesso provo a eliminarli e vedo se al riavvio me li crea di nuovo!