Sospetto Virus

**Avanzino** · 09-05-2008, 23:02

Ciao, sospetto di avere un virus in quanto da un po' di tempo mi compaiono sempre delle finestrelle a nome Symantec Email con un messaggio che dice:
"Non è stato possibile inviare il messaggio e-mail perchè il server di posta ha rifiutato il messaggio:...."

Va avanti così da qualche giorno continuamente ... si aprono tremila finestre continuamente con messaggi tutti simili a quello sopra, e non riesco a risolvere il problema. Ho già fatto una scansione completa in modalità provvisoria sia con Spybot che Norton e di virus non ne rileva.

Leggendo sul forum di qualcuno che ha avuto lo steso problema gli è stato consigliato di postare un log di hijackthis e poi che cosa fixare, ho fatto la stessa cosa e questo è il log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23.01.23, on 09/05/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmi\SPAMfighter\sfus.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\Linksts.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer .exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\File comuni\Symantec Shared\NMain.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O2 - BHO: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
O3 - Toolbar: Mostra Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe "
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programmi\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programmi\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programmi\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programmi\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.doginhispen.com
O15 - Trusted Zone: http://millent.millenet.it
O15 - Trusted Zone: http://milleserver.millenet.it
O15 - Trusted Zone: http://push.millenet.it
O15 - Trusted Zone: *.whataboutadog.com
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {F758FE6D-9949-4D78-B748-97781F55AF19} (TXTDM Control) - http://rivideo.mediaset.it/_res/cab/TXTDMCab.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{01AB5077-63AB-478E-B577-3C2FAD62EA26}: NameServer = 85.37.17.13 85.38.28.81
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = asl4.liguria.it
O17 - HKLM\System\CS1\Services\Tcpip\..\{01AB5077-63AB-478E-B577-3C2FAD62EA26}: NameServer = 85.37.17.13 85.38.28.81
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = asl4.liguria.it
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = asl4.liguria.it
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Convalida password di Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

--
End of file - 10783 bytes

Qualcuno mi puo' aiutare?
Grazie

Giuseppe

**Dark_Limit** · 10-05-2008, 00:03

A parte questo: C:\Programmi\Messenger\msmsgs.exe( che può o non può essere malware) dal log non vedo nulla di strano..invia il campione del file che ti ho menzionato su virustotal.com e fallo analizzare..
Ma il problema è di Norton cioè la finestra o non so cosa che ti esce è di Norton o di che?

**Avanzino** · 10-05-2008, 08:11

Di Norton, "Symantec email proxy" è la dicitura che compare sulla barra principale.
Ho cominciato ad avere problemi prima di altro tipo, poi questi da quando ho installato Spamfighter.

**Dark_Limit** · 10-05-2008, 13:52

prova a riconfigurarlo e a riconfigurare il firewall per permettere l'accesso del client email verso internet..

**Deifobe** · 10-05-2008, 14:16

ciao giuseppe,
esegui Hijackthis, clicca sul tasto "Do a system scan only", spunta le seguenti voci (non sono necessarie) e clicca su "fix Checked"

R3 - URLSearchHook: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
O2 - BHO: (no name) - {b5146c40-189a-4311-bda9-fbae3e023187} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [MMTray] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O15 - Trusted Zone: *.doginhispen.com
O15 - Trusted Zone: *.whataboutadog.com

Per ripristinare la Trusted Zone scarica DelDomains e salvalo sul desktop. Fai => clic con tasto destro del mouse e scegli "Installa".

Posta il report di FindAWF (scegli opzione "1")

**Avanzino** · 10-05-2008, 21:35

Fatto !

Find AWF report by noahdfear ©2006
Version 1.40

bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 68.019.720.192 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\MILLEWIN\BAK

0 File 0 byte
2 Directory 68.019.707.904 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\NORTON~2\BAK

30/09/05 04.55 120.464 cfgwiz.exe
1 File 120.464 byte
2 Directory 68.019.703.808 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/04 13.00 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 68.019.703.808 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\ALICET~1\SMARTB~1\BAK

21/04/06 16.41 438.359 MotiveSB.exe
1 File 438.359 byte
2 Directory 68.019.703.808 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\ATITEC~1\ATI.ACE\BAK

12/08/05 15.43 45.056 cli.exe
1 File 45.056 byte
2 Directory 68.019.703.808 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK

0 File 0 byte
2 Directory 68.019.703.808 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\MUSICM~1\MUSICM~1\BAK

19/07/04 13.29 131.072 mm_tray.exe
19/07/04 13.29 53.248 mmtask.exe
2 File 184.320 byte
2 Directory 68.019.703.808 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\SCANSOFT\OMNIPA~1.0\BAK

08/05/03 13.00 49.152 OpwareSE2.exe
1 File 49.152 byte
2 Directory 68.019.703.808 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\SYNAPT~1\SYNTP\BAK

17/12/05 01.32 761.945 SynTPEnh.exe
1 File 761.945 byte
2 Directory 68.019.703.808 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\TOSHIBA\TOSCDSPD\BAK

12/04/05 11.14 65.536 toscdspd.exe
1 File 65.536 byte
2 Directory 68.019.703.808 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\TOSHIBA\TOSHIB~1\BAK

05/01/06 15.02 352.256 thotkey.exe
1 File 352.256 byte
2 Directory 68.019.699.712 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\TOSHIBA\TOSHIB~4\BAK

12/05/05 14.33 118.784 SmoothView.exe
1 File 118.784 byte
2 Directory 68.019.699.712 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\TOSHIBA\TVS\BAK

30/11/05 13.25 73.728 TvsTray.exe
1 File 73.728 byte
2 Directory 68.019.699.712 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\WINDOWS\SAMSUNG\COMSMMGR\BAK

17/05/04 07.34 360.448 ssmmgr.exe
1 File 360.448 byte
2 Directory 68.019.699.712 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\WINDOWS\SYSTEM32\DLA\BAK

06/10/05 06.20 122.940 DLACTRLW.EXE
1 File 122.940 byte
2 Directory 68.019.699.712 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

15/06/07 22.15 185.896 realsched.exe
1 File 185.896 byte
2 Directory 68.019.699.712 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 0464-729A

Directory di C:\PROGRA~1\INTEL\WIRELESS\BIN\BAK

28/11/05 12.41 602.182 ifrmewrk.exe
05/12/05 13.37 667.718 ZCfgSvc.exe
2 File 1.269.900 byte
2 Directory 68.019.699.712 byte disponibili

Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

120464 30 Sep 2005 "C:\Programmi\Norton SystemWorks\CfgWiz.exe"
120464 30 Sep 2005 "C:\Programmi\Norton SystemWorks\bak\cfgwiz.exe"
537992 26 Nov 2007 "C:\Programmi\File comuni\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\CFGWIZ.EXE"
188480 24 Mar 2003 "C:\Programmi\File comuni\Microsoft Shared\web server extensions\40\bin\cfgwiz.exe"
120464 30 Sep 2005 "C:\Documents and Settings\Giuseppe Avanzino\Desktop\NSW2006B\NSW\setup\NSW\webclean\C fgWiz.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
438359 21 Apr 2006 "C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe"
45056 12 Aug 2005 "C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe"
53248 19 Jul 2004 "C:\Programmi\Musicmatch\Musicmatch Jukebox\bak\mmtask.exe"
53248 8 Feb 2007 "C:\Programmi\Musicmatch\Musicmatch Update\MMJB\mmtask.exe"
131072 19 Jul 2004 "C:\Programmi\Musicmatch\Musicmatch Jukebox\bak\mm_tray.exe"
135168 27 Jan 2007 "C:\Programmi\Musicmatch\Musicmatch Update\MMJB\mm_tray.exe"
49152 8 May 2003 "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe 1190926172"
49152 8 May 2003 "C:\Programmi\ScanSoft\OmniPageSE2.0\bak\OpwareSE2 .exe"
761945 17 Dec 2005 "C:\TOOLSCD\Touch pad Driver\SynTPEnh.exe"
761945 17 Dec 2005 "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe "
761945 17 Dec 2005 "C:\Programmi\Synaptics\SynTP\Media\SynTPEnh.e xe"
65536 12 Apr 2005 "C:\Programmi\Toshiba\TOSCDSPD\bak\toscdspd.ex e"
352256 5 Jan 2006 "C:\Programmi\Toshiba\TOSHIBA Applet\bak\thotkey.exe"
118784 12 May 2005 "C:\Programmi\Toshiba\TOSHIBA Zooming Utility\bak\SmoothView.exe"
73728 30 Nov 2005 "C:\Programmi\Toshiba\Tvs\bak\TvsTray.exe"
360448 17 May 2004 "C:\WINDOWS\Samsung\ComSMMgr\bak\ssmmgr.exe"
360448 17 May 2004 "C:\WINDOWS\Samsung\ML-1610\ML-1610\SM\ComSMMgr\SSMMgr.exe"
122940 6 Oct 2005 "C:\Programmi\Sonic\DLA\install\dlactrlw.exe"
122940 6 Oct 2005 "C:\WINDOWS\system32\DLA\bak\DLACTRLW.EXE"
185896 15 Jun 2007 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"
602182 28 Nov 2005 "C:\Programmi\Intel\Wireless\Bin\bak\ifrmewrk. exe"
667718 5 Dec 2005 "C:\Programmi\Intel\Wireless\Bin\bak\ZCfgSvc.e xe"

end of report

Mentre stavo scaricando e facendo quello che mi hai detto il problema si è posto di nuovo.
Grazie per l'aiuto.

Giuseppe

**Avanzino** · 11-05-2008, 10:41

...in quanto a riconfigurare il tutto, come consiglia Dark Limit, non so come si fa ! :-( sono un principiante e ci capisco anche poco.

Giuseppe

**Deifobe** · 11-05-2008, 11:01

aspetta prima di combinare qualche pasticcio... hai diversi file messi nelle cartelle sbagliate.
se Dark_Limit avesse visto O15 - Trusted Zone: *.doginhispen.com e O15 - Trusted Zone: *.whataboutadog.com gli sarebbe venuto un mezzo dubbio.. ma non è stato così. Vediamo prima cosa succede dopo l'intervento e poi valuteremo cosa fare.

Scarica Avenger e CCleaner

Esegui avenger e nella finestra copia/incolla:

files to delete:
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe1 190926172
C:\Programmi\Norton SystemWorks\CfgWiz.exe

files to move:
C:\Programmi\Norton SystemWorks\bak\cfgwiz.exe | C:\Programmi\Norton SystemWorks\cfgwiz.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe | C:\Programmi\Alice ti aiuta\SmartBridge\MotiveSB.exe
C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe | C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\bak\mmtask.exe | C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\bak\mm_tray.exe | C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\bak\OpwareSE2. exe | C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe | C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Toshiba\TOSCDSPD\bak\toscdspd.exe | C:\Programmi\Toshiba\TOSCDSPD\toscdspd.exe
C:\Programmi\Toshiba\TOSHIBA Applet\bak\thotkey.exe | C:\Programmi\Toshiba\TOSHIBA Applet\thotkey.exe
C:\Programmi\Toshiba\TOSHIBA Zooming Utility\bak\SmoothView.exe | C:\Programmi\Toshiba\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\Toshiba\Tvs\bak\TvsTray.exe | C:\Programmi\Toshiba\Tvs\TvsTray.exe
C:\WINDOWS\Samsung\ComSMMgr\bak\ssmmgr.exe | C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\WINDOWS\system32\DLA\bak\DLACTRLW.EXE | C:\WINDOWS\system32\DLA\DLACTRLW.EXE
C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe | C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Intel\Wireless\Bin\bak\ifrmewrk.exe | C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Intel\Wireless\Bin\bak\ZCfgSvc.exe | C:\Programmi\Intel\Wireless\Bin\ZCfgSvc.exe

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci i file temporanei e i cookie (esegui 2 volte)

Scarica SystemScan, disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

ciao

**Avanzino** · 11-05-2008, 19:16

Spero di aver fatto tutto correttamente, l'ho detto che non ci acchiappo un granchè...

Questo è il report di Avereng (l'ho dovuto fare due volte prechè la prima non avevo spuntato "Automatically disable any rootkits found")

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe 1190926172" not found!
Deletion of file "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe 1190926172" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Programmi\Norton SystemWorks\CfgWiz.exe" deleted successfully.

Error: file "C:\Programmi\Norton SystemWorks\bak\cfgwiz.exe" not found!
File move operation "C:\Programmi\Norton SystemWorks\bak\cfgwiz.exe|C:\Programmi\Norton SystemWorks\cfgwiz.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\bak\ctfmon.exe" not found!
File move operation "C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\sys tem32\ctfmon.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe" not found!
File move operation "C:\Programmi\Alice ti aiuta\SmartBridge\bak\MotiveSB.exe|C:\Programmi\Al ice ti aiuta\SmartBridge\MotiveSB.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe" not found!
File move operation "C:\Programmi\ATI Technologies\ATI.ACE\bak\cli.exe|C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Musicmatch\Musicmatch Jukebox\bak\mmtask.exe" not found!
File move operation "C:\Programmi\Musicmatch\Musicmatch Jukebox\bak\mmtask.exe|C:\Programmi\Musicmatch\Mus icmatch Jukebox\mmtask.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Musicmatch\Musicmatch Jukebox\bak\mm_tray.exe" not found!
File move operation "C:\Programmi\Musicmatch\Musicmatch Jukebox\bak\mm_tray.exe|C:\Programmi\Musicmatch\Mu sicmatch Jukebox\mm_tray.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\ScanSoft\OmniPageSE2.0\bak\OpwareSE2 .exe" not found!
File move operation "C:\Programmi\ScanSoft\OmniPageSE2.0\bak\OpwareSE2 .exe|C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2 .exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe " not found!
File move operation "C:\Programmi\Synaptics\SynTP\bak\SynTPEnh.exe|C:\ Programmi\Synaptics\SynTP\SynTPEnh.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Toshiba\TOSCDSPD\bak\toscdspd.ex e" not found!
File move operation "C:\Programmi\Toshiba\TOSCDSPD\bak\toscdspd.exe|C: \Programmi\Toshiba\TOSCDSPD\toscdspd.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Toshiba\TOSHIBA Applet\bak\thotkey.exe" not found!
File move operation "C:\Programmi\Toshiba\TOSHIBA Applet\bak\thotkey.exe|C:\Programmi\Toshiba\TOSHIB A Applet\thotkey.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Toshiba\TOSHIBA Zooming Utility\bak\SmoothView.exe" not found!
File move operation "C:\Programmi\Toshiba\TOSHIBA Zooming Utility\bak\SmoothView.exe|C:\Programmi\Toshiba\TO SHIBA Zooming Utility\SmoothView.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Toshiba\Tvs\bak\TvsTray.exe" not found!
File move operation "C:\Programmi\Toshiba\Tvs\bak\TvsTray.exe|C:\Progr ammi\Toshiba\Tvs\TvsTray.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\Samsung\ComSMMgr\bak\ssmmgr.exe" not found!
File move operation "C:\WINDOWS\Samsung\ComSMMgr\bak\ssmmgr.exe|C:\WIN DOWS\Samsung\ComSMMgr\ssmmgr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\DLA\bak\DLACTRLW.EXE" not found!
File move operation "C:\WINDOWS\system32\DLA\bak\DLACTRLW.EXE|C:\WINDO WS\system32\DLA\DLACTRLW.EXE" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe" not found!
File move operation "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe|C:\Program mi\File comuni\Real\Update_OB\realsched.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Intel\Wireless\Bin\bak\ifrmewrk. exe" not found!
File move operation "C:\Programmi\Intel\Wireless\Bin\bak\ifrmewrk.exe| C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\Programmi\Intel\Wireless\Bin\bak\ZCfgSvc.e xe" not found!
File move operation "C:\Programmi\Intel\Wireless\Bin\bak\ZCfgSvc.exe|C :\Programmi\Intel\Wireless\Bin\ZCfgSvc.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

------------------------------------------------------------------------------------

Questo invece è il Direct link rilasciato da
Freefilehosting

http://www.freefilehosting.net/download/3h4jl

...e ora che fo ?

Sempre grazie

Giuseppe

**Deifobe** · 12-05-2008, 01:01

Avendolo eseguito due volte (e sei stato fortunato) hai eliminato questo file "sano":
File "C:\Programmi\Norton SystemWorks\CfgWiz.exe" deleted successfully.

allora..

scarica in c:\ mbr.exe, disattiva l'antivirus
start => esegui => digita: mbr.exe (posta il rapporto)

riesegui avenger:

files to delete:
C:\WINDOWS\temp\bca4e2da.$$$
C:\WINDOWS\temp\fa56d7ec.$$$
C:\WINDOWS\temp\ed47fa.$
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r3397277044.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r2804549933.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r2613805395.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r930763241.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r2161315808.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r1465330025.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r3640007468.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r482376029.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r4237077737.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r1583516965.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r2705637781.exe
C:\DOCUME~1\GIUSEP~1\IMPOST~1\Temp\r131150706.exe

folders to delete:
C:\Programmi\Alice ti aiuta\SmartBridge\bak
C:\Programmi\ATI Technologies\ATI.ACE\bak
C:\Programmi\File comuni\Real\Update_OB\bak
C:\Programmi\File comuni\Symantec Shared\bak
C:\Programmi\Intel\Wireless\Bin\bak
C:\Programmi\Messenger\bak
C:\Programmi\Millewin\bak
C:\Programmi\Musicmatch\Musicmatch Jukebox\bak
C:\Programmi\Norton SystemWorks\bak
C:\Programmi\ScanSoft\OmniPageSE2.0\bak
C:\Programmi\Synaptics\SynTP\bak
C:\Programmi\Toshiba\TOSCDSPD\bak
C:\Programmi\Toshiba\TOSHIBA Applet\bak
C:\Programmi\Toshiba\TOSHIBA Zooming Utility\bak
C:\Programmi\Toshiba\Tvs\bak
C:\WINDOWS\Samsung\ComSMMgr\bak
C:\WINDOWS\system32\bak
C:\WINDOWS\system32\DLA\bak

clicca su execute (posta il rapporto)

appena dopo il riavvio, cerca ed elimina questi tre files (a prescindere da quale sia l'estensione - cerca anche tra i files nascosti):
C:\WINDOWS\temp\bca4e2da.$$$
C:\WINDOWS\temp\fa56d7ec.$$$
C:\WINDOWS\temp\ed47fa.$

Esegui hijackthis, clicca su "Open the Misc Tools section" - "Open ADS Spy" - "Scan". Se rileva ADS spunta voci e clicca su "remove selected".

Posta il nuovo log di avenger, quello di mbr.exe (lo trovi in c:\) e un nuovo systemscan.

Dimmi anche quali prolemi riscontri adesso.

Discussione: Sospetto Virus

Strumenti discussione

Ricerca discussione

Visualizza

Sospetto Virus

Re: Sospetto Virus

Permessi di invio