hi guys, the HijackThis has found this list of files, the problem is -like always- that i have no idea what must be deleted to clean my notebook, it will be great to have a good suggestion from you. list: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\hkcmd.exe C:\Programmi\Apoint\Apoint.exe C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe C:\Programmi\Dell\Media Experience\DMXLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe C:\Programmi\ScanSoft\OmniPageSE\opware32.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\xpuupdate.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Digital Line Detect\DLG.exe C:\Programmi\FRITZ!DSL\FwebProt.exe C:\Programmi\Apoint\Apntex.exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programmi\Alias\Maya7.0\docs\wrapper.exe C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Alias\Maya7.0\docs\jre\bin\java.exe C:\Programmi\FRITZ!DSL\StCenter.EXE C:\WINDOWS\System32\svchost.exe C:\Programmi\mozilla.org\Mozilla\mozilla.exe C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe C:\Programmi\AntiVir PersonalEdition Classic\avscan.exe C:\HjT\HijackThis_v1.99.1.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint\Apoint.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Documents and Settings\one\Desktop\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programmi\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it O17 - HKLM\System\CCS\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253 O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programmi\FRITZ!DSL\IGDCTRL.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programmi\File comuni\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programmi\Alias\Maya7.0\docs\wrapper.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe thanks!!!!
I can definitely help you, but I need you to do two things for me. First, use more descriptive thread titles! Secondly, can you scan with HijackThis again? The first four lines of the log, starting with "Logfile of HijackThis v1.99.1/Platform: ..." got cut off. So if you could do another scan and repost the entire logfile, that would be great
the new list follows: Logfile of HijackThis v1.99.1 Scan saved at 19.13.21, on 05/07/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\hkcmd.exe C:\Programmi\Apoint\Apoint.exe C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe C:\Programmi\Dell\Media Experience\DMXLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe C:\Programmi\ScanSoft\OmniPageSE\opware32.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\xpuupdate.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Digital Line Detect\DLG.exe C:\Programmi\FRITZ!DSL\FwebProt.exe C:\Programmi\Apoint\Apntex.exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programmi\Alias\Maya7.0\docs\wrapper.exe C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Alias\Maya7.0\docs\jre\bin\java.exe C:\Programmi\FRITZ!DSL\StCenter.EXE C:\WINDOWS\System32\svchost.exe C:\Programmi\Real\RealPlayer\RealPlay.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\mozilla.org\Mozilla\mozilla.exe C:\HjT\HijackThis_v1.99.1.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint\Apoint.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Documents and Settings\one\Desktop\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programmi\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it O17 - HKLM\System\CCS\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253 O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programmi\FRITZ!DSL\IGDCTRL.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programmi\File comuni\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programmi\Alias\Maya7.0\docs\wrapper.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe i hope it is better now, thanks again for the help!!!
I noticed that you didn't mention that anything was wrong with your system. What symptoms are you experiencing that led you to post here?
ok, maybe wasn't a good idea to post here without to explain my problem, so: my Antivir has found at least 2 viruses, and in this forum someone suggests someone other to try with HijeckThis, that's the way why I'm here. I've no precise symptoms on my notebook without the fact that on the start-bar (the control-bar at the bottom of the screen, i've forgot the name...sorry) all the application symbols are not on focus and a windows advertising symbol is blinking all the time and make acoustic signal, that I cannot remove. the viruses/trojan horses/droppers... are: DR/Tool.Reboot.F.14 DR/FraudTool.ContaVir.B.9 My Antivir cannot remove it, or better it remove they but the come again at every scan. thanks for the attention and for the time you dedicate to me, d.
Hehe... no problem. Can you do me a favour: Open up AntiVir's interface. Click on the "Guard" tab. There should be three text boxes. Would you please copy the content of the boxes "Last File Found" and "Last Detection" and post them in a reply? Next, click on the "Reports" tab. Double-click on the last item in the "Reports" list that says "Scan", and click the "Report File" button. A Notepad document called AVSCAN-########-########.log should open (# represents a character). Copy and paste the whole log into your reply.
1st box: no text 2nd box: no text 3rd box: C:\WINDOWS\system32\xpuupdate.exe AVSCAN ####.LOG AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: giovedì 5 luglio 2007 15:48 Es wird nach 866010 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: one Computername: DIEGO Versionsinformationen: BUILD.DAT : 247 14437 Bytes 10/05/2007 11:52:00 AVSCAN.EXE : 7.0.4.15 282664 Bytes 07/05/2007 18:40:45 AVSCAN.DLL : 7.0.4.0 41000 Bytes 07/03/2007 07:39:18 LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:00 LUKERES.DLL : 7.0.4.0 10792 Bytes 27/02/2007 10:19:06 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58 ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21/05/2007 12:45:14 ANTIVIR2.VDF : 6.39.0.76 1002496 Bytes 29/06/2007 08:46:16 ANTIVIR3.VDF : 6.39.0.101 149504 Bytes 05/07/2007 13:07:12 AVEWIN32.DLL : 7.4.0.37 2482688 Bytes 30/06/2007 08:46:17 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:23 AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:20:44 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24 AVPACK32.DLL : 7.3.0.13 360488 Bytes 30/06/2007 08:46:17 AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:04 AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:01 AVARKT.DLL : 1.0.0.17 278568 Bytes 09/05/2007 17:00:50 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:03 RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:00 RCTEXT.DLL : 7.0.45.0 86056 Bytes 16/03/2007 12:39:00 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programmi\AntiVir PersonalEdition Classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: D:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: giovedì 5 luglio 2007 15:48 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mozilla.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'java.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NicConfigSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wrapper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FwebProt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DLG.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'xpuupdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'opware32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'tfswctrl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DMXLauncher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DVDLauncher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '43' Prozesse mit '43' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '25' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <GULLIVER> C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Documents and Settings\one\Impostazioni locali\Temp\sa3E.VIR000 [FUND] Enthält Signatur des Droppers DR/FraudTool.ContaVir.B.9 [INFO] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Periferica non pronta. Ende des Suchlaufs: giovedì 5 luglio 2007 16:32 Benötigte Zeit: 43:55 min Der Suchlauf wurde vollständig durchgeführt. 7546 Verzeichnisse wurden überprüft 349005 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 davon wurden als verdächtig eingestuft 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 349004 Dateien ohne Befall 8722 Archive wurden durchsucht 2 Warnungen 0 Hinweise 0 Versteckte Objekte wurden gefunden sorry I have the german version, but I think it is organised like the english one, so you should have no problems. there are also 2 different viruses on my quarantine: TR/Zlob.CA.31 DR/FreudToll.ContaVir.B.9 I hope it is everything that you need, if you need a translation I am here. (the report says: 1 virus found, 1 virus deleted, 2 not analysed files, 2 warnings files) thanks )))
Since it's been a couple of days (sorry), could you post a fresh HijackThis log to refresh my memory? Thanks
hi, the new scan: Logfile of HijackThis v1.99.1 Scan saved at 12.20.20, on 13/07/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\hkcmd.exe C:\Programmi\Apoint\Apoint.exe C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe C:\Programmi\Dell\Media Experience\DMXLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe C:\Programmi\ScanSoft\OmniPageSE\opware32.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\xpuupdate.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Digital Line Detect\DLG.exe C:\Programmi\FRITZ!DSL\FwebProt.exe C:\Programmi\Apoint\Apntex.exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Programmi\Alias\Maya7.0\docs\wrapper.exe C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Alias\Maya7.0\docs\jre\bin\java.exe C:\Programmi\FRITZ!DSL\StCenter.EXE C:\Programmi\mozilla.org\Mozilla\mozilla.exe C:\Programmi\Real\RealPlayer\RealPlay.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\ContraVirus\ContraVirusPro.exe C:\Programmi\ContraVirus\ContraVirusPro.exe C:\HjT\HijackThis_v1.99.1.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: IEExtension Class - {DBE5BEE8-F032-11DB-826A-C4BB56D89593} - C:\Programmi\ContraVirus\secieaddin.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint\Apoint.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [DVDLauncher] "C:\Programmi\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [DMXLauncher] C:\Programmi\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe O4 - HKLM\..\Run: [ContraVirus] C:\Programmi\ContraVirus\ContraVirusPro.exe /s O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Documents and Settings\one\Desktop\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programmi\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programmi\fritz!dsl\sarah.dll O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it O17 - HKLM\System\CCS\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{10D9DB81-3B87-493C-8108-827BA71B8AA6}: NameServer = 192.168.122.252,192.168.122.253 O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programmi\FRITZ!DSL\IGDCTRL.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programmi\File comuni\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programmi\Alias\Maya7.0\docs\wrapper.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programmi\Dell\NICCONFIGSVC\NICCONFIGSVC.exe it is stange, since i have no problems with my pc, but my Antivir says me periodically that i have 2 viruses : DR/FraudToll.ContraVir.B.9 and TR/Zlob.CA.31 i have no idea?!! and i have also a new question if you are so nice to answer me: a friend of mine recives always e-mails with strange attachments (always different and virus-like) independent from from which pc are the e-mails sended (library, internet cafè ,...)!! do you have an idea what's the point? thanks a lot, diego
Hi Fredil, there is lines which you have to analyze, and find out how to remove these C:\WINDOWS\system32\xpuupdate.exe C:\Programmi\ContraVirus\ContraVirusPro.exe C:\Programmi\ContraVirus\ContraVirusPro.exe O2 - BHO: IEExtension Class - {DBE5BEE8-F032-11DB-826A-C4BB56D89593} - C:\Programmi\ContraVirus\secieaddin.dll O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe O4 - HKLM\..\Run: [ContraVirus] C:\Programmi\ContraVirus\ContraVirusPro.exe /s O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 (this is optional) http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm That links maybe helps you.
delete C:\WINDOWS\system32\xpuupdate.exe,O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 and O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe Kind.these are nasty ones. you could also fix these:O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe,O4 - HKLM\..\Run: [SunJavaUpdateSched] \"C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe\",O4 - HKLM\..\Run: [TkBellExe] \"C:\Programmi\File comuni\Real\Update_OB\realsched.exe\" -osboot and O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE because they take uo system resources.
Huh... I've never figured out what SDFix fixes. Well, after a test on my virtual machine, and a Google search for a canned... Let's see now.... Where does it say the viruses are? O2 - BHO: IEExtension Class - {DBE5BEE8-F032-11DB-826A-C4BB56D89593} - C:\Programmi\ContraVirus\secieaddin.dll O4 - HKLM\..\Run: [Windows Updater Servc] C:\WINDOWS\system32\xpuupdate.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Check those lines with HijackThis and press "Fix Checked". Download SDFix and save it to your Desktop. http://downloads.andymanchesta.com/r...ools/sdfix.zip Right click the SDFix.zip folder and choose Extract All to extract it to its own folder on the Desktop. Reboot your computer in Safe Mode: 1. Reboot. 2. When your computer is starting up, tap the F8 key repeatedly. You may get an error if this is done too early, in this case reboot and try again. 3. If a blue screen about boot drivers comes up, press ESC and keep tapping F8. 4. When the Advanced Options menu comes up, use the arrow keys and navigate to Safe Mode. Press Enter. Log in as usual. Open the extracted SDFix folder and double click RunThis.bat to start the script. Type Y to begin the cleanup process. It will remove any Trojan Services or Registry Entries found then prompt you to press any key to Reboot. Press any Key and it will restart the PC. When the PC restarts the Fixtool will run again and complete the removal process then display Finished, press any key to end the script and load your desktop icons. Once the desktop icons load the SDFix report will open on screen and also save into the SDFix folder as Report.txt. Copy and paste the contents of the results file Report.txt back onto the forum with a new hijackthis log. Next, open the Start Menu. Click Run and in the box, type appwiz.cpl. Search down the alphabetical list; something like Contra Virus or Contra Virus Pro should be there; highlight that entry and click "Remove". Reboot your computer and post a SDFix and HijackThis log.
