Olimpo Informatico

RICO747 · Mortale pio Registrato: 03/10/05 14:05 Messaggi: 27 Residenza: (Ita)

Salve a tutti, scusate se rompo, magari con il solito problema: trojan, virus, etc.; vi leggo sempre con attenzione, specie quando scrivete di hijackthis, e devo dire che alla fine mi sono deciso a scaricarlo e a provarlo: inutile dire che dal suo risultato, il sottoscritto, un ci capisce nuddu (nulla).... al momento, ci sarebbe un'anima gentile che abbia un pizzico di tempo per sbirciare il log?
Grazie1000 anticipatamente

Smjert

Certo, postalo pure.

RICO747 · Mortale pio Registrato: 03/10/05 14:05 Messaggi: 27 Residenza: (Ita)

e principalmente mi scuso per il ritardo... ecco il log.. spero non incriminabile, ancora mille grazie

Logfile of HijackThis v1.99.1
Scan saved at 22.00.53, on 24/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Symantec\pcAnywhere\awhost32.exe
C:\WINDOWS\System32\GEARSec.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programmi\LogMeIn\RaMaint.exe
C:\Programmi\LogMeIn\LogMeIn.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\LogMeIn\LogMeInSystray.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\VNICMon.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\tsnp2std.exe
C:\WINDOWS\vsnp2std.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
F:\TOOLS\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pdfFactory Schedulatore v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programmi\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programmi\LogMeIn\LogMeInSystray.exe"
O4 - HKLM\..\Run: [emMON] emMON.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programmi\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programmi\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programmi\LogMeIn\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programmi\LogMeIn\LogMeIn.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

Smjert

O4 - HKLM\..\Run: [emMON] emMON.exe

Dai una controllatina a questo file (prima usa la ricerca di Windows per trovare dove sta poi vai qua http://www.virustotal.com clicca Sfoglia, seleziona il file e poi clicchi Send, aspetti che tutti gli antivirus facciano la scansione e poi posti qua il risultato).

Per il resto il log è pulito.

RICO747 · Mortale pio Registrato: 03/10/05 14:05 Messaggi: 27 Residenza: (Ita)

ecco il risultato della scansione... a questo punto penso di potermi ritenere "fortunato" oppure.... Laughing

ancora 1000grazie
STATUS: FINISHEDComplete scanning result of "emMON.exe", received in VirusTotal at 10.25.2006, 23:36:58 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.32 10.25.2006 no virus found
Authentium 4.93.8 10.25.2006 no virus found
Avast 4.7.892.0 10.25.2006 no virus found
AVG 386 10.25.2006 no virus found
BitDefender 7.2 10.25.2006 no virus found
CAT-QuickHeal 8.00 10.25.2006 no virus found
ClamAV devel-20060426 10.25.2006 no virus found
DrWeb 4.33 10.25.2006 no virus found
eTrust-InoculateIT 23.73.36 10.25.2006 no virus found
eTrust-Vet 30.3.3156 10.25.2006 no virus found
Ewido 4.0 10.25.2006 no virus found
Fortinet 2.82.0.0 10.25.2006 no virus found
F-Prot 3.16f 10.25.2006 no virus found
F-Prot4 4.2.1.29 10.25.2006 no virus found
Ikarus 0.2.65.0 10.25.2006 no virus found
Kaspersky 4.0.2.24 10.25.2006 no virus found
McAfee 4881 10.25.2006 no virus found
Microsoft 1.1609 10.25.2006 no virus found
NOD32v2 1.1833 10.25.2006 no virus found
Norman 5.80.02 10.25.2006 no virus found
Panda 9.0.0.4 10.25.2006 no virus found
Sophos 4.10.0 10.24.2006 no virus found
TheHacker 6.0.1.105 10.25.2006 no virus found
UNA 1.83 10.25.2006 no virus found
VBA32 3.11.1 10.25.2006 no virus found
VirusBuster 4.3.15:9 10.25.2006 no virus found

Aditional Information

Smjert

Accusi o accusavi dei problemi?
Ora sembri a posto.

ulisse777 · Comune mortale Registrato: 27/10/06 09:49 Messaggi: 2 Residenza: Firenze

Scusate se mi introduco nel discorso, ma ho scaricato HijackThis qualche giorno fa e mi risulta effettivamente ostico comprendere quali file tenere e quali cancellare xkè inutili o addirittura dannosi , un amico mi ha detto ad esempio che i file "BHO" sono inutili ma ...
mi piacerebbe avere un po di aiutini per potere essere autosufficiente.
Very Happy

Smjert

Beh leggere un log di hijackthis in realtà è abbastanza semplice... all'inizio ci vuole un po' di tempo per capire se tutte le voci sono corrette.. ma con un po' di esercizio..
Il tutto sta nel capire se la voce che stiamo guardando si riferisce a qualcosa di conosciuto, ad esempio:

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll

So che Yahoo! è un programma di messaggistica istantanea quindi potrei già stare tranquillo e dire che è una voce legittima, per le prime volte sarebbe meglio farsi venire il dubbio...
Poi magari non conosco quella dll.
Niente di più semplice.. usi google mettendo nome ed estensione e ne trovi di informazioni!
Poi c'è ancora un ultima possibilità: la dll sembra essere legittima (perchè si chiama yt.dll) però è in C:\Windows.. allora lì la cosa non torna.. che ci fa una dll che non è di Windows in quella cartella? (o peggio ancora in C:\Windows\System32), in questo modo sai che devi informarti meglio e che nel 99% dei casi è un malware.