|
| Precedente :: Successivo |
| Autore |
Messaggio |
goodgod
Eroe in grazia degli dei
Registrato: 06/06/06 10:43
Messaggi: 82
|
 Inviato: 20 Nov 2006 11:13 Oggetto: pc impallato (log hijack) |
 |
|
ciao a tutti.. avrei bisogno di una mano..
il pc si blocca in continuazione, sparsce la barra delle applicazioni per un po' e non posso usarlo.. probabilmente c'è qualosa che consuma un po' troppo..
questo è il log di hijack.. pls aiutatemi!
Logfile of HijackThis v1.99.1
Scan saved at 9.55.23, on 20/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\user\Impostazioni locali\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programmi\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [DigitaClicOnline] C:\DigitaClic\DigClicO.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\irpll7l.exe
O4 - HKLM\..\Run: [internet service] ssvhoost94.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programmi\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\RunServices: [internet service] ssvhoost94.exe
O4 - HKCU\..\Run: [E06IXLRD_133532] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Microsoft Windows Update Service (Windows Update Service) - Unknown owner - C:\WINDOWS\services.exe (file missing) |
|
| Top |
|
 |
Smjert
Dio maturo
Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
|
| Inviato: 20 Nov 2006 15:01 Oggetto: |
|
|
Ciao!
Hai un po' di schifezzuole + probabile Link Optimizer.
Avvia HijackThis, premi Do a system scan only, spunta queste voci e poi premi FixChecked (non spuntare la voce in rosso se sai cos'è ed è legittimo):
| Citazione: | R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [DigitaClicOnline] C:\DigitaClic\DigClicO.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\irpll7l.exe
O4 - HKLM\..\Run: [internet service] ssvhoost94.exe
O4 - HKLM\..\RunServices: [internet service] ssvhoost94.exe
O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing) |
Scarica poi questi due tool camuffati:
Prevx
http://www.mytempdir.com/1038236
Symantec
http://www.mytempdir.com/1038249
Fai girare prima il tool Prevx, alla fine della scansione ti chiederà di riavviare il pc, tu accetta.
Una volta riavviato il pc, riavvialo ancora in Modalità Provvisoria (F8 al boot, segnati le operazioni che seguono perchè non potrai accedere ad internet).
Fai girare il tool Symantec, una volta finita la scansione
| Citazione: | Usa la ricerca di Windows e trova questo file: ssvhoost94.exe
(ricordati di attivare la ricerca nelle cartelle e nei file nascosti andando
in "Altre opzioni avanzate" e spuntando la voce
"Cerca nei file e nelle cartelle nascosti"). |
Se lo trovi lo cancelli
Cancella poi questi file:
| Citazione: | C:\irpll7l.exe
C:\WINDOWS\winlogon.exe
C:\WINDOWS\shost.exe |
e questa cartella (come prima, non farlo se sai cos'è):
C:\DigitaClic
Riavvia in Modalità Normale
Posta un nuovo log di HijackThis, il log del tool Prevx (C:\gromozon_removal.log) e del tool Symantec (FixLinkOpt.log) |
|
| Top |
|
|
goodgod
Eroe in grazia degli dei
Registrato: 06/06/06 10:43
Messaggi: 82
|
| Inviato: 21 Nov 2006 10:04 Oggetto: |
|
|
| Citazione: | Citazione:
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [DigitaClicOnline] C:\DigitaClic\DigClicO.exe
O4 - HKLM\..\Run: [Anti-Virus Update Scheduler] C:\irpll7l.exe
O4 - HKLM\..\Run: [internet service] ssvhoost94.exe
O4 - HKLM\..\RunServices: [internet service] ssvhoost94.exe
O23 - Service: AOL instant messenger 7.0 (aol7.0) - Unknown owner - C:\WINDOWS\winlogon.exe (file missing)
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)
|
di tutta quella robaccia devo eliminare solo questo?
un'altra domandina.. perchè è così necessario operare in modalità provvisoria? |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 21 Nov 2006 11:35 Oggetto: |
|
|
| goodgod ha scritto: | | di tutta quella robaccia devo eliminare solo questo? |
Un chiarimento: HijackThis non elenca robaccia, ma "solo" cose sospette, strane, insolite o che non conosce.
Tant'è che una delle righe indicate da Smjert (che ha evidenziato in rosso) a chiesto a te se sia un programam legitimo che tu hai installato.
| goodgod ha scritto: | | un'altra domandina.. perchè è così necessario operare in modalità provvisoria? |
In modalità provvisoria ci sono meno programmi che "bloccano" o possono intralciare le operazioni.
Questo in generale
Poi ci sono dei casi particolari:
Il tool della Prevx funziona modalità normale, ma se non dovesse riuscire a funzionare si può provare da modlaità provvisoria.
Quello della Symantec funziona solo in modalità provvisoria
(Hai già letto questa discussione LinkOptimizer/Gromozon/troj.Lop.AH (AVG) /tr.Agent (Antivir)?)
Altro caso particolare sono i tool tipo HijackThis, che analizzano cosa "c'è" sul pc. Se lo eseguissi da modalità provvisoria, potrebeb non notare dei problemi che in modalità normale ci sono ma in modalità provvisoria no.
Per cui segui le istruzioni di Smjert |
|
| Top |
|
|
goodgod
Eroe in grazia degli dei
Registrato: 06/06/06 10:43
Messaggi: 82
|
| Inviato: 21 Nov 2006 12:34 Oggetto: |
|
|
ma si, certo.. non volevo mica fare lo scettico.. erano solo curiosità..
ho seguito altre volte i vostri consigli x cui mi fido ciecamente..
ok, vi farò sapere il risultato.. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 21 Nov 2006 13:15 Oggetto: |
 |
|
| goodgod ha scritto: | ma si, certo.. non volevo mica fare lo scettico.. erano solo curiosità..
ho seguito altre volte i vostri consigli x cui mi fido ciecamente..
ok, vi farò sapere il risultato.. |
Oh scusami, il mio "Per cui segui le istruzioni di Smjert" non voleva essere un "fai quello che ti si dice e buon lì", ma serviva per riprendere il discorso.
Forse avrei fatto meglio a concludere "detto questo, ti auguro buona ... disinfesttazione. Segui le le istruzioni di Smjert".
Quanto a voler approfondire la conoscenza dell'informatica, computer, ecc. ec., fai benissimo: questo forum serve apposta!
Anche perché fidarsi ciecamente (ripeto: ciecamente!) non quasi mai una buona idea. |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
