| Precedente :: Successivo |
| Autore |
Messaggio |
Trinidad
Eroe in grazia degli dei
Registrato: 08/03/07 16:16
Messaggi: 114
|
 Inviato: 29 Mar 2007 11:07 Oggetto: log di Hijackthis sezione 20 non mi convince |
 |
|
Ciao
stò ercando di capire come utilizzare al meglio l' hijakthis e facendo un log della macchina ho trovato una sezione che non mi convince, la sezione 20 che mi dice:
O20 - Winlogon Notify: ckpNotify - C:\WINNT\
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
ho paura che ci sia l' infezione da look2me come dice la guida
sotto metto il log completo
che dite devo rimuoverlo, e se si uso anche look2me Deststroyer?
un' ultima curiosità, look2me Deststroyer deve essere usato anche lui in mod. provvisoria?
spero mi diate una mano perchè ho voglia di imparare ad usare bene questo programma che mi sembra uno dei migliori in circolazione e magari in futuro poter essere pure io utile a qualcuno
ciao Trinidad
-----------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 15.48.06, on 28/03/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\WINNT\system32\internat.exe
E:\MSN Messenger\msnmsgr.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\File comuni\System\MAPI\1033\nt\MAPISP32.EXE
C:\Programmi\eMule\emule.exe
C:\WINNT\system32\wuauclt.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\SNDVOL32.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Microsoft Office\Office\OUTLOOK.EXE
C:\Archivos de programa\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://srv-service/officescan/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://srv-service/officescan/clientinstall/setupini.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://srv-service/officescan/clientinstall/RemoveCtrl.cab
O20 - Winlogon Notify: ckpNotify - C:\WINNT\
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Helper smart card (SCardDrv) - Unknown owner - C:\WINNT\system32\scardsvr32.exe (file missing) |
|
| Top |
|
 |
Trinidad
Eroe in grazia degli dei
Registrato: 08/03/07 16:16
Messaggi: 114
|
| Inviato: 29 Mar 2007 14:18 Oggetto: |
|
|
ho notato anche questo abbastanza losco
O23 - Service: Helper smart card (SCardDrv) - Unknown owner - C:\WINNT\system32\scardsvr32.exe (file missing) |
|
| Top |
|
|
Trinidad
Eroe in grazia degli dei
Registrato: 08/03/07 16:16
Messaggi: 114
|
| Inviato: 29 Mar 2007 15:16 Oggetto: |
|
|
Ma merchè non mi risponde nessuno?????  |
|
| Top |
|
|
Trinidad
Eroe in grazia degli dei
Registrato: 08/03/07 16:16
Messaggi: 114
|
| Inviato: 29 Mar 2007 15:48 Oggetto: |
|
|
Per la cronaca
dopo una scansione di FixFemot in mod provvisoria
scardsvr32.exe era un virus, eliminato
Logfile of HijackThis v1.99.1
Scan saved at 15.44.37, on 29/03/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\WINNT\system32\internat.exe
E:\MSN Messenger\msnmsgr.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://srv-service/officescan/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://srv-service/officescan/clientinstall/setupini.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://srv-service/officescan/clientinstall/RemoveCtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = akhela.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{8ACEAF29-CA48-4179-B446-4ED5B26A8714}: NameServer = 10.123.2.33,10.123.2.32
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = akhela.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = akhela.com
O20 - Winlogon Notify: ckpNotify - C:\WINNT\
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 29 Mar 2007 21:38 Oggetto: Re: log di Hijackthis sezione 20 non mi convince |
|
|
| Trinidad ha scritto: | ho trovato una sezione che non mi convince, la sezione 20 che mi dice:
O20 - Winlogon Notify: ckpNotify - C:\WINNT\
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
ho paura che ci sia l' infezione da look2me come dice la guida |
M'informo meglio .... e vedo che scopro
p.s. Usi "NetWare"? (che ho già sentito, ma al momentonon mi ricordo cosa sia ... ops ...)
| Trinidad ha scritto: | | sotto metto il log completo |
L'hai messo tu in quella posizione (cartella E:\MSN Messenger ) , gisuto?
E:\MSN Messenger\msnmsgr.exe
Il programma a cui si riferiscono queste 3 voci, sai cosa sia?
R3 - URLSearchHook: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O2 - BHO: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
Queste 4 "puzzano" di sospetto (tra l'altro non c'erano nel primo log che hai postato). O sai cosa siano?
| Trinidad ha scritto: | ho notato anche questo abbastanza losco
O23 - Service: Helper smart card (SCardDrv) - Unknown owner - C:\WINNT\system32\scardsvr32.exe (file missing) |
| Trinidad ha scritto: | dopo una scansione di FixFemot in mod provvisoria
scardsvr32.exe era un virus, eliminato |
Però il primo log diceva "file missing", sembrava quidni un rimasuglio (programma legittimo o malaware, questo dipende dalprogramma) di un programma che non c'era più.
C'era ancora il file? (prima di far passare l'antivirus)
| Trinidad ha scritto: | | Ma merchè non mi risponde nessuno????? |
Io prima non c'ero
(e se c'ero dormivo ...)
 |
|
| Top |
|
|
Benny
Moderatore Hardware e Networking
Registrato: 28/01/06 15:35
Messaggi: 6382
Residenza: Non troppo vicino, mai troppo lontano
|
| Inviato: 29 Mar 2007 22:07 Oggetto: Re: log di Hijackthis sezione 20 non mi convince |
|
|
| chemicalbit ha scritto: | | Trinidad ha scritto: | ho trovato una sezione che non mi convince, la sezione 20 che mi dice:
O20 - Winlogon Notify: ckpNotify - C:\WINNT\
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
ho paura che ci sia l' infezione da look2me come dice la guida |
M'informo meglio .... e vedo che scopro
p.s. Usi "NetWare"? (che ho già sentito, ma al momentonon mi ricordo cosa sia ... ops ...) |
In effetti è un servizio necessario all'avvio per il NetWare, che se non sbaglio dovrebbe servire per la rete delle workstation NT, ma forse ricordo a spizzichi e bocconi...
| chemicalbit ha scritto: | | Trinidad ha scritto: | | Ma merchè non mi risponde nessuno????? |
Io prima non c'ero
(e se c'ero dormivo ...)
|
Idem! |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 29 Mar 2007 22:51 Oggetto: Re: log di Hijackthis sezione 20 non mi convince |
|
|
| Benny ha scritto: | | chemicalbit ha scritto: | | p.s. Usi "NetWare"? (che ho già sentito, ma al momentonon mi ricordo cosa sia ... ops ...) |
In effetti è un servizio necessario all'avvio per il NetWare, che se non sbaglio dovrebbe servire per la rete delle workstation NT, ma forse ricordo a spizzichi e bocconi... |
Nel frattempo mi è tornata la memoria.
Netware è un protocollo (nonché sistema operativo, ecc.) per reti locali della Novel (Novel Netware).
| Benny ha scritto: | | chemicalbit ha scritto: | | Trinidad ha scritto: | | Ma merchè non mi risponde nessuno????? |
Io prima non c'ero
(e se c'ero dormivo ...)
|
Idem! |
Oggi pare che ci sia la moria delle vacche (citazione da Totò).
E dire che la partita di calcio in tv c'era ieri sera, non oggi
 |
|
| Top |
|
|
Trinidad
Eroe in grazia degli dei
Registrato: 08/03/07 16:16
Messaggi: 114
|
| Inviato: 30 Mar 2007 12:06 Oggetto: |
|
|
| Trinidad ha scritto: | Benny ha scritto:
chemicalbit ha scritto:
Trinidad ha scritto:
Ma merchè non mi risponde nessuno????? Crying or Very sad
Io prima non c'ero
(e se c'ero dormivo ...)
Wink
Idem!
Oggi pare che ci sia la moria delle vacche (citazione da Totò).
E dire che la partita di calcio in tv c'era ieri sera, non oggi
Eh?
----------------------------------------------------------------
chemicalbit ha scritto:
Idem!
Io prima non c'ero
(e se c'ero dormivo ...)
Wink
----------------------------------------------------------------
|
siete mitici 8)
| chemicalbit ha scritto: |
Il programma a cui si riferiscono queste 3 voci, sai cosa sia?
R3 - URLSearchHook: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O2 - BHO: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
Queste 4 "puzzano" di sospetto (tra l'altro non c'erano nel primo log che hai postato). O sai cosa siano?
|
queste le voglio verificare, credo che sia una toolbar di internet explorer ma voglio verificare meglio
vi faccio sapere ciao
 |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 02 Apr 2007 11:52 Oggetto: Re: log di Hijackthis sezione 20 non mi convince |
|
|
| chemicalbit ha scritto: | | Queste 4 "puzzano" di sospetto (tra l'altro non c'erano nel primo log che hai postato). O sai cosa siano? |
Ops, devo essermi pezzo un pezzo mentre copia-incollavo.
Mi riferivo (penso ... ) a
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = akhela.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{8ACEAF29-CA48-4179-B446-4ED5B26A8714}: NameServer = 10.123.2.33,10.123.2.32
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = akhela.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = akhela.com
Aggiunta: 10.123.2.33 e 10.123.2.32 si riferiscono allo IANA (Internet Assigned Numbers Authority ) "This block is reserved for special purposes. Please see RFC 1918 for additional information." (che si riferisce a sua volta all'assegnazione d'indirizzi IP per "Private Internet")
Quindi non penso sia illegittima. Sai a cosa sia dovto?
(ma perché nel primo log non c'era?)
E soprattutto, che ci dici delle altre 3 righe?
Quindi la |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 02 Apr 2007 12:04 Oggetto: |
|
|
ciao
io non mi preoccuperei per le voci 020 (sono leggittime), ma piuttosto per
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = akhela.com
R3 - URLSearchHook: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O2 - BHO: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
per andare sul sicuro: fai la scansione on-line con Kaspersky, prova con Panda e F-secure (tutti link li trovi qui)
P.S. non serve postare le discussioni doppie (mi riferisco a questa ) |
|
| Top |
|
|
Trinidad
Eroe in grazia degli dei
Registrato: 08/03/07 16:16
Messaggi: 114
|
| Inviato: 02 Apr 2007 13:39 Oggetto: |
|
|
per quanto riguarda O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = akhela.com questo va bene, è il dominio dell' azienda
faccio la ricerca che mi hai consigliato
in effetti non è stata una grande idea postare un' altra discuss sullo stesso problema  |
|
| Top |
|
|
Trinidad
Eroe in grazia degli dei
Registrato: 08/03/07 16:16
Messaggi: 114
|
| Inviato: 02 Apr 2007 15:02 Oggetto: |
|
|
ho fatto una scansione on line con Kaspersky e mi dà questo file log, evo preoccuparmi?
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Monday, April 02, 2007 2:53:54 PM
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 2/04/2007
Kaspersky Anti-Virus database records: 273416
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true
Scan Target - Critical Areas:
C:\WINNT
C:\DOCUME~1\ssulis\IMPOST~1\Temp\
Scan Statistics:
Total number of scanned objects: 7893
Number of viruses found: 0
Number of infected objects: 0 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:18:04
Infected Object Name / Virus Name / Last Action
C:\WINNT\CSC\00000001 Object is locked skipped
C:\WINNT\Debug\ipsecpa.log Object is locked skipped
C:\WINNT\Debug\Netlogon.log Object is locked skipped
C:\WINNT\Debug\oakley.log Object is locked skipped
C:\WINNT\Debug\PASSWD.LOG Object is locked skipped
C:\WINNT\SchedLgU.Txt Object is locked skipped
C:\WINNT\SoftwareDistribution\EventCache\{BDACB0F2-259A-4570-BF1F-63C80D4FCA2F}.bin Object is locked skipped
C:\WINNT\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINNT\system32\config\AppEvent.Evt Object is locked skipped
C:\WINNT\system32\config\default Object is locked skipped
C:\WINNT\system32\config\default.LOG Object is locked skipped
C:\WINNT\system32\config\SAM Object is locked skipped
C:\WINNT\system32\config\SAM.LOG Object is locked skipped
C:\WINNT\system32\config\SecEvent.Evt Object is locked skipped
C:\WINNT\system32\config\SECURITY Object is locked skipped
C:\WINNT\system32\config\SECURITY.LOG Object is locked skipped
C:\WINNT\system32\config\software Object is locked skipped
C:\WINNT\system32\config\software.LOG Object is locked skipped
C:\WINNT\system32\config\SysEvent.Evt Object is locked skipped
C:\WINNT\system32\config\system Object is locked skipped
C:\WINNT\system32\config\SYSTEM.ALT Object is locked skipped
C:\WINNT\system32\scardsvr32.dll Object is locked skipped
C:\WINNT\WindowsUpdate.log Object is locked skipped
C:\DOCUME~1\ssulis\IMPOST~1\Temp\~DF1D08.tmp Object is locked skipped
C:\DOCUME~1\ssulis\IMPOST~1\Temp\~DF96E4.tmp Object is locked skipped
C:\DOCUME~1\ssulis\IMPOST~1\Temp\~DF96EC.tmp Object is locked skipped
C:\DOCUME~1\ssulis\IMPOST~1\Temp\~DFA761.tmp Object is locked skipped
C:\DOCUME~1\ssulis\IMPOST~1\Temp\~DFAE99.tmp Object is locked skipped
Scan process completed. |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 02 Apr 2007 15:43 Oggetto: |
|
|
ciao
| Citazione: | Per la cronaca
dopo una scansione di FixFemot in mod provvisoria
scardsvr32.exe era un virus, eliminato
|
sei sicuro??
| Citazione: | | C:\WINNT\system32\scardsvr32.dll Object is locked skipped |
altri scansioni non li hai fatti,vero? (lasciali perdere al momento)
scarica SysClean e fai lo scan
scarica CCleaner ed elimina tutti i files temp
poi fai le scansioni con Trendmicro HouseCall e Trendmicro Antispy (tutti e due)
quei toolbar se non li hai messi tu: disinstallali (non mi convincono per niente)
posta un nuovo log di HiJack alla fine |
|
| Top |
|
|
Trinidad
Eroe in grazia degli dei
Registrato: 08/03/07 16:16
Messaggi: 114
|
| Inviato: 02 Apr 2007 17:07 Oggetto: |
|
|
ecco il log di hijakthis dopo le scansioni che mi hai consigliato di fare
Logfile of HijackThis v1.99.1
Scan saved at 17.05.27, on 02/04/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\WINNT\system32\internat.exe
E:\MSN Messenger\msnmsgr.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\MySpace\IM\MySpaceIM.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINNT\system32\wuauclt.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Microsoft Office\Office\OUTLOOK.EXE
C:\Programmi\File comuni\System\MAPI\1033\nt\MAPISP32.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Programmi\Multi_Media\tbMul1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "E:\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MySpaceIM] C:\Programmi\MySpace\IM\MySpaceIM.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://srv-service/officescan/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://srv-service/officescan/clientinstall/setupini.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://srv-service/officescan/clientinstall/RemoveCtrl.cab
O16 - DPF: {88D969C1-F192-11D4-A65F-0040963251E5} (Free Threaded XML DOM Document 4.0) - http://wfm.akhela.com/openwork/setup/msxml4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = akhela.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{8ACEAF29-CA48-4179-B446-4ED5B26A8714}: NameServer = 10.123.2.33,10.123.2.32
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = akhela.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = akhela.com
O20 - Winlogon Notify: ckpNotify - C:\WINNT\
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Helper smart card (SCardDrv) - Unknown owner - C:\WINNT\system32\scardsvr32.exe (file missing) |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 02 Apr 2007 17:15 Oggetto: |
 |
|
Nulla di particolare da segnalare durante quelle scansioni?
O23 - Service: Helper smart card (SCardDrv) - Unknown owner - C:\WINNT\system32\scardsvr32.exe (file missing)
Qua manca il file,
fixala. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
