| Precedente :: Successivo |
| Autore |
Messaggio |
steweak
Mortale devoto
Registrato: 25/09/07 22:33
Messaggi: 9
|
 Inviato: 25 Set 2007 22:39 Oggetto: aiuto log hijackthis! |
 |
|
avrei bisogno del vostro parere sul log riportato di seguito..
grazie in anticipo
Logfile of HijackThis v1.99.1
Scan saved at 22.36.16, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Allume\StuffIt\MXTask.exe
C:\WINDOWS\system32\UAService7.exe
C:\PROGRA~1\Allume\StuffIt\mxtask.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\ste\Desktop\gmer.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\ste\Desktop\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SBDrvDet] "C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe " /r
O4 - HKLM\..\Run: [avast!] "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG Utility] "C:\Programmi\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTSysVol] "C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe " /r
O4 - HKLM\..\Run: [CTHelper] "CTHELPER.EXE"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MCW Startup] "C:\Programmi\Monitor Calibration Wizard\MCW.exe" /s
O4 - Global Startup: Logo Calibration Loader.lnk = C:\Programmi\GretagMacbeth\i1\Eye-One Match 3\CalibrationLoader\CalibrationLoader.exe
O4 - Global Startup: ProfileReminder.lnk = C:\Programmi\GretagMacbeth\i1\Eye-One Match 3\ProfileReminder.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{769BD482-FA35-44C5-8257-8C8FB6EA399D}: NameServer = 85.255.116.136 85.255.112.13
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: StuffIt Task Manager - Allume Systems, Inc. - C:\PROGRA~1\Allume\StuffIt\MXTask.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
| Top |
|
 |
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 25 Set 2007 23:09 Oggetto: |
|
|
ciao, steweak
sarebbe anche utile sapere che problemi riscontri...
puoi eliminare questa voce:
O17 - HKLM\System\CCS\Services\Tcpip\..\{769BD482-FA35-44C5-8257-8C8FB6EA399D}: NameServer = 85.255.116.136 85.255.112.13
(a meno che non usi un provider Ucraino  )
per il resto il log è pulito |
|
| Top |
|
|
steweak
Mortale devoto
Registrato: 25/09/07 22:33
Messaggi: 9
|
| Inviato: 25 Set 2007 23:29 Oggetto: |
|
|
ciao orange, grazie per l'aiuto..
ho problemi con firefox (e il maledetto explorer), alcune pagine vengono reindirizzate..
ho provato a fixare la voce:
O17 - HKLM\System\CCS\Services\Tcpip\..\{769BD482-FA35-44C5-8257-8C8FB6EA399D}: NameServer = 85.255.116.136 85.255.112.13
ma si ricrea ogni volta che mi riconnetto ad internet..
il bello è che in modalità provvisoria la connessione non mi funziona (non ho idea del perchè) quindi la voce in questione non viene trovata da Hikackthis e non posso fixarla...
dimmi se hai bisogno di altre info.. |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 25 Set 2007 23:43 Oggetto: |
|
|
| fai i passaggi indicati in questo topic e posta i relativi link |
|
| Top |
|
|
steweak
Mortale devoto
Registrato: 25/09/07 22:33
Messaggi: 9
|
| Inviato: 26 Set 2007 00:18 Oggetto: |
|
|
rieccomi con i log delle scansioni:
http://www.freefilehosting.net/download/MjQzOTA=
http://www.freefilehosting.net/download/MjQzOTE=
aspetto tue nuove.. |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 26 Set 2007 08:29 Oggetto: |
|
|
scarica questo tool
disabilita il tuo antivirus
esegui rustbfix.exe
Se viene trovata l'infezione verrà chiesto di riavviare, riavvia il computer.
Probabilmente il computer si riavvierà due volte una dopo l'altra, è normale.
scarica RegRun Reanimator e scompattalo dove vuoi tu (non necessita d'installazione)
Esegui reanimator.exe
Clicca su "Remove Rustock Rootkit"
conferma tutte le richieste
riavvia
posta per favore il log di rustbfix |
|
| Top |
|
|
steweak
Mortale devoto
Registrato: 25/09/07 22:33
Messaggi: 9
|
| Inviato: 26 Set 2007 11:16 Oggetto: |
|
|
allora caro..
ho seguito le tue istruzioni:
ho lanciato rustbfix.exe che dopo il riavvio ha scritto due txt:
http://www.freefilehosting.net/download/MjQ1NDI=
http://www.freefilehosting.net/download/MjQ1NDM=
ho eseguito reanimator.exe che a sua volta mi ha fatto riavviare.
ti serve un nuovo log di rustbfix.exe?
ps hijackthis continua a rilevare la voce ucraina incriminata
ciao |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 26 Set 2007 11:24 Oggetto: |
|
|
pare che è stato rimosso.
fissa quella voce con HJT, non dovrebbe piu riapparire.
per sicurezza rifai entrambi le scansioni con Gmer e posta i link. |
|
| Top |
|
|
steweak
Mortale devoto
Registrato: 25/09/07 22:33
Messaggi: 9
|
| Inviato: 26 Set 2007 13:21 Oggetto: |
|
|
purtroppo continua a comparire quando mi connetto..
ecco i log:
http://www.freefilehosting.net/download/MjQ1NjE=
http://www.freefilehosting.net/download/MjQ1NjI=
mi dispiace farti perdere tutto sto tempo... |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 26 Set 2007 21:23 Oggetto: |
|
|
| steweak ha scritto: | | purtroppo continua a comparire quando mi connetto.. |
strano... i logs che hai postato sono puliti, ma facciamo quest'altro controllo (non si sà mai  )
posta qui il link |
|
| Top |
|
|
steweak
Mortale devoto
Registrato: 25/09/07 22:33
Messaggi: 9
|
| Inviato: 27 Set 2007 00:56 Oggetto: |
|
|
eccomi ancora...
ecco il log..
http://www.freefilehosting.net/download/MjQ2OTk=
considera però che quando sono disconnesso (come era richiesto nelle istruzioni) la voce malefica scompare...
boh... |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 27 Set 2007 13:38 Oggetto: |
|
|
scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:
| Citazione: | Files to delete:
C:\WINDOWS\{00000000-00000000-0000000B-00001102-00000004-20021102}.CDF
C:\WINDOWS\system32\settingsbkup.sfm
C:\WINDOWS\system32\settings.sfm
C:\WINDOWS\system32\DVCStateBkp-{00000000-00000000-0000000B-00001102-00000004-20021102}.dat
C:\WINDOWS\system32\BMXState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\BMXCtrlState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\DVCState-{00000000-00000000-0000000B-00001102-00000004-20021102}.dat
C:\WINDOWS\system32\BMXStateBkp-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\q55y6o4Y.exe
C:\DOCUME~1\ste\IMPOST~1\Temp\bt0572.bat
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At1.job
|
Clicca Done
poi sul icona del semaforo
rispondi Yes (a questo punto il PC dovrebbe riavviarsi. se così non fosse riavvialo manualmente)
ripulisci i file temporanei con CCleaner e/o ATF Cleaner
posta il log di Avenger |
|
| Top |
|
|
steweak
Mortale devoto
Registrato: 25/09/07 22:33
Messaggi: 9
|
| Inviato: 27 Set 2007 17:11 Oggetto: |
|
|
ok tutto fatto.
qui c'è il log all'avvio di avenger:
http://www.freefilehosting.net/download/MjQ4NTQ= |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 27 Set 2007 20:07 Oggetto: |
|
|
| posta il log aggiornato di HJT |
|
| Top |
|
|
steweak
Mortale devoto
Registrato: 25/09/07 22:33
Messaggi: 9
|
| Inviato: 27 Set 2007 20:13 Oggetto: |
|
|
eccolo:
http://www.freefilehosting.net/download/MjQ4OTM=
madonna che fatica (soprattutto per te) |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 27 Set 2007 20:31 Oggetto: |
|
|
O17 - HKLM\System\CCS\Services\Tcpip\..\{769BD482-FA35-44C5-8257-8C8FB6EA399D}: NameServer = 85.255.116.136 85.255.112.13
è sempre lì....
riprova a fissare la voce con HJT
altrimenti cancellala manualmente dal registro. |
|
| Top |
|
|
steweak
Mortale devoto
Registrato: 25/09/07 22:33
Messaggi: 9
|
| Inviato: 28 Set 2007 01:23 Oggetto: |
|
|
purtroppo fixare la voce con hjt non serviva a nulla...
lo stesso cancellarla dal registro..
si ricreava ogni volta che mi connettevo a internet..
ho trovato però in un forum inglese notizia di un tale
aveva risolto il mio stesso problema...
nelle propietà della connessione internet predefinita, nel menù rete e poi ancora proprietà >avanzate>dns, ho cancellato manualmente i numeri di ip incriminati..
ora la scansione di hjt mi segnala il numero di ip del mio provider...
sembra che tutto funzioni al momento..
cmq grazie mille, ORANGE per la tua disponibilità |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 28 Set 2007 08:52 Oggetto: |
 |
|
meglio così 
se vuoi presentarti alla comunità "divina" del Olimpo ti aspettiamo al nostro speciale Comitato di accoglienza!
 |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
