| Precedente :: Successivo |
| Autore |
Messaggio |
JCaesar
Mortale devoto
Registrato: 17/11/07 13:23
Messaggi: 5
|
 Inviato: 17 Nov 2007 23:59 Oggetto: RavMonLog |
 |
|
Grazie a Orange. Ho un problema con RavMonLog che vorrei risolvere senza dover formattare l'hadisk esterno di 1 Tb. Ecco lo scan fatto con Hij: Grazie a tutti coloro che mi vorranno aiutare. Sandro
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.44.31, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
e:\programmi\a-squared free\a2service.exe
E:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
E:\WINDOWS\system32\CTsvcCDA.EXE
E:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
E:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\MsPMSPSv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\SOUNDMAN.EXE
E:\Programmi\Java\jre1.6.0_02\bin\jusched.exe
E:\WINDOWS\system32\GSICON.EXE
E:\WINDOWS\system32\dslagent.exe
E:\Programmi\File comuni\Real\Update_OB\realsched.exe
E:\Programmi\iTunes\iTunesHelper.exe
E:\WINDOWS\AdobeR.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Skype\Phone\Skype.exe
E:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
E:\Programmi\Messenger\msmsgs.exe
E:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
E:\Documents and Settings\Michela.MICHELA-D055529\Dati applicazioni\m\flec006.exe
E:\Programmi\BitTorrent_DNA\dna.exe
E:\Programmi\WinZip\WZQKPICK.EXE
E:\Programmi\Skype\Plugin Manager\skypePM.exe
E:\Programmi\iPod\bin\iPodService.exe
E:\Programmi\DAEMON Tools\daemon.exe
E:\Programmi\Java\jre1.6.0_02\bin\jucheck.exe
E:\Programmi\uTorrent\uTorrent.exe
K:\AdobeR.exe
K:\AdobeR.exe
K:\AdobeR.exe
K:\AdobeR.exe
K:\AdobeR.exe
K:\AdobeR.exe
K:\AdobeR.exe
K:\AdobeR.exe
K:\AdobeR.exe
K:\AdobeR.exe
E:\Programmi\Mozilla Firefox\firefox.exe
E:\Programmi\Outlook Express\msimn.exe
E:\Programmi\File comuni\Real\Update_OB\RealOneMessageCenter.exe
C:\Programmi\monlog\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://italian.eazel.com/index.php?rvs=hompag
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - E:\Programmi\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programmi\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [TkBellExe] "E:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [RavAV] E:\WINDOWS\AdobeR.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "E:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] E:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "E:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Creative Detector] E:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programmi\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [mule_st_key] E:\Documents and Settings\Michela.MICHELA-D055529\Dati applicazioni\m\flec006.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "E:\Programmi\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] E:\Programmi\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programmi\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\Programmi\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - E:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Programmi\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A025300-C100-4450-BECF-B4535E7F5CFC}: NameServer = 85.37.17.43 85.38.28.96
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A025300-C100-4450-BECF-B4535E7F5CFC}: NameServer = 85.37.17.43 85.38.28.96
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - e:\programmi\a-squared free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - E:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - E:\Programmi\iPod\bin\iPodService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
--
End of file - 7928 bytes |
|
| Top |
|
 |
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 18 Nov 2007 08:47 Oggetto: |
|
|
in hijackthis, seleziona a sinistra queste voci e premi in basso fix checked:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://italian.eazel.com/index.php?rvs=hompag
O4 - HKLM\..\Run: [RavAV] E:\WINDOWS\AdobeR.exe
O4 - HKCU\..\Run: [mule_st_key] E:\Documents and Settings\Michela.MICHELA-D055529\Dati applicazioni\m\flec006.exe
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
poi con Avenger esegui questi passaggi:
scaricalo
decimprimilo in una cartella
apri avenger.exe
vai su input manually
poi sulla lente
copia quanto segue: (tutto)!
Files to delete:
K:\AdobeR.exe
E:\WINDOWS\AdobeR.exe
poi vai su done
quindi sul semaforino
consenti
a questo punto il tuo computer dovrebbe riavviarsi, altrimenti fallo tu
al riavvio posta il contenuto del blocco note che si aprirà...
Ho visto anche traccie di bagle...ho visto AVG antispyware attivo...ma niente AV...tu lo hai o no?
intanto fai anche girare EliBagla come dice la guida e posta anche il suo log finale....
 |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 18 Nov 2007 09:27 Oggetto: |
|
|
Ciao JCaesar,
Prima di procedere, conviene disabilitare l'autorun dagli apparati USB (altrimenti ti riprendi l'infezione).
Per farlo in maniera semplice, scaricati il programma TweakUI da questa pagina e installalo.
Una volta installato, eseguilo e procedi con questi passaggi:
| Citazione: | Espandi la sezione My Computer
Espandi la sottosezione Autoplay
Spostati in Types
Togli il segno di spunta a Enable Autoplay for removable drives
Clicca su Apply
Chiudi TweakUI
PS: Con Espandi intendo: clicca sul simbolo [+] di fianco alle voci che ti ho indicato  |
Da questo momento tutti gli apparati USB smetteranno di avviarsi automaticamente.
Inserisci le tue chiavette e fai un check delle stesse con il tuo antivirus.
A questo punto, fai i passaggi indicati da ste_95.
Poi, quando sei sicuro che tutto è a posto, puoi riabilitare l'avvio automatico, rifacendo lo stesso percorso che ti ho indicato.
PS: se vuoi, puoi presentarti qui |
|
| Top |
|
|
JCaesar
Mortale devoto
Registrato: 17/11/07 13:23
Messaggi: 5
|
| Inviato: 19 Nov 2007 22:51 Oggetto: |
|
|
Grazie dei suggerimenti. Ho eseguito tutti i passaggi ma nel riavvio ho notato segnali di errore in fase di spegnimento che non ho memorizzato.
Ho setacciato tutto con l'antivirus e spywere di google e ora quando apro il drive USB K non vi sono problemi, almeno apparentemente
Ho comunque scoperto che i files AdobeR in K non esistono, sono verosimili rilevazioni spurie.
Grazie ancora |
|
| Top |
|
|
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 19 Nov 2007 23:31 Oggetto: |
|
|
hai risolto il problema quindi?
il file in K è stato cancellato da Avenger... |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 20 Nov 2007 09:38 Oggetto: |
|
|
Ciao JCaesar,
Giusto per un controllo in più, fai queste scansioni con GMER e posta i logs su FreeFileHosting come indicato qui.
Dopo collegati a Kaspersky on-line scanner e fai la scansione estesa, come indicato qui.
Salva il risultato della scansione in un file (in formato HTML), carica il file su Freefilehosting e posta qui il link che ti viene assegnato. |
|
| Top |
|
|
JCaesar
Mortale devoto
Registrato: 17/11/07 13:23
Messaggi: 5
|
| Inviato: 21 Nov 2007 01:56 Oggetto: RavMonLog |
|
|
Purtroppo è ricomparso. Ho seguito le nuove istruzioni e spero di avere fatto i passaggi giusti
Grazie
SSX.txt |
|
| Top |
|
|
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 21 Nov 2007 08:01 Oggetto: |
|
|
con avenger inserisci questo script:
Files to delete:
L:\AdobeR.exe
L:\MSVCR71.dll
K:\AdobeR.exe
K:\MSVCR71.dll |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 21 Nov 2007 10:08 Oggetto: |
|
|
| ma prima che lo fai, potresti fare il log Autostart di Gmer? |
|
| Top |
|
|
JCaesar
Mortale devoto
Registrato: 17/11/07 13:23
Messaggi: 5
|
|
| Top |
|
|
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 21 Nov 2007 22:49 Oggetto: |
|
|
lo script diventa quindi:
Files to delete:
L:\AdobeR.exe
L:\MSVCR71.dll
K:\AdobeR.exe
K:\MSVCR71.dll
E:\WINDOWS\AdobeR.exe
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|RavAV
ste non sò più come dirtelo: per fare certe operazioni, aspetta l'intervento di qualcuno un'po più esperto, ok? |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 21 Nov 2007 23:11 Oggetto: |
|
|
| editato il mess. precedente |
|
| Top |
|
|
JCaesar
Mortale devoto
Registrato: 17/11/07 13:23
Messaggi: 5
|
| Inviato: 23 Nov 2007 19:40 Oggetto: RavMonLog |
 |
|
Sembra che tutto funzioni. Ho fatto la scansione e ripetuto più volte la procedura.
Grazie per il supporto |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
