Olimpo Informatico

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

Salve a tutti!!

notate qualche roba strana in questo log? penso che il mio computer mi stia pigliando per il ... naso.

grazie!

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14.25.18, on 02/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\Pannello di controllo ATI\atiptaxx.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Vittorio\Desktop\jack\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programmi\Power Translator\Applications\LEC IE Translation Extension.dll
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Programmi\ScanSoft\OmniPage15.0\PDFConverter3\\RegistryController.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Programmi\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://everlost10.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://everlost10.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEB03E06-2674-4880-A5CF-D8C240C882A2}: NameServer = 85.37.17.52 85.38.28.92
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programmi\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: LexBce Server (LexBceS) - Language Engineering Corporation, LLC - (no file)
O23 - Service: CYGWIN sshd (sshd) - Unknown owner - C:\cygwin\bin\cygrunsrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Avira GmbH - (no file)

--
End of file - 5998 bytes

ste_95 · Dio maturo Registrato: 03/08/07 14:41 Messaggi: 1920 Residenza: Italy

Il log è pulito...

per assicurarti l'esenzione da malware esegui per piacere questi passaggi:

Segui alla lettera questo post per postare i logs di GMER, Attenzione, è importante farli entrambi!

Smjert

uhm sembra gromozon/link optimizer..

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

http://www.freefilehosting.net/download/NDUwMjg=

http://www.freefilehosting.net/download/NDUwMzA=

ecco i due link di gmer!

un grazie a chiunque mi farà l'analisi!

Everlost

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Qualcosa si vede dai log però voglio esserne certo.
Cortesemente, guarda questa discussione relativa a Combofix. Scaricalo e fai la scansione del PC e posta quì il risultato.

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

http://www.freefilehosting.net/download/NDU0NTA=

http://www.freefilehosting.net/download/NDU0NTE=

ecco i due log!

devo iniziare a preoccuparmi? Shocked

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Qualcosa è stato eliminato da Combofix.
Dobbiamo fare qualche altro controllo. Guarda questa discussione riguardante Systemscan di SuspectFile, scaricalo e fai la scansione postando il risultato come indicato. Attenzione a esguire per bene tutti i passaggi.

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

Sante62 · Dio maturo Registrato: 27/06/07 17:55 Messaggi: 3477 Residenza: Floridia

Una volta che esegui il programma di restore, devi riavviare il PC. Poi riprova a far partire Systemscan. Il programma di restore lo devi usare solo se Systemscan ti dice che non hai i privilegi di amministratore.

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

ho riavviato il pc dopo il restore, ma quel messaggio che mi dà significa che non funziona giusto?

dopo il riavvio ho fatto partire sys## e mi dà il messaggio.

insomma la procedura l'ho effettuata tutta correttamente, ma questo programma non vuole partire! è indispensabile?

bdoriano

Diciamo che SystemScan non è indispensabile, ma facilita il lavoro di identificazione del malware.
Non è comunque corretto che il tuo account non abbia i privilegi di debug.

SeDebugRestore non ha funzionato? Rolling Eyes

Che versione di XP hai? Home o Professional?

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

ok questo è il report di suspectfile!

http://www.freefilehosting.net/download/NDYzOTk=

abbiamo qualche info in più?

bdoriano

scarica VirIt, installalo, aggiornalo (importante) e fai lo scan completo.

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

si ho fatto tutto, non ha trovato niente e ci è stato più di 1 ora Sad

il problema con firefox è rimasto

bdoriano

Ok.

Scarica avenger e scompattalo in una sua cartella non temporanea e non sul desktop

Avvia AVENGER
Clicca su input script manually
Clicca sulla lente d'ingrandimento
Inserisci queste righe:

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

ecco il log di hjt

speriam sia la volta buona...

http://www.freefilehosting.net/download/NDgwMDM=

bdoriano

Disabilita il ripristino di sistema e avvia il pc in modalità provvisoria
esegui hijackthis
clicca su do a system scan only
metti il segno di spunta a queste voci:

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

sono entrato in kodalità provvisoria e ho fatto quello che hai detto, ma quando sono tornato in modalità normale quelle stringhe sono riapparse magicamente...

bdoriano

Dunque, quelle tre voci mi suonano strane perché non "corrispondono" a nulla che io conosca. Think

Everlost · Eroe in grazia degli dei Registrato: 27/04/07 00:30 Messaggi: 112

un paio d'anni fa su questa macchina c'era una stampante lexmark, ma ora non più.

PineConeSearch non so neanche che cosa sia e si, alcohol120% è installato sul mio pc.