Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » scansione hiackthis voci sospette f2 regsistem ini. etc

scansione hiackthis voci sospette f2 regsistem ini. etc Opzioni
Topic Precedente · Topic Sucessivo
primula57
Inviato: Monday, February 04, 2008 9:45:36 AM

Rank: Member

Iscritto dal : 10/28/2004
Posts: 0
salve a tutti ho fatto scansione con hijckthis ed ho trovato voci che non mi convicono comeF2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,autorun.bat
O16 - DPF: Xß -
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
02 bho no file ect ect
ho avviato in modalità provvisoria tutte le scansioni possibili spyboot, ad-aware antivirus, virit. tutte con esito negativo, però nelle notizie di kaspeski mi ritrovo rilevato trojan .win32dialer.on ma non l'ho elimina.

vi invio log sapete aiutarmi?
grazie in anticipo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.21.06, on 04/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Genius\ioCentre\gTaskBar.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Genius\ioCentre\gMouseTask.exe
C:\Genius\ioCentre\gKbdTask.exe
C:\Genius\ioCentre\gAutoPan.exe
C:\Genius\ioCentre\gAutoScroll.exe
C:\Genius\ioCentre\gZoom.exe
C:\Genius\ioCentre\gMGlass.exe
C:\Genius\ioCentre\gIMMgm.exe
C:\Genius\ioCentre\gDeskMgm.exe
C:\Genius\ioCentre\gTaskSwitch.exe
C:\Genius\ioCentre\gKbStatus.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\www\IMPOST~1\Temp\Rar$EX00.611\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,autorun.bat
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ioCentre] C:\Genius\ioCentre\gTaskBar.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Anti-virus web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: Xß -
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC97B76C-5490-4B7C-A237-18667920D32F}: NameServer = 151.99.125.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6726 bytes
Torna in alto
 
Sponsor
Inviato: Monday, February 04, 2008 9:45:36 AM

 
Torna in alto
 
a.roselli
Inviato: Tuesday, February 05, 2008 12:04:04 AM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,054
Ciao,
esegui queste operazioni

ATTENZIONE prima di procedere con le riparazioni, fate la copia di riserva dei vostri dati,
leggete questo articolo http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80118
a volte eliminando un virus il sistema potrebbe non riavviarsi.
____________________________

Disattiva il ripristino di configurazione, leggi qui come fare
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Riavvia in modalità provvisoria, leggi qui come fare
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122

apri HIJAC THIS ed elimina come indicato in questo articolo
http://guide.aiutamici.com/software?ID=11175
le righe che seguono.

==================================
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
-
O16 - DPF: Xß -
==================================


Elimina i file inutili del sistema utilizzando questo programma
http://www.aiutamici.com/software?ID=11223

Utilizza questo programma per eliminare eventuali spyware
http://www.aiutamici.com/software?ID=10831

sempre in modalità provvisoria fai una scansione Antivirus,
se non hai un antivirus, utilizza questo programma
http://www.aiutamici.com/software?ID=11485

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui http://guide.aiutamici.com/guide?C1=7&C2=16&ID=80161
in caso di problemi lascialo disattivato fino alla soluzione dei problemi

Fai una scansione antivirus on line da questo indirizzo
http://www.kaspersky.com/virusscanner
se la scansione on line rileva dei virus significa che il tuo antivirus è stato infettato o non è in grado di risolvere il problema, ti consiglio di formattare il disco fisso e reinstallare tutto, altrimenti prosegui

Utilizza questo programma
http://www.aiutamici.com/software?ID=11041

Installa questo programma
http://www.aiutamici.com/software?ID=11472
alfonso_aiutamici@hotmail.it
Torna in alto
 
primula57
Inviato: Wednesday, February 06, 2008 11:03:40 AM

Rank: Member

Iscritto dal : 10/28/2004
Posts: 0
a.roselli ha scritto:
Ciao,
esegui queste operazioni





Ciao Alfonso, ho fatto quasi tutto quello che mi hai detto. ho fixato le due voci con hijack, scansione spyboot a rilevato un drive cleaner 2006 che ho eliminato.

Non ho usato ccleaner prima di farlo desideravo da te chiarimenti, poi nella scansione antivirus mi notifica che vi sono delle passwords incuriosita sono andata a controllare i file e sono i seguenti
in C/document e setting dati applicazioni spyboot search e destroy / recovery drive cleanear zip. sbrecovery . reg, poi lo stesso con finale sbrecovery.ini
stesso vale a seguire sempre spyboot con drive cleaner 1 zip. sbrecovery reg ed ini,
altra password spyboot warez.PP.zip /sbrecovery reg ed ini.
Ma io non ho messo nessuna password e non mi ricordo che spyboot abbia passwords

Se fosse possibile avrei un paio di domande da fare
1°secondo te quindi è normale che nel log di hijack vi sia un f2 reg:system.ini, ect, dico questo perchè non mi ricordo di avere avuto nei log di hijack questa voce, stesso dicasi per 020 appInit Dlls C;program kasper.
potresti spiegarmi a cosa solo legate queste due voci?


2° domanda ho installato ccleaner da un bel pò, ma ho sempre avuto paura a dare ok per cancellare i file. Ho paura di cancellare qualche file essenziale. Anche se nella descrizione che tu dai nel programma dovrebbero essere tutti quelli inutili.Posso calcellare con tranquillità ??

Grazie un saluto
Emilia
Torna in alto
 
primula57
Inviato: Friday, February 08, 2008 10:54:47 AM

Rank: Member

Iscritto dal : 10/28/2004
Posts: 0
Spero possiate rispondere alle mie domande
un ciao ed ancora grazie
Emilia
Torna in alto
 
pidue
Inviato: Saturday, February 09, 2008 10:37:29 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, puoi tranquillamente cancellare tutto quello che ti trova CCleaner. Lascia le impostazioni di default e non andare a ravanare sul registro.
Torna in alto
 
primula57
Inviato: Thursday, February 14, 2008 10:50:11 AM

Rank: Member

Iscritto dal : 10/28/2004
Posts: 0
pidue ha scritto:
Ciao, puoi tranquillamente cancellare tutto quello che ti trova CCleaner. Lascia le impostazioni di default e non andare a ravanare sul registro.




Ciao pidue,
mi sono decisa e finalmente ho dato l'ok, mi ha tolto un bel pò di roba, e tutto sembra a posto.



Spero che potete darmi un'altra risposta alla altra domanda.
Da un pò quando faccio la scansione antivirus con kaspersky, mi viene dice che vi sono delle passwords su spyboot serch e destroy:(che francamente sino a poco tempo fa non avevo perchè quando faccio la scansione antivirus sto li a controllare.
Allora per prova ho disistallato spyboot, e la relativa cartella e setup. rifaccio la scansione e mi ritrovo la stessa situazione che ti invio:

14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\DriveCleaner.zip archivio ZIP
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\DriveCleaner.zip/sbRecovery.reg password di protezione
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\DriveCleaner.zip/sbRecovery.ini password di protezione
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\DriveCleaner1.zip archivio ZIP
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\DriveCleaner1.zip/sbRecovery.reg password di protezione
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\DriveCleaner1.zip/sbRecovery.ini password di protezione
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\Overview.ini ok iSwift
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WarezPP.zip archivio ZIP
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WarezPP.zip/sbRecovery.reg password di protezione
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WarezPP.zip/sbRecovery.ini password di protezione
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterAntiVirusOverride.zip archivio ZIP
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterAntiVirusOverride.zip/sbRecovery.reg password di protezione
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterAntiVirusOverride.zip/sbRecovery.ini password di protezione
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterUpdateDisableNotify.zip archivio ZIP
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterUpdateDisableNotify.zip/sbRecovery.reg password di protezione
14/02/2008 10.09.09 File: C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterUpdateDisableNotify.zip/sbRecovery.ini password di protezione

come vedi mi da sempre warez.pp drivecleaner, drivecleaner1 ma questi non sono spyware?

Seguendo il percorso normale non li ho trovati andando con la visualizzazione dei file nascosti li ho trovati sono file zippati nella cartella di spyboot. Ma io non l'avevo eliminato disistallando il programma e relativo setup?

CHE DEVO FARE?
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » scansione hiackthis voci sospette f2 regsistem ini. etc


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.