Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

nuovo log dopo prima eliminazione.. Opzioni
brucio
Inviato: Monday, February 21, 2005 1:32:23 PM
Rank: Member

Iscritto dal : 2/18/2005
Posts: 5
ciao e grz innanzitutto....nel frattempo mi si era aggiunta anche una toolbar che con i tuoi accorgimenti è andata via...e ora sembra a posto.... l unica cosa che un file da togliere manualmente non me lo fa togliere....precisamente fltmgr.dll...anoca problemi???
ti mando cmq il nuvo log...


Logfile of HijackThis v1.99.0
Scan saved at 13.28.52, on 21/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
C:\Programmi\Network Associates\VirusScan\Mcshield.exe
C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\TMCEPCW2\Gcdrom.exe
C:\Programmi\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programmi\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FBA296-9FF1-42CA-B6A9-F9C46C035685}: NameServer = 151.99.125.2,151.99.125.3
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programmi\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Servizio di framework di McAfee - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server - RealVNC Ltd. - C:\Programmi\RealVNC\WinVNC\WinVNC.exe



Sponsor
Inviato: Monday, February 21, 2005 1:32:23 PM

 
alfonso
Inviato: Monday, February 21, 2005 3:18:51 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
I file rimuovili in modalità provvisoria, al limite cercandoli nelle cartelle dove sono installate, se non si rimuovono neanche dalla modalità provvisoria, allora si tratta di un virus e in questo caso non resta altro che formattare il disco fisso.

esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
-
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
-
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
Gcdrom.exe
sfcman32.dll
sp.html
fltmgr.dll
==================================

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.

Collaboratore Aiutamici
brucio
Inviato: Monday, February 21, 2005 3:25:45 PM
Rank: Member

Iscritto dal : 2/18/2005
Posts: 5
grz alfonso per l ennesima risposta...ma se anche dopo quello che mi hai detto...non riesco e dici che ho un virus...da quali avvisaglie me ne accorgerei???dato che ora internet va tutto regolare...non ho piu problemi...non vorrei formattare dato che è un pc di lavoro...
brucio
Inviato: Monday, February 21, 2005 3:25:57 PM
Rank: Member

Iscritto dal : 2/18/2005
Posts: 5
grz alfonso per l ennesima risposta...ma se anche dopo quello che mi hai detto...non riesco e dici che ho un virus...da quali avvisaglie me ne accorgerei???dato che ora internet va tutto regolare...non ho piu problemi...non vorrei formattare dato che è un pc di lavoro...
brucio
Inviato: Monday, February 21, 2005 3:26:04 PM
Rank: Member

Iscritto dal : 2/18/2005
Posts: 5
grz alfonso per l ennesima risposta...ma se anche dopo quello che mi hai detto...non riesco e dici che ho un virus...da quali avvisaglie me ne accorgerei???dato che ora internet va tutto regolare...non ho piu problemi...non vorrei formattare dato che è un pc di lavoro...
brucio
Inviato: Monday, February 21, 2005 3:26:18 PM
Rank: Member

Iscritto dal : 2/18/2005
Posts: 5
grz alfonso per l ennesima risposta...ma se anche dopo quello che mi hai detto...non riesco e dici che ho un virus...da quali avvisaglie me ne accorgerei???dato che ora internet va tutto regolare...non ho piu problemi...non vorrei formattare dato che è un pc di lavoro...
brucio
Inviato: Monday, February 21, 2005 3:27:21 PM
Rank: Member

Iscritto dal : 2/18/2005
Posts: 5
e questo virus cosa farebbe???da cosa me accorgerei??
dato che un a postazione di lavoro...non vorrei formattare...altre soluzioni??
alfonso
Inviato: Monday, February 21, 2005 4:49:42 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Se il file da eliminare e presente e non riesci a rimuoverlo dalla modalità provvisoria, significa che é bloccato da un virus e se e infetto anche la modalità provvisoria non resta altro da fare che la formattazione.

Un PC da lavoro mi sembra strano che venga infettato, non hai installato Antivirus e Firewall appena dopo l'installazione di windows e prima di collegarti a internet?

Di tutti i problemi che tento di risolvere qui nel forum, personalmente non ne ho mai avuti e mi meraviglio che sono cosi tanti, la motivazione e che, o installano Antivirus e Firewall a sistema già infetto o lo disattivano per far andare il sistema più veloce, errore che porta a infettare i sistemi.

Se il file da eliminare non viene trovato e un altro discorso, significa che non e stato ricreato dal programma infetto.

Per sicurezza invia nuovamente il log.

Collaboratore Aiutamici
brucio
Inviato: Monday, February 21, 2005 5:35:41 PM
Rank: Member

Iscritto dal : 2/18/2005
Posts: 5
hai perfettamente ragione....ma è un pc che ho ereditato...e l ho trovato cosi...con internet e virus scan enterprise 7.1.0.....non molto aggiornato.....pero con questo sono riuscito a trovare un cavallo di troia exploit-mhtredir.gen dicendomi che il suo stato è file eliminato...
cmq il resto della procedura la faro domani e poi ripostero il log...e vedremo cosa sara cambiato dopo l intervento in modalita provvisoria...
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.