Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » analisi log

analisi log Opzioni
Topic Precedente · Topic Sucessivo
MRPauLBaD
Inviato: Tuesday, September 06, 2005 8:47:43 PM
Rank: Member

Iscritto dal : 3/6/2005
Posts: 0
Quando accendo il pc mi appare una la finestra di connessione, se sto disconnesso appare ogni 5 mnuti, dovrebbe essere uno spyware.

Logfile of HijackThis v1.99.1
Scan saved at 20.39.30, on 06/09/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
D:\cFosSpeed\spd.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINNT\system32\carpserv.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\DAP\DAP.EXE
D:\cFosSpeed\cFosSpeed.exe
C:\Programmi\ATITool\ATITool.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopOE.exe
D:\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [cFosSpeed] D:\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [ATITool] "C:\Programmi\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Startup: Ad-aware.lnk = D:\Ad-Aware\Ad-Aware SE Personal\Ad-Aware.exe
O4 - Startup: Diskeeper 9 Professional Edition Registration.lnk = C:\Programmi\Executive Software\Diskeeper\ESIRegister.exe
O4 - Startup: Spybot.lnk = D:\spybot search detroy\Spybot - Search & Destroy\SpybotSD.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.pcw.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F877F4E-1138-4F3A-AB54-40978C31CE57}: NameServer = 213.205.32.70 213.205.36.70
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Torna in alto
 
Sponsor
Inviato: Tuesday, September 06, 2005 8:47:43 PM

 
Torna in alto
 
alfonso
Inviato: Wednesday, September 07, 2005 9:11:37 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao ,
esegui queste operazioni

Disinstalla il programma Downoload accelerator (DAP) contiene spyware, al suo posto puoi usare Download Express
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=930

Riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
-
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
-
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
-
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
-
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\cFosSpeed\spd.exe" -service (file missing)
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
DAP.EXE
dapextie.htm
dapextie2.htm
==================================

ELIMINA LA CARTELLA IN ROSSO
C:\PROGRA~1\<font color=red><b>DAP</font id=red></b>


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA
poi clicca il pulsante PAGINA PREDEFINITA e su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus.
Collaboratore Aiutamici
Torna in alto
 
MRPauLBaD
Inviato: Wednesday, September 07, 2005 6:29:04 PM
Rank: Member

Iscritto dal : 3/6/2005
Posts: 0
Ho fatto tutto ma adesso quando clicco su un link per scaricare qualcosa mi appare ancora la schermata di DAP e mi dice appunto che DAP.exe non esiste più.

Non posso più scaricare niente, le due pagine che mi hai detto di eliminare nn esisteno!!!
Torna in alto
 
alfonso
Inviato: Wednesday, September 07, 2005 7:22:40 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Hai disinstallato Download Accellerator prima di utilizzare Hijack?
Al limite reinstallalo e poi rimuovilo nuovamente

Hai installato Download Express?
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=930

Usa questo programma per ripulire il file di registro
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=931

Collaboratore Aiutamici
Torna in alto
 
MRPauLBaD
Inviato: Wednesday, September 07, 2005 10:10:46 PM
Rank: Member

Iscritto dal : 3/6/2005
Posts: 0
Proverò a reistallarlo e disistallarlo e togliere la spunta su Usa DAP per Firefox.

Comunque ecco il nuovo log, adesso dovrebbe essere pulito...

Logfile of HijackThis v1.99.1
Scan saved at 22.08.43, on 07/09/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
D:\cFosSpeed\spd.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINNT\system32\carpserv.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
D:\cFosSpeed\cFosSpeed.exe
C:\Programmi\ATITool\ATITool.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
D:\eMule - MorphXT\emule\emule.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
D:\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programmi\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [cFosSpeed] D:\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [ATITool] "C:\Programmi\ATITool\ATITool.exe" -s
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Startup: Diskeeper 9 Professional Edition Registration.lnk = C:\Programmi\Executive Software\Diskeeper\ESIRegister.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.pcw.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F877F4E-1138-4F3A-AB54-40978C31CE57}: NameServer = 213.205.32.70 213.205.36.70
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Torna in alto
 
alfonso
Inviato: Thursday, September 08, 2005 9:28:07 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Il log é pulito, compare ancora quella finestra di connessione?
Collaboratore Aiutamici
Torna in alto
 
MRPauLBaD
Inviato: Thursday, September 08, 2005 4:35:45 PM
Rank: Member

Iscritto dal : 3/6/2005
Posts: 0
Vedi, la finestra che mi usciva sempre quando prima di far partire il download era questa: http://img5.imageshack.us/img5/5721/dap4pq.jpg
Naturalmente prima mi apriva anche il programma (dopo bisognava premere Avvia download)ma adesso mi appare ancora ma mi da errore. non so proprio più come toglierla...magari dovrei reistallare il programma e togliere la spunta di utilizzo per fireofx, ma spero che funzioni...
Torna in alto
 
alfonso
Inviato: Thursday, September 08, 2005 7:33:03 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Rimuovi Firefox, cancella la cartella dove é installata e poi reinstallala

ma mi riferivo di quella finestra del problema iniziale, che si aprima chiedendo la connessione a internet.

Fai una scansione anche con questo programma, appena recensito
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1286
Collaboratore Aiutamici
Torna in alto
 
MRPauLBaD
Inviato: Thursday, September 08, 2005 10:14:19 PM
Rank: Member

Iscritto dal : 3/6/2005
Posts: 0
Allora ho disistallato e reistallato Firefox e ora nn appare più, però nn riesco a far partire i download con download express. Ho metto l'estensione download with, si apre il programma ma il download nn parte, de è inutile!!ho messo getright e partono anzhe se devo testarlo completamwente....

ma c'è un modo per far partire un download con download express usanto direfox?nn si può neanche inserire manualmente un url per il download....
Torna in alto
 
alfonso
Inviato: Friday, September 09, 2005 9:14:43 AM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Se usi Firefox non ti serve un altro download manager, lo stesso firefox ne possiede uno, altrimenti devi disabilitarlo.

Download Express con Internet Explorer funziona senza alcun problema.
Collaboratore Aiutamici
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » analisi log


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.