Benvenuto Ospite

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » controllo log

controllo log

Opzioni

Topic Precedente · Topic Sucessivo

maurosen

Inviato: Tuesday, August 22, 2006 9:22:56 PM

Rank: Member

Iscritto dal : 12/5/2004
Posts: 0

ciao ho seguito la procedura di steven ecco il log

Logfile of HijackThis v1.99.1
Scan saved at 21.14.25, on 22/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Logitech\Video\AlbumDB2.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\WINDOWS\TEMP\Rar$EX00.297\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Traduttore in Internet - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - C:\Programmi\TG 6.0\TGWeb.exe
O9 - Extra 'Tools' menuitem: Traduttore in Internet - {C873E82E-A38B-45AB-8C74-6F4947BE77B7} - C:\Programmi\TG 6.0\TGWeb.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

Torna in alto

Sponsor

Inviato: Tuesday, August 22, 2006 9:22:56 PM

Torna in alto

steven75

Inviato: Tuesday, August 22, 2006 9:43:21 PM

Rank: Member

Iscritto dal : 5/8/2006
Posts: 0

continuo a non capire perche aprite sempre nuovi topic invece di continuare sempre allo stesso posto...
be visto che lo sto facendo con tutti , devo farlo anche con te .... non sopporto proprio i doppi post , quindi aspetta che qualcun altro piu tollerante di me arrivi in tuo aiuto...

Torna in alto

maurosen

Inviato: Tuesday, August 22, 2006 9:48:30 PM

Rank: Member

Iscritto dal : 12/5/2004
Posts: 0

scusa steven ma pensavo che questo fosse un altro argomento se vuoi lo metto in quel topic gia aperto

<BLOCKQUOTE id=quote>quote:<hr height=1 noshade id=quote>
continuo a non capire perche aprite sempre nuovi topic invece di continuare sempre allo stesso posto...
be visto che lo sto facendo con tutti , devo farlo anche con te .... non sopporto proprio i doppi post , quindi aspetta che qualcun altro piu tollerante di me arrivi in tuo aiuto...
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote>

Torna in alto

maurosen

Inviato: Tuesday, August 22, 2006 9:49:09 PM

Rank: Member

Iscritto dal : 12/5/2004
Posts: 0

Torna in alto

steven75

Inviato: Wednesday, August 23, 2006 12:18:27 AM

Rank: Member

Iscritto dal : 5/8/2006
Posts: 0

Ok ,passiamoci sopra per questa volta <img src=icon_smile_wink.gif border=0 align=middle>

Allora nel post rimane solo questa voce :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
Per eliminarla , non basta fixarla con hijackthis ma bisonga intervenire direttamente nel registro , in questo modo:

Vai su start->>esegui->>digita regedit e dai l'ok

Controlla che tutte queste chiavi non contengano la voce: ,C:\WINDOWS\svchost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Se ci sono tasto destro e eliminale

Poi vai in quest'altra chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

trova nella finestra di destra Userinit ed elimina la voce: ,C:\WINDOWS\svchost.exe
(compresa di virgola)

ATTENZIONE a non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

Devi eliminare solo la voce infetta:
fai doppio clic sul nome della chiave:
Nella finestra che si apre evidenzia e cancella solo la voce ,C:\WINDOWS\svchost.exe
Conferma la modifica e chiudi il registro

Attenzione a quello che fai nel registro , potresti compromettere il funzionamento del tuo sistema .... al limite fai prima un backup , ma comunque se esegui la proceudra correttamente non rischi assolutamente niente

PS__Non hai alcun antivirus in background , come mai?

Torna in alto

maurosen

Inviato: Wednesday, August 23, 2006 12:03:04 PM

Rank: Member

Iscritto dal : 12/5/2004
Posts: 0

ciao steven come volevasi dimostrare il mio pc si riavvia sempre ,ma ho eliminato solamente una sola chiave di registro.
il mio pc adesso si accende e appena si apre la pagina del desktop si riavvia , adesso devo solamente formattare o posso ripristinare con il cd di xp ?aiuto grazie

Torna in alto

steven75

Inviato: Wednesday, August 23, 2006 12:08:02 PM

Rank: Member

Iscritto dal : 5/8/2006
Posts: 0

mauro ,quando esponi i problemi devi anche spiegarli .....
Questo succede da quando hai manomesso il registro ?
Quale chiave hai eliminato?
Hai fatto il backup di quest ultimo prima di cancellare la chiave?

Torna in alto

maurosen

Inviato: Wednesday, August 23, 2006 12:42:06 PM

Rank: Member

Iscritto dal : 12/5/2004
Posts: 0

il backup nn l'ho fatto,e nn mi ricordo quale kiave ho cancellato...quindi sono fritto!!!!!

Torna in alto

steven75

Inviato: Wednesday, August 23, 2006 1:14:06 PM

Rank: Member

Iscritto dal : 5/8/2006
Posts: 0

be allora sei fritto si .... provsa a fare un ripristino da console come spiegato nel capitolo 4 in questa pagina-> http://steven.altervista.org/files/console.html

Torna in alto

Utenti presenti in questo topic

Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » controllo log

Salta al Forum

Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Invia topic via Email

RSS Feed

Watch this topic

Stampa topic

Normale

Threaded