Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

hijack this si chiude Opzioni
floyddddd
Inviato: Friday, April 06, 2007 6:37:23 AM
Rank: Member

Iscritto dal : 4/5/2007
Posts: 0
salve, vi scrivo perche ho un grosso problema con il pc, spruttando il telefonino x collegarmi a internet mi sono accorto che mentre ero connesso dal telefonino partivano delle strane telefonate a numeri 899, dalla scansione con spybot e dell' antivirus il pc risulta pulito, ma quando vado vado in siti che permettono il download di programmi anti dialer allinprovviso mi si chiude la pagina dell'exsplorer, ho preso hijack this dal pc di un mio amico ma quando provo a lanciarlo lui mi si chiude da solo, giocando con questa frazzione di secondo prima che il programma si chiudesse sono riuscito ad avere il log (ma non so se e completo) ma il problema persiste anche con il log (lo apro e lui si chiude da solo) quindi dovrei mandarvelo da un'alttro pc, in attesa che possa mandarvi il log sapreste indicarmi come posso mantenere hijackthis attivo? (ho provato anche in modalita provvisoria)
Sponsor
Inviato: Friday, April 06, 2007 6:37:23 AM

 
pidue
Inviato: Friday, April 06, 2007 9:51:02 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
In altra parte del forum sono date le informazioni per sbloccare HijackThis, ma i link non funzionano. La causa è comunque di qualche virus.
Fai così:

Apri il task manager (Ctrl+Alt+Canc), termina <b>uno alla volta</b> i processi col tuo nome utente. Cioè termina un processo, lancia HijackThis, se non funziona prova con un altro e così via. <b>Non </b> terminare i processi accompagnati dalla voce "System".
Per fare più veloce, individua i processi con nomi strani.
Se riesci a lanciare HijackThis, avrai scoperto anche il processo che lo bloccava. In questo caso prendine nota.
Fammi sapere, ciao.




floyddddd
Inviato: Saturday, April 07, 2007 7:39:31 AM
Rank: Member

Iscritto dal : 4/5/2007
Posts: 0
ho chiuso tutti i processi col mio nome tranne:
wuauclt.exe (lo chiudo e poi si riapre)
eax.exe
taskmgr.exe (chiude il task)
rcman.exe
ctltray.exe
che non mi fa chiudere ma il problema con hijack this rimane.
floyddddd
Inviato: Saturday, April 07, 2007 11:02:37 PM
Rank: Member

Iscritto dal : 4/5/2007
Posts: 0
questo e il log che ho ricavato con hijack this:
Logfile of HijackThis v1.99.1
Scan saved at 6.25.07, on 02/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Creative\ShareDLL\CtNotify.exe
C:\Programmi\TRIXX\TRIXX.exe
C:\Programmi\Creative\ShareDLL\MediaDet.Exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\TechniSat DVB\bin\Server4PC.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\VRC.exe
C:\Programmi\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe
C:\Documents and Settings\Andrea\Desktop\hijack this\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arianna.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmi\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [TRIXX] "C:\Programmi\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [svcqgzlq] "c:\windows\system32\svcqgzlq.exe"
O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [TaskTray] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Programmi\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programmi\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = ?
O4 - Global Startup: Server4PC.lnk = C:\Programmi\TechniSat DVB\bin\Server4PC.exe
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE



a.roselli
Inviato: Sunday, April 08, 2007 10:44:55 AM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,053
Ciao ,
esegui queste operazioni

Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

Riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono.

==================================
O4 - HKLM\..\Run: [svcqgzlq] "c:\windows\system32\svcqgzlq.exe"
==================================


Con la funzione Cerca di Windows, cerca ed elimina i seguenti file
==================================
svcqgzlq.exe
==================================


Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA
poi clicca il pulsante PAGINA PREDEFINITA e su OK

al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui alla voce 8
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=170&SH=N

Fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym
se la scansione rileva virus, ti consiglio di formattare il disco fisso e reinstallare tutto

Nel sistema non é presente un Firewall o è disattivato, installa questo o il tuo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=56
e disattiva l'inutile firewall di XP, leggi qui
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=160&SH=N

Utilizza questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1041

alfonso_aiutamici@hotmail.it

floyddddd
Inviato: Sunday, April 08, 2007 5:05:34 PM
Rank: Member

Iscritto dal : 4/5/2007
Posts: 0
il problema e che quando apro hijack this lui si richiude da solo ho provato anche a chiudere le aplicazioni col mio nome con il task(vedi sopra)
a.roselli
Inviato: Sunday, April 08, 2007 6:40:56 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,053
Allora lascia perdere Hijack, fai tutto il resto ed elimina il file indicato in modalità provvisoria.

alfonso_aiutamici@hotmail.it

floyddddd
Inviato: Monday, April 09, 2007 8:10:43 AM
Rank: Member

Iscritto dal : 4/5/2007
Posts: 0
fatto ma il problema continua a verificarsi, ho anche provato con virit explorer ma il pc risulta pulito, cosa posso fare non vorrei proprio formattare.
a.roselli
Inviato: Monday, April 09, 2007 11:51:27 AM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,053
Purtroppo se il sistema è infetto la formattazione sarebbe l'unica soluzione

per la connessione ai numeri 899, installa questo programma, se il computer tenta di connettersi a numeri di telefono diversi da quelli da te inseriti ti avvisa
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=916

Prova a fare la scansione antivirus in modalità provvisoria con questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1485

alfonso_aiutamici@hotmail.it

floyddddd
Inviato: Monday, April 09, 2007 9:18:56 PM
Rank: Member

Iscritto dal : 4/5/2007
Posts: 0
niente da fare il pc risulta pulito anche con clamwin, l'antidialer non me lo fa installare, quando lancio il setap mi si chiude tutto,cmq ho notato una cosa abbastanza strana il mio pc e stato controllato da antivirus (avg,ad-aware,spybot,clamwin, quello on line consigliato da voi e virit lite) e risulta pulito ma all'improvviso l'ultimo citato (virit lite monitor) mi rileva dei troyan come se sbucherebbero all'improvviso dal mio sistema .
a.roselli
Inviato: Monday, April 09, 2007 10:58:46 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,053
Ti conviene formattare e reinstallare tutto, se il sistema presenta problemi potrebbe trattarsi di un virus che riesce a nascondersi alle scansioni.

alfonso_aiutamici@hotmail.it

Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.