Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Comportamento strano

Comportamento strano Opzioni
Topic Precedente · Topic Sucessivo
peppe82
Inviato: Thursday, July 05, 2007 5:33:33 PM
Rank: Member

Iscritto dal : 7/5/2007
Posts: 0
Salve Ragazzi
Accade una cosa che non era mai accaduta
Ovvero
Quando attivo la visualizzazione dei file nascosti di sistema,si aggiornano le pagine di internet explorer(naturalmente quando sono connesso)
Non vorrei che vi fosse qualcosa di sgradevole..
Allego un log di jiacht anche se non vedo nulla di che..
Grazie
Peppe

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.32.20, on 05/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Eurobarre\eb.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\gg\IMPOST~1\Temp\Directory temporanea 2 per HiJackThis_v2.zip\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Conexant\Conexant USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1174423060531
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6102 bytes
Torna in alto
 
Sponsor
Inviato: Thursday, July 05, 2007 5:33:33 PM

 
Torna in alto
 
pidue
Inviato: Thursday, July 05, 2007 5:49:55 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Quello che dici non è chiaro e comunque il log non evidenzia presenze di spyware. Cosa significa "si aggiornano le pagine di internet?"
Torna in alto
 
peppe82
Inviato: Thursday, July 05, 2007 5:59:55 PM
Rank: Member

Iscritto dal : 7/5/2007
Posts: 0
Grazie per la risposta

Dunque,si verifica un aggiornamento delle pagine internet,come se avessi premuto aggiorna od f5
proprio nell'istante in cui attivo o disattivo la visualizzazione dei file nsacosti di sistema

allego uno screenshot

<img src="http://img525.imageshack.us/img525/4793/immagineim4.jpg" border=0>
Shot at 2007-07-05

Edited by - peppe82 on 07/05/2007 18:05:06
Torna in alto
 
pidue
Inviato: Thursday, July 05, 2007 6:31:00 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, non penso che sia un problema di virus. SE lo fai senza essere connesso, il problema si ripresenta?
Torna in alto
 
peppe82
Inviato: Friday, July 06, 2007 9:07:37 AM
Rank: Member

Iscritto dal : 7/5/2007
Posts: 0
il problema naturalmente non si presenta se non sono connesso.
Ma da cosa può dipendere?
Torna in alto
 
pidue
Inviato: Friday, July 06, 2007 10:02:32 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Non saprei.. prova a fare un Ripristino Configurazione di Sistema a una data antecedente il manifestarsi del problema.
Torna in alto
 
a.roselli
Inviato: Friday, July 06, 2007 1:31:20 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,045
Ciao,
esegui queste operazioni

ATTENZIONE prima di procedere con le riparazioni, fate la copia di riserva dei vostri dati,
leggete questo articolo http://www.aiutamici.com/hardware/view.asp?codcat=8
a volte eliminando un virus il sistema potrebbe non riavviarsi.
____________________________

Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/hardware/view.asp?codcat=28

Riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/hardware/view.asp?codcat=29

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono.

==================================
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
==================================


Elimina i file inutili del sistema utilizzando questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1223

Utilizza questi due programmi per eliminare eventuali spyware
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=878
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=831

sempre in modalità provvisoria fai una scansione Antivirus,
se non hai un antivirus, utilizza questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1485

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui alla voce 8
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=170&SH=N
in caso di problemi lascialo disattivato fino alla soluzione dei problemi

Fai un controllo con questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1486

Fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym
se la scansione on line rileva dei virus significa che il tuo antivirus è stato infettato o non è in grado di risolvere il problema, ti consiglio di formattare il disco fisso e reinstallare tutto, altrimenti prosegui

Utilizza questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1041

Se utilizzi XP ti consiglio di installare questo programma
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1472
alfonso_aiutamici@hotmail.it
Torna in alto
 
a.roselli
Inviato: Friday, July 06, 2007 1:33:56 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,045
Altra soluzione, visto che il messaggio di errore è diverso ma comunque tratta gli stessi file che ti ho indicato di rimuovere dalla risposta precedente, se non risolvi il problema e il sisterma non è infetto da virus, segui le istruzioni riportate sul sito microsoft
http://support.microsoft.com/kb/914222/it
alfonso_aiutamici@hotmail.it
Torna in alto
 
pidue
Inviato: Friday, July 06, 2007 2:33:56 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>

==================================
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
==================================
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Quelle voci sono leggittime. Non lo dico solo io.

http://www.pc-facile.com/forum/viewtopic.php?p=369274

http://forum.wininizio.it/index.php?s=a4c9900a30ad41fe7bd872cd7d263d4a&showtopic=70634&pid=364122&st=0&#entry364122



Edited by - pidue on 07/06/2007 14:41:48
Torna in alto
 
peppe82
Inviato: Friday, July 06, 2007 4:04:14 PM
Rank: Member

Iscritto dal : 7/5/2007
Posts: 0
Quindi cosa faccio?
anche io avevo notato quelle voci,ma da qualche ricerca su internet ho notato che non erano infette.

Cmq a parte quel problema,non rilevo nulla di anomalo nel pc.
sto facendo una scansione con Symantec,(che mi hai consigliato)vediamo che esce fuori.

Grazie per gli interventi.
Torna in alto
 
peppe82
Inviato: Friday, July 06, 2007 4:05:28 PM
Rank: Member

Iscritto dal : 7/5/2007
Posts: 0
Quindi cosa faccio?
anche io avevo notato quelle voci,ma da qualche ricerca su internet ho notato che non erano infette.

Cmq a parte quel problema,non rilevo nulla di anomalo nel pc.
sto facendo una scansione con Symantec,(che mi hai consigliato)vediamo che esce fuori.

Grazie per gli interventi.
Torna in alto
 
pidue
Inviato: Friday, July 06, 2007 10:20:32 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Te l'ho detto , quelle voci <b>non</b> sono la causa del tuo problema. In quanto a rimuoverle o meno, non voglio mettermi in competizione con Alfonso. Se sono in grado di interpretare un log, è anche merito suo. Ma questa volta volta, forse, ha risposto in fretta. <img src=icon_smile.gif border=0 align=middle>
Torna in alto
 
peppe82
Inviato: Tuesday, July 10, 2007 12:53:25 PM
Rank: Member

Iscritto dal : 7/5/2007
Posts: 0
ciao ragazzi,avira mi evidenzia la presenza di questo file


<i>C:\WINDOWS\svchost.dll</i>

l'ho mandato a suspectfile ed il risultato è questo

AhnLab-V3 no virus found
AntiVir TR/Click.Small.KJ.1666
Authentium no virus found
Avast no virus found
AVG Clicker.GNH
BitDefender no virus found
CAT-QuickHeal no virus found
ClamAV devel- no virus found
DrWeb no virus found
eSafe no virus found
eTrust-Vet Win32/Doklin!generic
Ewido no virus found
FileAdvisor no virus found
Fortinet no virus found
F-Prot no virus found
Ikarus Trojan-Clicker.Win32.Small.KJ
Kaspersky Trojan-Clicker.Win32.Small.kj
McAfee no virus found
Microsoft no virus found
NOD32v2 no virus found
Norman W32/Smalltroj.BIEH
Panda Suspicious file
Sophos no virus found
Sunbelt no virus found
Symantec no virus found
TheHacker Trojan/Clicker.Small.kj
VBA32 no virus found
VirusBuster no virus found
Webwasher- Gateway Trojan.Click.Small.KJ.1666


Aditional Information
File size: 5120 bytes
MD5: 997deb7a94d4b503f2822b1d6dfde263
SHA1: 170a2b3749096a51a8ed131dd231977252bc3fa4

quindi 9 antivirus mi segnalano la pericolosità del file
Cosa ne faccio


Ps quelle voci
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll




sophos ha trovato questo file
C:\Documents and Settings\gg\Impostazioni locali\Temporary Internet Files\Content.IE5\J8UYKFMZ\misc-banner;dcopt=ist;sz=468x60;ord=973981355[2]

Grzie
peppe


Edited by - peppe82 on 07/10/2007 13:12:49
Torna in alto
 
peppe82
Inviato: Tuesday, July 10, 2007 3:16:45 PM
Rank: Member

Iscritto dal : 7/5/2007
Posts: 0
per quanto rigurada le voci
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

non le ho cancellate.
Torna in alto
 
peppe82
Inviato: Wednesday, July 11, 2007 3:43:33 PM
Rank: Member

Iscritto dal : 7/5/2007
Posts: 0
Cosa devo fare?
help
Torna in alto
 
pidue
Inviato: Wednesday, July 11, 2007 7:25:34 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, allora, quelle due righe non cancellarle.
La libreria indicata è sicuramente qualcosa di nocivo. Non esiste un <b>svchost.dll</b> nella cartella C.\Windows. E anche nel forum suspectfile consigliano di cancellarla.

http://www.suspectfile.com/forum/viewtopic.php?p=11670

Procedi pure manualmente, <b>in modalità provvisoria</b>. Se non ti è possibile, usa Avenger.
Ciao.

Edited by - pidue on 07/11/2007 19:26:08
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Comportamento strano


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.