Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » connessione automatica e trojan

connessione automatica e trojan Opzioni
Topic Precedente · Topic Sucessivo
marconti
Inviato: Tuesday, March 04, 2008 4:17:33 PM
Rank: Member

Iscritto dal : 12/29/2000
Posts: 7
Di seguito il log di hijackthis
Se mi potete aiutare grazie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15.54.21, on 04/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\NVIDIA Corporation\NvMixer\bak\NVMixerTray.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\User\IMPOST~1\Temp\Directory temporanea 1 per HiJackThis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.corriere.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDC541C5-C0C9-445B-A432-994C205BDDC1}: NameServer = 85.37.17.40 85.38.28.85
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmi\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7276 bytes
Torna in alto
 
Sponsor
Inviato: Tuesday, March 04, 2008 4:17:33 PM

 
Torna in alto
 
a.roselli
Inviato: Tuesday, March 04, 2008 6:51:54 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,045
Ciao,
esegui queste operazioni

ATTENZIONE prima di procedere con le riparazioni, fate la copia di riserva dei vostri dati,
leggete questo articolo http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80118
a volte eliminando un virus il sistema potrebbe non riavviarsi.
____________________________

Disattiva il ripristino di configurazione, leggi qui come fare
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Riavvia in modalità provvisoria, leggi qui come fare
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122

Elimina i file inutili del sistema utilizzando questo programma
http://www.aiutamici.com/software?ID=11223

Utilizza questo programma per eliminare eventuali spyware
http://www.aiutamici.com/software?ID=10831

sempre in modalità provvisoria fai una scansione Antivirus,
se non hai un antivirus, utilizza questo programma
http://www.aiutamici.com/software?ID=11485

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura e crea un nuovo punto di ripristino, leggi qui http://guide.aiutamici.com/guide?C1=7&C2=16&ID=80161
in caso di problemi lascialo disattivato fino alla soluzione dei problemi

Fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/sscv6/default.asp?productid=globalsites&langid=it&venid=sym
se la scansione on line rileva dei virus significa che il tuo antivirus è stato infettato o non è in grado di risolvere il problema, ti consiglio di formattare il disco fisso e reinstallare tutto.
alfonso_aiutamici@hotmail.it
Torna in alto
 
marconti
Inviato: Wednesday, March 05, 2008 11:37:58 PM
Rank: Member

Iscritto dal : 12/29/2000
Posts: 7
Ho seguito passo passo le indicazioni, ho rilevato un trojan in modalità provvisoria, ho pulito tutto con ccleaner. Quando ho riavviato il pc ha subito effettuato una connessione alla rete non richiesta. Dopo essermi disconnesso nella cronologia ho trovato questa pagina da me non richiesta a.doginhispen(a.doginhisphen.com) cosa devo fare?
Torna in alto
 
r16
Inviato: Thursday, March 06, 2008 1:44:08 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
E' dura.... sembrerebbe un Dialer,non avendo informazioni più precise si può fare solo dei tentativi.

Scarica questo:
http://noahdfear.geekstogo.com/FindAWF.exe 3. Esegui FindAWF,premi un tasto qualsiasi,poi premi il tasto 1 e aspetti il log che FindAWF stamperà su un file di testo alla fine della ricerca.
Il filelog lo posti in questa discussione.
Torna in alto
 
marconti
Inviato: Saturday, March 08, 2008 8:23:40 AM
Rank: Member

Iscritto dal : 12/29/2000
Posts: 7
allego log
Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F0EF-A15C

Directory di C:\PROGRA~1\ANTIVI~1\BAK

12/10/2007 11.43 249.896 avgnt.exe
1 File 249.896 byte
2 Directory 234.820.792.320 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F0EF-A15C

Directory di C:\PROGRA~1\ITUNES\BAK

15/11/2007 13.11 267.048 iTunesHelper.exe
1 File 267.048 byte
2 Directory 234.820.792.320 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F0EF-A15C

Directory di C:\PROGRA~1\QUICKT~1\BAK

14/11/2007 23.43 286.720 QTTask.exe
1 File 286.720 byte
2 Directory 234.820.788.224 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F0EF-A15C

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 13.00 15.360 ctfmon.exe
09/07/2001 10.50 155.648 NeroCheck.exe
2 File 171.008 byte
2 Directory 234.820.788.224 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F0EF-A15C

Directory di C:\PROGRA~1\HP\HPSOFT~1\BAK

11/05/2005 22.12 49.152 HPWuSchd2.exe
1 File 49.152 byte
2 Directory 234.820.788.224 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F0EF-A15C

Directory di C:\PROGRA~1\NVIDIA~1\NVMIXER\BAK

03/06/2004 19.51 131.072 NVMixerTray.exe
1 File 131.072 byte
2 Directory 234.820.788.224 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F0EF-A15C

Directory di C:\PROGRA~1\ZONELA~1\ZONEAL~1\BAK

0 File 0 byte
2 Directory 234.820.788.224 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F0EF-A15C

Directory di C:\PROGRA~1\ADOBE\ACROBA~1.0\READER\BAK

30/03/2006 15.45 313.472 AdobeUpdateManager.exe
1 File 313.472 byte
2 Directory 234.820.788.224 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: F0EF-A15C

Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK

03/06/2004 21.05 32.881 jusched.exe
1 File 32.881 byte
2 Directory 234.820.788.224 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

249896 18 Jan 2008 "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe"
249896 12 Oct 2007 "C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe"
267048 15 Nov 2007 "C:\Programmi\iTunes\bak\iTunesHelper.exe"
54330664 2 Dec 2007 "C:\Documents and Settings\User\Documenti\dounload\iTunes75Setup.exe"
286720 14 Nov 2007 "C:\Programmi\QuickTime\bak\QTTask.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
10256 17 Jan 2008 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"
10256 17 Jan 2008 "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
49152 11 May 2005 "C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe"
10256 17 Jan 2008 "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
131072 3 Jun 2004 "C:\Programmi\NVIDIA Corporation\NvMixer\bak\NVMixerTray.exe"
313472 30 Mar 2006 "C:\Programmi\Adobe\Acrobat 7.0\Reader\bak\AdobeUpdateManager.exe"
10256 17 Jan 2008 "C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe"
32881 3 Jun 2004 "C:\Programmi\Java\j2re1.4.2_05\bin\bak\jusched.exe"


end of report
Torna in alto
 
r16
Inviato: Saturday, March 08, 2008 12:13:29 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Stampa questa pagina ,esegui alla lettera (non saltare nessun passaggio).
Disattiva il ripristino configurazione di sistema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema

Scarica AVENGER: clicca qui per il download http://swandog46.geekstogo.com/avenger.zip

● crea una apposita Cartella sul Desktop ed al suo interno scompatta il file
● avvialo
● Clicca Ok
● Nel riquadro bianco incolla questo script in rosso:

files to move:


C:\Programmi\AntiVir PersonalEdition Classic\bak\avgnt.exe|C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\bak\ctfmon.exe|C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe|C:\WINDOWS\system32\NeroCheck.exe
C:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe|C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\NVIDIA Corporation\NvMixer\bak\NVMixerTray.exe|C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programmi\Java\j2re1.4.2_05\bin\bak\jusched.exe|C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe

● clicca su Execute
● rispondi Yes
attendi che Avenger completi la fase di elaborazione
● Il P.C. dovrebbe riavviarsi da solo; altrimenti riavvialo manualmente
● al riavvio del sistema verrà salvato un log in C:\avenger.txt
allega Qui il log che verrà rilasciato


Segui questo percorso e elimina le voci in rosso:
C:\Documents and Settings\User\Documenti\dounload\iTunes75Setup.exe
Intanto fai cosi poi vediamo.
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » connessione automatica e trojan


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.