Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Mi controllate il LOG di Hijack

Mi controllate il LOG di Hijack Opzioni
Topic Precedente · Topic Sucessivo
Milvana
Inviato: Saturday, July 19, 2008 10:27:02 PM
Rank: AiutAmico

Iscritto dal : 12/10/2004
Posts: 311
PER r16.....grazie per il suggerimento,
ho eseguito il log come da te indicato però ti devo informare che dal vostro sito non si scarica.
Questo Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22.18.48, on 19/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\GASPERINI\Impostazioni locali\Temp\HijackThis.exe
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Documents and Settings\GASPERINI\Impostazioni locali\Temporary Internet Files\Content.IE5\C7L4JYVT\HiJackThis_v2[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven_dev\syncer\McciTrayApp.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8095 bytes
Torna in alto
 
Sponsor
Inviato: Saturday, July 19, 2008 10:27:02 PM

 
Torna in alto
 
r16
Inviato: Saturday, July 19, 2008 11:22:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Milvana .
Lo hai posizionato male HijackThis, dovresti disistallarlo, e reistallarlo in:C:\Programmi\o Documenti.
Questo perchè se nell'eventualità di qualche errore di "fixaggio"da parte tua o mia ,non potresti piu ripristinare le voci dal Buckup.
Ti consiglio di farlo Prima di fixare queste voci:
Se non sai "fixare"le voci,segui questa guida dettagliata: http://www.aiutaamici.com/software?ID=11175
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO DI RETE')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
Scarica VIRIT :
http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e fai la scansione in Modalità Provvisoria (è molto importante). Dimmi se Virit trova qualche infezione.
RIAVVIA IL PC.
*********************************************************************************************************
Esegui alla lettera queste operazioni:
Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,e dopo aver scaricato COMBOFIX, chiudi la connessione.

Scarica Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1, premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.
ComboFix non funziona in modalità provvisoria
*********************************************************************************************************
POI:
Installa Hijackthis
pulisci, prima di tutto, gli eventuali ADS (Alternate Data Streams), quindi:
lancia Hijackthis
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
lascia la spunta alla voce Ignore safe system info streams
togli la spunta alla voce Calculate md5 checksum of streams
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
Terminata la scansione, devi riavviare il sistema.


Provvedi a svuotare del suo contenuto la cartella Prefetch :

Start
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)
SVUOTA il CESTINO.
Dai una pulita (registro compreso)con CCleaner http://www.aiutaamici.com/software?ID=11223
Te lo dico onestamente Milvana ,queste operazioni NON fanno male,(anzi) ma non garantiscono la soluzione al tuo problema.
A meno che, le varie scansioni trovino dei virus grossi come capannoni.
Torna in alto
 
Milvana
Inviato: Sunday, July 20, 2008 10:51:44 AM
Rank: AiutAmico

Iscritto dal : 12/10/2004
Posts: 311

Ecco il log di ComboFix, spero di aver fatto bene......non ho molto esperienza con questi programmi......sai sono una nonna ma molto appassionata di computer...




ComboFix 08-07-19.1 - GASPERINI 2008-07-20 10.25.48.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.39.1040.18.80 [GMT 2:00]
Eseguito da: C:\Documents and Settings\GASPERINI\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\setup.inf
F:\Autorun.inf

.
((((((((((((((((((((((((( Files Creati Da 2008-06-20 al 2008-07-20 )))))))))))))))))))))))))))))))))))
.

2008-07-20 07:32 . 2008-07-20 09:32 <DIR> d-------- C:\VEXPLITE
2008-07-20 07:32 . 2008-03-17 19:23 39,808 --a------ C:\WINDOWS\system32\drivers\VIRAGTLT.SYS
2008-07-19 23:25 . 2008-07-19 23:25 <DIR> d-------- C:\Programmi\CCleaner
2008-07-19 12:12 . 2008-07-19 12:12 <DIR> d-------- C:\Programmi\File comuni\Wise Installation Wizard
2008-07-19 10:12 . 2008-07-19 11:21 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-07-13 18:12 . 2008-06-20 19:36 247,296 --------- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-07-13 18:12 . 2008-06-20 11:32 225,920 --------- C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-07-13 18:12 . 2008-06-20 12:44 138,368 --------- C:\WINDOWS\system32\dllcache\afd.sys
2008-07-13 18:12 . 2006-08-16 14:13 100,352 --------- C:\WINDOWS\system32\dllcache\6to4svc.dll
2008-07-07 22:16 . 2008-07-07 22:16 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\eBay
2008-07-01 16:33 . 2008-07-06 09:02 539 --a------ C:\WINDOWS\asprofil.ini
2008-07-01 16:33 . 2008-07-18 18:17 410 --a------ C:\WINDOWS\Studio.ini
2008-07-01 16:32 . 2008-07-02 22:37 <DIR> d-------- C:\Studio4

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 15:00 --------- d-----w C:\Programmi\eMule
2008-07-08 14:12 --------- d-----w C:\Programmi\Google
2008-07-01 13:10 --------- d-----w C:\Programmi\Microsoft Works
2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:36 147,968 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-07 15:16 --------- d-----w C:\Programmi\Western Digital Technologies
2008-06-03 08:31 --------- d-----w C:\Programmi\Fast Midi To Mp3 KARAOKE
2008-06-01 15:09 --------- d-----w C:\Programmi\MIDIP3
2008-06-01 15:04 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-06-01 15:04 253,952 ------w C:\WINDOWS\Setup1.exe
2008-06-01 14:43 --------- d-----w C:\Programmi\NCH Swift Sound
2008-06-01 14:43 --------- d-----w C:\Documents and Settings\GASPERINI\Dati applicazioni\NCH Swift Sound
2008-06-01 14:43 --------- d-----w C:\Documents and Settings\All Users\Dati applicazioni\NCH Swift Sound
2008-05-31 13:42 --------- d-----w C:\Programmi\KARINO VIDEO CONVERTER 1.2
2008-05-29 18:54 --------- d-----w C:\Programmi\DivX
2008-05-25 15:44 --------- d-----w C:\Programmi\VideoLAN
2008-05-20 14:10 --------- d-----w C:\Programmi\ffdshow
2008-05-08 12:14 203,008 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,292,800 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,292,800 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-27 18:11 364,544 ----a-w C:\WINDOWS\system32\WDBtnMgr.exe
2008-04-23 20:16 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:42 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:42 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-20 05:07 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-03-17 09:28 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2008-03-17 09:28 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat
2008-03-17 09:28 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\MSHist012008031720080318\index.dat
2008-03-17 09:28 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* i valori vuoti & legittimi/default non sono visualizzati.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:39 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe" [2007-09-20 15:35 202024]
"swg"="C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-07-08 16:12 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
"NeroFilterCheck"="C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"VIRIT LITE MONITOR"="C:\VEXPLITE\MONLITE.EXE" [2008-07-20 08:42 245760]
"WD Button Manager"="WDBtnMgr.exe" [2008-04-27 20:11 364544 C:\WINDOWS\system32\WDBtnMgr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:39 15360]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Reader Synchronizer.lnk - C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 01:01:50 734872]
Avvio veloce di Adobe Reader.lnk - C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 02:48:20 40048]
hp psc 1000 series.lnk - C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 02:17:18 147456]
hpoddt01.exe.lnk - C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 02:06:58 28672]
LUMIX Simple Viewer.lnk - C:\Programmi\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-03-24 18:42:49 57344]
WinZip Quick Pick.lnk - C:\Programmi\WinZip\WZQKPICK.EXE [2008-03-30 20:40:00 118784]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programmi\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1700:TCP"= 1700:TCP:MioNet Remote Drive Access 0
"1701:TCP"= 1701:TCP:MioNet Remote Drive Access 1
"1702:TCP"= 1702:TCP:MioNet Remote Drive Access 2
"1703:TCP"= 1703:TCP:MioNet Remote Drive Access 3
"1704:TCP"= 1704:TCP:MioNet Remote Drive Access 4
"1705:TCP"= 1705:TCP:MioNet Remote Drive Access 5
"1706:TCP"= 1706:TCP:MioNet Remote Drive Access 6
"1707:TCP"= 1707:TCP:MioNet Remote Drive Access 7
"1708:TCP"= 1708:TCP:MioNet Remote Drive Access 8
"1709:TCP"= 1709:TCP:MioNet Remote Drive Access 9
"1641:TCP"= 1641:TCP:MioNet Remote Drive Verification
"1647:TCP"= 1647:TCP:MioNet Storage Device Configuration
"5432:UDP"= 5432:UDP:MioNet Storage Device Discovery

R0 VIRAGTLT;VIRAGTLT;C:\WINDOWS\system32\drivers\VIRAGTLT.SYS [2008-03-17 19:23]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 viritsvclite;Virit eXplorer Lite;C:\VEXPLITE\viritsvc.exe [2008-07-20 08:42]
R3 USBSTOR;Driver archiviazione di massa USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
S2 Network WanMiniport First Position;Network WanMiniport First Position;C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe []
S3 usbscan;Driver scanner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\wd_windows_tools\WDEULA.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenuto della cartella 'Scheduled Tasks'
"2008-07-19 20:31:01 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1206048671.job"
- C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
- - - - ORFÃOS REMOVIDOS - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 10:27:35
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-07-20 10:29:14
ComboFix-quarantined-files.txt 2008-07-20 08:29:11

Pre-Run: 61,549,453,312 byte disponibili
Post-Run: 61,565,165,568 byte disponibili

143 --- E O F --- 2008-07-15 08:27:35
Torna in alto
 
Milvana
Inviato: Sunday, July 20, 2008 11:05:31 AM
Rank: AiutAmico

Iscritto dal : 12/10/2004
Posts: 311
Aiuto r16.....mi sono bloccata...esattamente qui:

POI:
pulisci, prima di tutto, gli eventuali ADS (Alternate Data Streams),
Non ho la più pallida idea cosa siano!!!!!!!!!!!Scusa l'ignoranza
Aspetto tue indicazioni per andare avanti........grazie 1000000000
Torna in alto
 
Milvana
Inviato: Sunday, July 20, 2008 11:08:33 AM
Rank: AiutAmico

Iscritto dal : 12/10/2004
Posts: 311
Aiuto r16.....mi sono bloccata...esattamente dove mi dici cosa fare dopo aver eseguito la scansione con ComboFixi:

POI:
pulisci, prima di tutto, gli eventuali ADS (Alternate Data Streams),

Non ho la più pallida idea cosa siano!!!!!!!!!!!Scusa l'ignoranza
Aspetto tue indicazioni per andare avanti........grazie 1000000000
Torna in alto
 
Milvana
Inviato: Sunday, July 20, 2008 11:19:30 AM
Rank: AiutAmico

Iscritto dal : 12/10/2004
Posts: 311
Eh....la vecchiaia fa brutti scherzi....mi sono dimenticata di dirti che VIRIT ha trovato il seguente virus:

C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe Infetto da Trojan.Win32.Agent.BBF
* * * RIMOSSO * * *
Torna in alto
 
r16
Inviato: Sunday, July 20, 2008 2:13:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao,Milvana.
Non preoccuparti,non ti mollo.......Drool
Allora: sia Virit che Combofix,hanno eliminato fetecchie.(buono).
La partizione F:\ per caso è una chiavetta USB? oppure una partizione del Disco Rigido?
Poi non preoccuparti degli ADS,Segui alla lettera le indicazioni che ti ho postato per eliminarli,senza paura ,fidati.
Per eliminarli fai queste operazioni:
Apri Hijackthis :
clicca sulla voce Open the misc tool section
clicca su Open ads spy
togli la spunta alla voce Quick scan (windows base folder only)
lascia la spunta alla voce Ignore safe system info streams
togli la spunta alla voce Calculate md5 checksum of streams
clicca su Scan
se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected
Terminata la scansione, devi riavviare il sistema
E svuota la cartella Prefetch (come ti ho indicato nel post precedente)
Esegui questa operazione:

Disattiva il ripristino configurazione di sistema
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121
SPEGNI il PC.
AVVIA IL PC.
Questo per eliminare eventuali virus che si sono annidati nei punti di Ripristino di Windows.
Dimmi se il problema si è risolto.
Torna in alto
 
Milvana
Inviato: Sunday, July 20, 2008 5:38:02 PM
Rank: AiutAmico

Iscritto dal : 12/10/2004
Posts: 311
Sei Grande r16,
oggi mi sono proprio divertita....mi sono sentita una piccola piccola programmatrice...o programmatore
Ho eseguito alla lettera tutto quello che mi hai indicato solo un'operazione non ho capito "Disattiva il ripristino [/b]configurazione di sistema " lo devo a fare alla fine?
La partizione F:\ è un hard Disk esterno.....a proposito sarà questa che rallenta l'apertura di Windows perchè la periferica lavora su una porta a bassa velocità, necessita di una porta Usb 2 al alta velocità che io non ho.
Ho letto sempre in questo forum, (lo seguo molto perchè è molto comprensibile anche da utenti meno esperti), per velocizzare il pc, MONSEE suggerisce ogni tanto la deframmentazione in modalità provvisoria.
Ha finito or ora la deframmentazione e penso che dopo tutte le modifiche da te consigliate, qualche cambiamento in positivo c'è stato, alla fine quando chiede di visualizzare il rapporto, tutti i file sono stati deframmentati....cosa che in passato non è mai avvenuta....speriamo bene...ti saprò dire i prossimi giorni.
Inoltre ti chiedo un ultima cosa: VIRIT e COMBIFIX li lascio installati (faccio presente che Virit parte in automatico quando
accendo il pc).
Buona Domenica .................
Torna in alto
 
r16
Inviato: Sunday, July 20, 2008 6:11:09 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Milvana .
La Disattivazione del ripristino, la si doveva fare all'inizio.
Perciò,la colpa è mia che non te l'ho detto.Brick wall
Comunque non è grave,l'importante è che tu la faccia,nelle modalità descritte.
Quando hai fatto quella operazione,Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Poi:
Per Disabilitare Virit all'Avvio di Windows,fai cosi:
Nella schermata iniziale di Virit,in alto, vedi una serie di icone.
Clicc sulla sesta icona (Scheduler) e Togli la spunta da all'Avvio.
Se vuoi disistallarlo,vai in :Start\Tutti Programmi\ e trovi il suo Unistall.

Poi:
Disinstalla combofix in questo modo:
Start
Esegui
nella finestra di dialogo, digita (oppure, copia ed incolla) questo comando: Combofix /u e premi invio poi cancella le cartelle in "C" di combofix (qoobox)
Se rilevi problemi,oppure hai domande da pormi, sono qui.
Ciao.
Torna in alto
 
Milvana
Inviato: Wednesday, July 23, 2008 3:45:21 PM
Rank: AiutAmico

Iscritto dal : 12/10/2004
Posts: 311
Ciao r16,

mi sembra che grazie al tuo valido aiuto....vada tutto bene....grazie.
Quindi il tuo consiglio è di fare periodicamente una scansione con Hijackthis?
La partizione F:\ è un hard Disk esterno, devo fare tutte le varie scansioni come il disco C?

Un ultima informazione per cortesia...in Visualizzatori Eventi/Sistema appaiono una serie di errori e di avvisi...per me difficili da interpretare...sono importanti?
Scusa se ti pongo un sacco di domande...ho colto al volo la tua proposta.
Ciao...ciaoooo
Torna in alto
 
r16
Inviato: Wednesday, July 23, 2008 9:14:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao Milvana .
Sono contento che il pc và meglio.
Si, una volta ogni tanto (15-20 giorni)una controllatina con Hijackthis non guasta..
Anche per l' hard Disk esterno,io ti suggerisco di fare tutte le scansioni come il disco C.
Fidarsi è bena ma.........meglio controllare.
Non lo so se sono importanti gli errori in Visualizzatori Eventi/Sistema, bisogerebbe vederli.
Un consiglio disinteressato: disistalla Avast, e a parere mio installa AVG8,(scaricabile in lingua italiana in questo sito).
AVG8, a parere mio è superiore a Avast.
Prendilo come un parere Milvana ,non è il Vangelo.
Ciao!
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Mi controllate il LOG di Hijack


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.