Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Improvvisi malfunzionamenti. Controllate LOG ? Opzioni
giovanitasca
Inviato: Wednesday, January 14, 2009 11:15:05 AM
Rank: AiutAmico

Iscritto dal : 4/2/2005
Posts: 220
Ho notato da un momento all'altro dei malfunzionamenti (IE non visulaizza le immagini..), a dire il vero preannunziatomi da qualche avviso di Outpost su nuove regole alle quali ho dato scarso peso (per esempio mi chiedeva le regole per un : 706483326.exe)

Cosa è successo?
Posto il LOG Grazie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11.03.58, on 14/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\logonui.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\userinit.exe
D:\WINDOWS\system32\twex.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\SkyTel.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\ALCMTR.EXE
D:\Programmi\Eset\nod32kui.exe
D:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
D:\Programmi\File comuni\Real\Update_OB\realsched.exe
D:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe
D:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
D:\DOCUME~1\TASCAP~1\IMPOST~1\Temp\winlogin.exe
D:\Programmi\File comuni\InstallShield\UpdateService\agent.exe
D:\WINDOWS\system32\rundll32.exe
D:\DOCUME~1\TASCAP~1\IMPOST~1\Temp\csrssc.exe
D:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Programmi\Google\Google Updater\GoogleUpdater.exe
D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programmi\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\dumprep.exe
D:\Programmi\Eset\nod32krn.exe
D:\WINDOWS\system32\dumprep.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\oodag.exe
D:\Programmi\Agnitum\Outpost Firewall\outpost.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
D:\WINDOWS\regedit.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmi\PDFCreator\PDFCreator.exe
D:\Programmi\PDFCreator\PDFCreator.exe
D:\Programmi\PDFCreator\PDFCreator.exe
D:\Programmi\Foxit Software\Foxit Reader\Foxit Reader.exe
D:\Programmi\Foxit Software\Foxit Reader\Foxit Reader.exe
D:\Programmi\PDFCreator\PDFCreator.exe
D:\WINDOWS\system32\taskmgr.exe
D:\WINDOWS\TEMP\1A.tmp
D:\WINDOWS\system32\rundll32.exe
D:\Programmi\Finson\Finson-Tel 2005\Finson-Tel 2005.exe
D:\Programmi\Ahead\Nero\nero.exe
D:\WINDOWS\system32\Restore\rstrui.exe
D:\WINDOWS\explorer.exe
D:\Programmi\Foxit Software\Foxit Reader\Foxit Reader.exe
D:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programmi\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Programmi\PDFCreator\PDFCreator.exe
D:\Programmi\PDFCreator\PDFCreator.exe
D:\Programmi\Foxit Software\Foxit Reader\Foxit Reader.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Foxit Software\Foxit Reader\Foxit Reader.exe
D:\Programmi\PDFCreator\PDFCreator.exe
D:\Programmi\PDFCreator\PDFCreator.exe
D:\Programmi\PDFCreator\PDFCreator.exe
D:\Programmi\uTorrent\uTorrent.exe
F:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - D:\Programmi\AskSearch\bin\DefaultSearch.dll
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\twex.exe,
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Outpost Firewall] "D:\Programmi\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] D:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [nod32kui] "D:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "D:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSPM Startup] D:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ScanSoft OmniPage 16-reminder] "D:\Programmi\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "D:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\OmniPage 16\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [jsf8uiw3jnjgffght] D:\DOCUME~1\TASCAP~1\IMPOST~1\Temp\winlogin.exe
O4 - HKLM\..\Run: [18be8810] rundll32.exe "D:\WINDOWS\system32\flhfkwfs.dll",b
O4 - HKCU\..\Run: [OpAgent] "OpAgent.exe" /agent
O4 - HKCU\..\Run: [jsf8uiw3jnjgffght] D:\DOCUME~1\TASCAP~1\IMPOST~1\Temp\winlogin.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] D:\DOCUME~1\TASCAP~1\IMPOST~1\Temp\csrssc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = D:\Programmi\Google\Google Updater\GoogleUpdater.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Outpost Firewall Pro Regolazione rapida - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230560657487
O17 - HKLM\System\CCS\Services\Tcpip\..\{692561BB-AE86-4831-8135-12591A44AF28}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{692561BB-AE86-4831-8135-12591A44AF28}: NameServer = 192.168.1.254
O20 - AppInit_DLLs: yhgfvg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programmi\Eset\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - D:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Programmi\Agnitum\Outpost Firewall\outpost.exe

--
End of file - 8940 bytes
Sponsor
Inviato: Wednesday, January 14, 2009 11:15:05 AM

 
shapiro
Inviato: Wednesday, January 14, 2009 11:49:16 AM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
benvenuto nel forum

prova ad andare su strumenti>opzioni internet>avanzate

e vedi se e' spuntato mostra immagini

comincia con lo scaricare http://www.malwarebytes.org/mbam/program/mbam-setup.exe



1) lo installi
2) lo aggiorni
3) fai una scansione scegliendo la modalità completa
4) NON eliminare le eventuali minacce che rileva
5) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum



Quando avra' terminato la scansione, Scarica Lop S&D | http://eric.71.mespages.googlepages.com/LopSD.exe
con tutte le applicazioni chiuse e disconnesso
doppio click su LopSD
scegli la lingua E (invio)
1 (ricerca) invio

al termine dello scan riavvia LopSD
questa volta scegli l'opzione 2 (invio)

allega il report C:\LopR.txt insieme ad un nuovo log di hijackthis
giovanitasca
Inviato: Wednesday, January 14, 2009 12:26:02 PM
Rank: AiutAmico

Iscritto dal : 4/2/2005
Posts: 220
posto la prima parte


Malwarebytes' Anti-Malware 1.32
Versione del database: 1649
Windows 5.1.2600 Service Pack 3

14/01/2009 12.20.38
mbam-log-2009-01-14 (12-20-34).txt

Tipo di scansione: Scansione rapida
Elementi scansionati: 51039
Tempo trascorso: 4 minute(s), 29 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 3
Chiavi di registro infette: 14
Valori di registro infetti: 7
Elementi dato del registro infetti: 2
Cartelle infette: 0
File infetti: 9

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
D:\WINDOWS\system32\fcccyYPI.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOWS\system32\yhgfvg.dll (Trojan.Vundo) -> No action taken.
D:\WINDOWS\system32\wvUoMgfF.dll (Trojan.Vundo) -> No action taken.

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{447f8550-24f6-4d3b-bc34-fd2a2f0cd7bc} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{447f8550-24f6-4d3b-bc34-fd2a2f0cd7bc} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvuomgff (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{da0bdab2-a0f2-4ead-8a7d-2659f369352d} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{da0bdab2-a0f2-4ead-8a7d-2659f369352d} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{447f8550-24f6-4d3b-bc34-fd2a2f0cd7bc} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{da0bdab2-a0f2-4ead-8a7d-2659f369352d} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingb7257 (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingd516 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletinga1063 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingc8204 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jsf8uiw3jnjgffght (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jsf8uiw3jnjgffght (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo.H) -> Data: d:\windows\system32\fcccyypi -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: d:\windows\system32\fcccyypi -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
D:\WINDOWS\system32\yhgfvg.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOWS\system32\wvUoMgfF.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOWS\system32\fcccyYPI.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOWS\system32\IPYycccf.ini (Trojan.Vundo.H) -> No action taken.
D:\WINDOWS\system32\IPYycccf.ini2 (Trojan.Vundo.H) -> No action taken.
D:\WINDOWS\system32\flhfkwfs.dll_old (Trojan.Vundo.H) -> No action taken.
D:\WINDOWS\system32\sfwkfhlf.ini (Trojan.Vundo.H) -> No action taken.
D:\WINDOWS\system32\hgphwqll.dll (Trojan.Vundo) -> No action taken.
D:\Documents and Settings\Tascapane\Impostazioni locali\Temp\winlogin.exe (Trojan.Agent) -> No action taken.
shapiro
Inviato: Wednesday, January 14, 2009 12:33:09 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
Commenta:
Tipo di scansione: Scansione rapida
Elementi scansionati: 51039
Tempo trascorso: 4 minute(s), 29 second(s)


avevo detto una scansione completa....lo faccio per il tuo bene fratello Drool

intanto riavvia malwarebytes ed elimina quello che ha trovato

hai una famiglia di trojan vundo nel pc.....vuoi che facciano le uova??

appena finito fai una nuova scansione....questa volta completa' pero'


prova ad andare su strumenti>opzioni internet>avanzate

e vedi se e' spuntato mostra immagini
giovanitasca
Inviato: Wednesday, January 14, 2009 7:42:03 PM
Rank: AiutAmico

Iscritto dal : 4/2/2005
Posts: 220
Carissimo amico, grazie per l'aiuto che mi hai dato, ma ho dovuto formattare. Dopo avere fatto la scansione (rapida) che avevo postato ho scaricato il programma LopSD. Appena lanciato questo programma mi è comparsa una schermata nera tipo DOS dalla quale non si usciva più se non riavviando. Avevo conservata anche una immagine del SO con Acronis però sicuramente mi sono incasinato in quanto, per un arcano mistero che non so il mio SO è su D e non su C, per cui per non correre il rischio di cancellare cose che non dovevano essere toccate ho preferito formattare.
A questo punto chiedo (anche se mi indirizzi ad altri forum):
1) una guida esauriente per ripristinare il SO avendo una immagine (uso Acronis)
2) E possibile rinominare C la partizione ove attualmente è il SO? (D)
Grazie
Giovanni
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.