Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Controllo file HijackThis Opzioni
Velimir
Inviato: Tuesday, August 24, 2010 5:00:02 PM
Rank: Member

Iscritto dal : 9/14/2005
Posts: 1
Vorrei, per favore, che mi controllaste il file allegato : il problema che riscontro è un avviso dell'antivirus (Avira) che compare periodicamente circa il tentativo di un virus (cavallo di troia TR/Dawnloader.gen) di entrare nel computer, (Avira indica come nome file questo : mdm.exe).


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16.59.21, on 24/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\mstinit.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\File comuni\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe
C:\Programmi\Realtek\Transcode Server\TranscodeServer.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
C:\Programmi\File comuni\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\eMule AdunanzA\eMule_AdnzA.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Programmi\Softonic-IT\tbSof1.dll
F3 - REG:win.ini: load=C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\mstinit.exe
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Programmi\Softonic-IT\tbSof1.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Softonic-IT Toolbar - {e3393495-8103-46a0-8181-270273eddd60} - C:\Programmi\Softonic-IT\tbSof1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programmi\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TranscodeServer] C:\Programmi\Realtek\Transcode Server\TranscodeServer.exe
O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\sessmgr.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [IEudinit] C:\WINDOWS\System32\drivers\ieudinit.exe /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\Documents and Settings\Gabry\LOCALS~1\APPLIC~1\sessmgr.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\Documents and Settings\Gabry\LOCALS~1\APPLIC~1\sessmgr.exe /waitservice (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe

--
End of file - 6723 bytes
Sponsor
Inviato: Tuesday, August 24, 2010 5:00:02 PM

 
fdaccc
Inviato: Tuesday, August 24, 2010 5:16:18 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
Censurato
lui49
Inviato: Tuesday, August 24, 2010 5:33:40 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845


a.roselli
Inviato: Tuesday, August 24, 2010 6:26:48 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,055
Ciao,
esegui queste operazioni

ATTENZIONE prima di procedere con le riparazioni, fate la copia di riserva dei vostri dati, a volte eliminando un virus il sistema potrebbe non riavviarsi.
____________________________

Disattiva il ripristino di configurazione, leggi qui come fare
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Riavvia in modalità provvisoria, leggi qui come fare
http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122

apri HIJAC THIS ed elimina come indicato in questo articolo
http://guide.aiutamici.com/software?ID=11175
le righe che seguono.

==================================
F3 - REG:win.ini: load=C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\mstinit.exe
-
O4 - HKLM\..\Policies\Explorer\Run: [SessMgr] C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\sessmgr.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [IEudinit] C:\WINDOWS\System32\drivers\ieudinit.exe /waitservice
-
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [SessMgr] C:\Documents and Settings\Gabry\LOCALS~1\APPLIC~1\sessmgr.exe /waitservice (User 'SYSTEM')
-
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [SessMgr] C:\Documents and Settings\Gabry\LOCALS~1\APPLIC~1\sessmgr.exe /waitservice (User 'Default user')

==================================


Con la funzione Cerca di Windows, cerca ed elimina i seguenti file in rosso
==================================
F3 - REG:win.ini: load=C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\mstinit.exe
C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\sessmgr.exe
C:\WINDOWS\System32\drivers\ieudinit.exe
C:\Documents and Settings\Gabry\LOCALS~1\APPLIC~1\sessmgr.exe
==================================


Utilizza questo programma per eliminare eventuali spyware
http://www.aiutamici.com/software?ID=10831

sempre in modalità provvisoria fai una scansione Antivirus completa

quindi riavvia il computer e riattiva il ripristino configurazione

Nel sistema non é presente un Firewall, installa questo programma
http://www.aiutamici.com/software?ID=80361

Se fossi in te disinstallerei Avira che non ha un antispyware in tempo reale e non controlla i virus nelle e-mail appena arrivano, meglio Avast, AVG o MSE

Ti consiglio di leggere la Guida al PC Sicuro e fare una copia di riserva del sistema
http://software.aiutamici.com/software?ID=10886



alfonso_aiutamici@hotmail.it

kyron
Inviato: Tuesday, August 24, 2010 7:53:04 PM
Rank: AiutAmico

Iscritto dal : 12/28/2009
Posts: 234
Se non vengo censurato, questa voce è il problema principale :
F3 - REG:win.ini: load=C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\mstinit.exe
fdaccc
Inviato: Tuesday, August 24, 2010 8:05:59 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
Proprio un bel comportamento.
Quali righe erano sbagliate?
fdaccc
Inviato: Tuesday, August 24, 2010 8:06:41 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
sessmgr.exe è un processo che appartiene alle finestre a distanza di assistenza di Microsoft alimentabili. Ciò permette che un utilizzatore finale richieda assistenza quando un servizio in rete a distanza di assistenza è in place. Questo processo non dovrebbe essere terminato se il servizio succitato è in place sulla vostra rete locale
a.roselli
Inviato: Tuesday, August 24, 2010 8:51:11 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,055
kyron ha scritto:
Se non vengo censurato, questa voce è il problema principale :
F3 - REG:win.ini: load=C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\mstinit.exe


mstinit.exe è un processo che appartiene al Microsoft Scheduling Agent che si occupa dell'automazione delle mansioni come antivirus e deframmentazione.



alfonso_aiutamici@hotmail.it

a.roselli
Inviato: Tuesday, August 24, 2010 8:53:34 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,055
fdaccc ha scritto:
sessmgr.exe è un processo che appartiene alle finestre a distanza di assistenza di Microsoft alimentabili. Ciò permette che un utilizzatore finale richieda assistenza quando un servizio in rete a distanza di assistenza è in place. Questo processo non dovrebbe essere terminato se il servizio succitato è in place sulla vostra rete locale


Giusto, ma le cartelle dove risiedono quei due sessmgr.exe sono sbagliate, quindi si tratta di un malware.



alfonso_aiutamici@hotmail.it

kyron
Inviato: Tuesday, August 24, 2010 8:57:20 PM
Rank: AiutAmico

Iscritto dal : 12/28/2009
Posts: 234
Commenta:
mstinit.exe è un processo che appartiene al Microsoft Scheduling Agent che si occupa dell'automazione delle mansioni come antivirus e deframmentazione

No Alfonso.
Si trova in un percorso anomalo, quindi è un virus.
Ed è quello che fà partire l'infezione.
a.roselli
Inviato: Tuesday, August 24, 2010 8:57:21 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,055
fdaccc ha scritto:
Proprio un bel comportamento.
Quali righe erano sbagliate?

Ti ho detto mille volte che non devi dare consigli nel forum sicurezza, il prossimo intervento che fai sarà l'ultimo.



alfonso_aiutamici@hotmail.it

fdaccc
Inviato: Tuesday, August 24, 2010 9:00:09 PM

Rank: AiutAmico

Iscritto dal : 12/12/2009
Posts: 2,114
Volevo fixarle anche io, ma qualcuno poteva farne una tragedia :)
La prossima volta -anche se non ci sarà- starò più attento.
Grazie della fiducia, della NON risposta, e di aver creato questo sito.
a.roselli
Inviato: Tuesday, August 24, 2010 9:04:30 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,055
kyron ha scritto:
Commenta:
mstinit.exe è un processo che appartiene al Microsoft Scheduling Agent che si occupa dell'automazione delle mansioni come antivirus e deframmentazione

No Alfonso.
Si trova in un percorso anomalo, quindi è un virus.
Ed è quello che fà partire l'infezione.


Hai ragione kyron

Velimir devi eliminare anche questa riga

F3 - REG:win.ini: load=C:\DOCUME~1\Gabry\DATIAP~1\MICROS~1\mstinit.exe



alfonso_aiutamici@hotmail.it

maopapof
Inviato: Tuesday, August 24, 2010 9:08:04 PM

Rank: AiutAmico

Iscritto dal : 10/31/2004
Posts: 7,185
.......................... :O( boing .....

Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.