Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log,grazie

Controllo log,grazie Opzioni
Topic Precedente · Topic Sucessivo
aleyandro
Inviato: Wednesday, January 12, 2005 11:56:01 AM

Rank: AiutAmico

Iscritto dal : 6/3/2004
Posts: 378
Ad-Aware e spybotsd si bloccano e non mi fanno eliminare gli spyware che trovano.
Grazie e ciao


Logfile of HijackThis v1.99.0
Scan saved at 11.52.30, on 12/01/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\HIDEFOLDERS\HF.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
D:\AUAYAN.EXE
C:\WINDOWS\SYSTEM\BNOYDQF.EXE
C:\PROGRAMMI\ISTSVC\ISTSVC.EXE
C:\PROGRAMMI\LIBEROPOPS\LIBEROPOPSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\DOCUMENTI\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.iol.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alessandro
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGRAB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CloneCDTray] "D:\Clone cd\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Name of App] C:\PROGRAMMI\SAMSUNG\FW LIVEUPDATE\LIVEUPDATE.EXE
O4 - HKLM\..\Run: [hf] C:\PROGRAMMI\HIDEFOLDERS\HF.EXE /s
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [nefop] C:\WINDOWS\nefop.exe
O4 - HKLM\..\Run: [ADpIG] D:\AUAYAN.EXE
O4 - HKLM\..\Run: [qwkdwfxley] C:\WINDOWS\SYSTEM\bnoydqf.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmi\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
O4 - HKCU\..\Run: [IDMan] D:\DOCUMENTI\IDMAN.EXE /onboot
O4 - HKCU\..\Run: [Tsa2] C:\PROGRAMMI\COMMON FILES\TSA\TSM2.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: LiberoPOPs -v.lnk = C:\Programmi\LiberoPOPs\liberopopsd.exe
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O15 - Trusted Zone: *.http://www.master69.biz
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = libero
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.216.172.162
Torna in alto
 
Sponsor
Inviato: Wednesday, January 12, 2005 11:56:01 AM

 
Torna in alto
 
a.roselli
Inviato: Wednesday, January 12, 2005 12:36:34 PM

Rank: Admin

Iscritto dal : 10/4/2000
Posts: 19,056
Ciao ,
esegui queste operazioni

riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
R3 - Default URLSearchHook is missing
-
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGRAB.DLL
-
O4 - HKLM\..\Run: [nefop] C:\WINDOWS\nefop.exe
O4 - HKLM\..\Run: [ADpIG] D:\AUAYAN.EXE
O4 - HKLM\..\Run: [qwkdwfxley] C:\WINDOWS\SYSTEM\bnoydqf.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmi\ISTsvc\istsvc.exe
-
O4 - HKCU\..\Run: [Tsa2] C:\PROGRAMMI\COMMON FILES\TSA\TSM2.EXE
-
O15 - Trusted Zone: *.http://www.master69.biz
==================================

Con la funzione TROVA di Windows, cerca ed elimina questi file,

==================================
BTGRAB.DLL
nefop.exe
AUAYAN.EXE
bnoydqf.exe
istsvc.exe
TSM2.EXE
==================================

al termine utilizza i programma AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus.
alfonso_aiutamici@hotmail.it
Torna in alto
 
aleyandro
Inviato: Wednesday, January 12, 2005 12:47:24 PM

Rank: AiutAmico

Iscritto dal : 6/3/2004
Posts: 378
Grazie Roselli, purtroppo non lo posso fare oggi,ma domattina ci provo e poi ti faccio sapere. Ciao e grazie
Torna in alto
 
aleyandro
Inviato: Thursday, January 13, 2005 8:32:47 AM

Rank: AiutAmico

Iscritto dal : 6/3/2004
Posts: 378
Ciao Roselli,ti spiego subito.
1: Con HIJAC THIS son riuscito a eliminare tutto tranne(O15 - Trusted Zone: *.http://www.master69.biz) sia in modalità provvisoria che normale, riappare sempre.
2: Con la funzione trova ho eliminato tutto quello che appariva.
3: Ho fatto partire SPYBOT (modalità provvisoria)e ha rilevato due intrusi (dyfuca/istbar.slotch)che ho eliminato.
4: Ho fatto partire AD-AWARE (modalità provvisoria)e ha rilevato due intrusi ma subito dopo appare la schermata di errore irreversibile (0E in 0028:C00078C0)e devo spegnere e riaccendere il PC.
5: Ho fatto partire norton antivirus (modalità provvisoria)e anche lui a un certo punto da errore irreversibile (OE in 0028:C00078C0 di VXD VMM (01)+ 0000068C0)e devo spegnere e riaccendere il PC.
6: Ho riavviato in modalità normale, SPYBOT non rileva più nulla,AD-AWARE ne rileva due (winfavorite/bargain buddy)e son riuscito a eliminarli.
7: Dopo averti inviato questo messaggio provo a scansionare con norton.
Penso che il problema sia risolto tranne quel TRUSTED ZONE, che ne pensi?
Grazie,grazie,grazie.
Ciao
<img src=icon_smile_approve.gif border=0 align=middle><img src=icon_smile_approve.gif border=0 align=middle><img src=icon_smile_approve.gif border=0 align=middle><img src=icon_smile_approve.gif border=0 align=middle><img src=icon_smile_approve.gif border=0 align=middle><img src=icon_smile_big.gif border=0 align=middle><img src=icon_smile_big.gif border=0 align=middle>
Torna in alto
 
alfonso
Inviato: Thursday, January 13, 2005 12:42:10 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Fai un nuovo log dalla modalità normale e invialo cosi controlliamo.
Collaboratore Aiutamici
Torna in alto
 
aleyandro
Inviato: Thursday, January 13, 2005 1:05:15 PM

Rank: AiutAmico

Iscritto dal : 6/3/2004
Posts: 378
Logfile of HijackThis v1.99.0
Scan saved at 13.06.28, on 13/01/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\HIDEFOLDERS\HF.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
C:\PROGRAMMI\LIBEROPOPS\LIBEROPOPSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\EXPLORER.EXE
D:\DOCUMENTI\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.iol.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alessandro
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CloneCDTray] "D:\Clone cd\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Name of App] C:\PROGRAMMI\SAMSUNG\FW LIVEUPDATE\LIVEUPDATE.EXE
O4 - HKLM\..\Run: [hf] C:\PROGRAMMI\HIDEFOLDERS\HF.EXE /s
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
O4 - HKCU\..\Run: [IDMan] D:\DOCUMENTI\IDMAN.EXE /onboot
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: LiberoPOPs -v.lnk = C:\Programmi\LiberoPOPs\liberopopsd.exe
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O15 - Trusted Zone: *.http://www.master69.biz
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = libero
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.216.172.162
Torna in alto
 
aleyandro
Inviato: Thursday, January 13, 2005 1:05:54 PM

Rank: AiutAmico

Iscritto dal : 6/3/2004
Posts: 378
Logfile of HijackThis v1.99.0
Scan saved at 13.06.28, on 13/01/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\HIDEFOLDERS\HF.EXE
C:\PROGRAMMI\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
C:\PROGRAMMI\LIBEROPOPS\LIBEROPOPSD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\EXPLORER.EXE
D:\DOCUMENTI\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.iol.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alessandro
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CloneCDTray] "D:\Clone cd\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Name of App] C:\PROGRAMMI\SAMSUNG\FW LIVEUPDATE\LIVEUPDATE.EXE
O4 - HKLM\..\Run: [hf] C:\PROGRAMMI\HIDEFOLDERS\HF.EXE /s
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
O4 - HKCU\..\Run: [IDMan] D:\DOCUMENTI\IDMAN.EXE /onboot
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: LiberoPOPs -v.lnk = C:\Programmi\LiberoPOPs\liberopopsd.exe
O8 - Extra context menu item: Scarica con Download &Express - C:\Programmi\Download Express\Add_Url.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O15 - Trusted Zone: *.http://www.master69.biz
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = libero
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.216.172.162
Torna in alto
 
alfonso
Inviato: Thursday, January 13, 2005 11:48:15 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Non ci sono spyware nel log a parte quel Trusted, visto che il Norton Antivirus in modalità provvisoria si blocca durante la scansione, sicuramente hai qualche virus nel sistema, ti conviene formattare e reinstallare tutto a nuovo.
Collaboratore Aiutamici
Torna in alto
 
aleyandro
Inviato: Friday, January 14, 2005 6:59:21 AM

Rank: AiutAmico

Iscritto dal : 6/3/2004
Posts: 378
OK,grazie<img src=icon_smile_sad.gif border=0 align=middle>
Ciao<img src=icon_smile_dead.gif border=0 align=middle>
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Controllo log,grazie


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.