Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Mi controllate il LOG di Hijack Opzioni
ricji
Inviato: Friday, July 14, 2006 9:42:45 AM
Rank: Member

Iscritto dal : 7/14/2006
Posts: 1
Si aprono continuamente finestre di internet explorer, penso sia il virus trojan, si rigenera, impossibile radicarli.


Logfile of HijackThis v1.99.1
Scan saved at 9.13.38, on 14/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
C:\dfndrad_5.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\{BCADC4EA-0363-1040-1212-000320000027}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\ICROSO~1\dvdplay.exe
C:\Programmi\Common Files\?icrosoft\w?crtupd.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearch.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\TClock\TClock.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearchIndexer.exe
C:\Programmi\Grisoft\AVG Free\avgwb.dat
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Riccardo\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {895D1E06-A7CC-8118-CD38-8CBAD94D1CE1} - C:\WINDOWS\system32\oqmasc.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {B9702E77-8AF4-B62A-E079-CF979A0F31A0} - C:\WINDOWS\system32\oqmasc.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {24190DCF-E74F-4438-9315-A9DC92C69E7C} - C:\Programmi\Servizi in linea\horeconyj.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {895D1E06-A7CC-8118-CD38-8CBAD94D1CE1} - C:\WINDOWS\system32\oqmasc.dll
O2 - BHO: (no name) - {B9702E77-8AF4-B62A-E079-CF979A0F31A0} - C:\WINDOWS\system32\oqmasc.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programmi\ToolBar888\MyToolBar.dll
O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Programmi\ToolBar888\MyToolBar.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programmi\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdad_5.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrad_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmad_5.exe
O4 - HKLM\..\Run: [w017aba6.dll] RUNDLL32.EXE w017aba6.dll,I2 001519480017aba6
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SEAT PBAgent] C:\Programmi\SEAT\PagineBiancheDesktop\SeatPBAgent.exe
O4 - HKCU\..\Run: [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - HKCU\..\Run: [Ndbs] "C:\WINDOWS\ICROSO~1\dvdplay.exe" -vt yazr
O4 - HKCU\..\Run: [Tekgj] C:\Programmi\Common Files\?icrosoft\w?crtupd.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programmi\TClock\tclock_install.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: taskmgr.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0001.1119\it-it\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: &MyToolBar Search - res://C:\Programmi\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/230?f22c084841ee45ea8e3674c8ed7dbb6d
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0001.1119\it-it\msntabres.dll/229?f22c084841ee45ea8e3674c8ed7dbb6d
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Documents and Settings\All Users\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Documents and Settings\All Users\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.redfunny.com
O16 - DPF: {10F76067-C352-473B-94C9-5EE691429C48} (VBRunTimeInstaller.Bait) - http://agentsetup.paginebianche.virgilio.it/PBCab/VBRunTimeInstaller.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110638718901
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://agentsetup.paginebianche.virgilio.it/PBCab/msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2A9A14-7A88-40DC-B37A-29ADC57AE2C2}: NameServer = 192.168.1.99
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\sqripto.dll (file missing)
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\nkxpnt.dll (file missing)
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\mkrecr40.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: W2K PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Sponsor
Inviato: Friday, July 14, 2006 9:42:45 AM

 
steven75
Inviato: Friday, July 14, 2006 10:18:48 AM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Ciao , sei messo maluccio,
ma se porti 10 min di pazienza adesso ti preparo la procedura esatta da seguire ..
ricji
Inviato: Friday, July 14, 2006 10:26:18 AM
Rank: Member

Iscritto dal : 7/14/2006
Posts: 1
grazie steven75
ricji
Inviato: Friday, July 14, 2006 10:26:44 AM
Rank: Member

Iscritto dal : 7/14/2006
Posts: 1
grazie steven75
steven75
Inviato: Friday, July 14, 2006 10:45:54 AM
Rank: Member

Iscritto dal : 5/8/2006
Posts: 0
Allora:
- Scarica questi programmi (quelli che non hai)
Ti serviranno sia adesso per ripulire il log ma anche in seguito per la pulizia del tuo sistema.
<b>Antispyware e Protezioni</b>
Ad-aware - SpybotS&D - Spyware Blaster - CWShredder --)http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

<b>Antimlware</b>
Ewido
http://www.ewido.net/en/download/
PS: é shareware ma dopo i 14 gg di prova,smetterà di funzionare solo
la protezione in tempo reale, il programma potrai continuare ad aggiornarlo per fare lo scan del tuo pc.

<b>Pulizia files inutili</b>
Ccleaner -> <b>(Quando lo installi ricordati che se lasci le spunte di defuat ,verrà installata anche la toolbar yahoo)</b>
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=1223

<b>Pulizia chiavi di registro obsolete</b>
RegSeeker
http://www.aiutamici.com/software/descrizione.asp?CodSw=931

Per il log prosegui cosi:
- Scarica lo script per riparare la trusted zone
http://www.mvps.org/winhelp2002/DelDomains.inf (--->(tasto destro sul link e salvalo sul desktop)
- Portati nelle installazioni/applicazioni del pannello di controllo e disinstalla tutto quello che non hai installato tu..


- <b>Consiglio__</b>Stampati la pagina perché in modalità provvisoria non avrai accesso a internet

Poi:
- <b>Disattiva il ripristino di configurazione di sistema</b>,
guida-->> http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

- <b>Riavvia in modalità provvisoria</b>
guida-->> http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=NA

- <b>Assicurati di avere accesso a file e cartelle nascosti</b>
(Pannello di controllo--> Opzioni Cartella--> Visualizzazione) metti la spunta su:
1)Visualizza file e cartelle nascoste
2)Disattiva nascondi file protetti di sistema
- Ora tasto destro sul file <b>.inf</b> salvato sul desktop e seleziona installa

- Avvia hijackthis, metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su <b>fix checked</b>
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: (no name) - {895D1E06-A7CC-8118-CD38-8CBAD94D1CE1} - C:\WINDOWS\system32\oqmasc.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {B9702E77-8AF4-B62A-E079-CF979A0F31A0} - C:\WINDOWS\system32\oqmasc.dll
O2 - BHO: (no name) - {24190DCF-E74F-4438-9315-A9DC92C69E7C} - C:\Programmi\Servizi in linea\horeconyj.dll
O2 - BHO: (no name) - {895D1E06-A7CC-8118-CD38-8CBAD94D1CE1} - C:\WINDOWS\system32\oqmasc.dll
O2 - BHO: (no name) - {B9702E77-8AF4-B62A-E079-CF979A0F31A0} - C:\WINDOWS\system32\oqmasc.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programmi\ToolBar888\MyToolBar.dll
O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL
O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Programmi\ToolBar888\MyToolBar.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programmi\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [keyboard] C:\\kybrdad_5.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrad_5.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmad_5.exe
O4 - HKCU\..\Run: [auto__hloader__key] C:\WINDOWS\system32\hloader_exe.exe
O4 - HKCU\..\Run: [auto__antiav__key] C:\WINDOWS\system32\antiav_exe.exe
O4 - HKCU\..\Run: [Ndbs] "C:\WINDOWS\ICROSO~1\dvdplay.exe" -vt yazr
O4 - HKCU\..\Run: [Tekgj] C:\Programmi\Common Files\?icrosoft\w?crtupd.exe
O4 - HKCU\..\Run: [Tekgj] C:\Programmi\Common Files\?icrosoft\w?crtupd.exe
O8 - Extra context menu item: &MyToolBar Search - res://C:\Programmi\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.redfunny.com
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\sqripto.dll (file missing)
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\nkxpnt.dll (file missing)
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\mkrecr40.dll (file missing)

- Cerca e se ci sono elimina :
C:\<b>dfndrad_5.exe</b>
C:\WINDOWS\<b>ICROSO~1</b>-> cartella
:\Programmi\Common Files\<b>?icrosoft</b>-> cartella
C:\WINDOWS\system32\<b>oqmasc.dll</b>
C:\Programmi\<b>ToolBar888</b> -> cartella
<b>Nota__</b>se i file non compaiono in modalità provvisoria vanno cercati dalla modalità normale


- Dai una ripulita ai files inutili,temp etc con Ccleaner
PS:prima di usarlo vai in opzioni-->avanzate e togli la spunta da:
(elimina file di windows solo se piu vecchi di 48 ore)

- Elimina le chiavi di registro ormai inutili con RegSeeker

- Fai una scansione con il tuo antivirus e con i programmi elencati sopra [SpybotS&D / Ad-aware / Ewido]
- Applica le protezioni di spyware blaster

- Ritorna in modalità normale,e <b>posta un log aggiornato</b>

- Al limite fai anche uno scan online:
BitDefender
oppure
Panda
http://steven.altervista.org/files/scan.html

- PS__Alla fine delle procedure é importante:
1) ri-nascondere i file e le cartelle di sistema
2) Riattivare il ripristino configurazione di sistema
3) Creare un nuovo punto di ripristino -> http://steven.altervista.org/files/ripristino.html

<b>Importante__</b>
1)Dovresti installare un firewall diverso da quello di windows -> http://www.aiutamici.com/software/descrizione.asp?CodSw=56

2) dovresti aggiornare la Java Machine

3) Vedo tracce di due antivirus , eliminane uno
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.