Questo e' il secondo log Hijack "disastrato"
Grazie x il tuo prezioso aiuto.

Logfile of HijackThis v1.99.1
Scan saved at 11.05.41, on 13/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programmi\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\WINDOWS\system32\lateshow.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Microsoft Office\Office\OUTLOOK.EXE
C:\Programmi\File comuni\System\MAPI\1040\nt\MAPISP32.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\lateshow.exe
F:\Sicurezza\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gooogle.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSMalwareKit] C:\WINDOWS\system32\MalwareRemover.exe
O4 - HKLM\..\Run: [fix] C:\WINDOWS\system32\trust.exe
O4 - HKLM\..\Run: [MSGlobal] C:\WINDOWS\system32\Idro.exe
O4 - HKLM\..\Run: [MicrosoftFirewall] C:\WINDOWS\system32\MSFirewall.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [InstantTray] C:\Programmi\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programmi\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [wke.exe] C:\WINDOWS\system32\wke.exe
O4 - HKCU\..\Run: [Microsoft Security] C:\WINDOWS\system32\msantivir.exe
O4 - HKCU\..\Run: [lateshow.exe] C:\WINDOWS\system32\lateshow.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.acquadirose.com
O15 - Trusted Zone: www.cywanstorage.biz
O15 - Trusted Zone: www.defaultbar.com
O15 - Trusted Zone: www.forteforte.com
O15 - Trusted Zone: www.gooogle.bz
O15 - Trusted Zone: www.nanobyte.biz
O15 - Trusted Zone: www.phishingfix.biz
O15 - Trusted Zone: www.playmore.biz
O15 - Trusted Zone: www.preferiti-windows.com
O15 - Trusted Zone: www.ricercadoppia.com
O15 - Trusted Zone: www.scalalap.com
O15 - Trusted Zone: www.semeterapia.com
O15 - Trusted Zone: www.super-videochat-community.biz
O15 - Trusted Zone: www.tuttaqualita.com
O15 - Trusted Zone: www.umts-gprs-mondo-telefonino-cellulare.biz
O16 - DPF: {381E86E3-E7CE-46FC-BA2C-E83D3B6E4309} - http://www.cywanstorage.biz/WWE/Catto.exe
O16 - DPF: {3A4DCD02-A451-4799-9E1C-AC0D4F769A97} - http://www.cywanstorage.biz/PHFX/MSPhish.exe
O16 - DPF: {4360E841-FE3E-427F-98DC-7ABC8ACE6665} - http://www.cywanstorage.biz/FFF6/FotoVacanze.exe
O16 - DPF: {8838BDA8-9C2E-480C-8926-3104C642D7E4} - http://www.gooogle.bz/cywtr.exe
O16 - DPF: {96966B7C-CA72-4928-895B-1C2F0E5302A9} - http://www.cywanstorage.biz/CXDF2/pialla.exe
O16 - DPF: {9F5BB9E1-31AE-4A13-8734-15CED0F60A3D} (myActiveXCOM Class) - http://www.gooogle.bz/lateshow.cab
O16 - DPF: {EA5B2F8A-2094-47A1-ADC5-373E93EAF936} - http://www.cywanstorage.biz/DRT65/IBWire.exe
O16 - DPF: {EB5CDBC6-DBA4-48BC-B888-5E2CFF9DF3CD} - http://www.playmore.biz/pop/MSF.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD828BEB-9967-4587-B7D2-D19DC371DBF3}: NameServer = 193.70.152.15,193.70.152.25
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

ciao,
* Scarica <b><u>Ewido</u></b>
NOTA__ é shareware ma dopo i 30 gg di prova,smetteranno di funzionare solo la protezione in tempo reale e gli aggiornamenti automaticim ma il programma potrai continuare ad aggiornarlo per fare lo scan del tuo pc.

<b>Pulizia files inutili</b>
<b><u>Ccleaner</u></b>
<b>(Quando lo installi ricordati che se lasci le spunte di defuat ,verrà installata anche la toolbar yahoo)</b>

<b>Pulizia chiavi di registro obsolete</b>
<b><u>RegSeeker</u></b>

Per il log prosegui cosi:
- Scarica lo script per riparare la <b><u>trusted zone</u></b> (---) <i>tasto destro sul link e salvalo sul desktop</i>
- Portati nelle installazioni/applicazioni del pannello di controllo e disinstalla tutto quello che non hai installato tu..

---

<b>Consiglio__</b>
- Metti hijackthis in una cartella a lui dedicata,es;(C:\HJT) altrimenti non sarà in grado di fare il backup delle voci rimosse
- Stampati la pagina perché in modalità provvisoria non avrai accesso a internet

---

Poi:
- <b><u>Disattiva il ripristino di configurazione di sistema</u></b>,

- <b><u>Riavvia in modalità provvisoria</u></b>

- * <b>Assicurati di avere accesso a file e cartelle nascosti</b>
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) metti la spunta su: <i>Visualizza file e cartelle nascoste</i>
2) Disattiva: <i>nascondi file protetti di sistema</i>

- Ora tasto destro sul file <b>.inf</b> salvato sul desktop e seleziona installa

- Avvia hijackthis , clicca su <b>Do a System Scan Only</b> metti la spunta alle voci che andro ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su <font color=red><b>fix checked</b></font id=red>
O4 - HKLM\..\Run: [MSMalwareKit] C:\WINDOWS\system32\MalwareRemover.exe
O4 - HKLM\..\Run: [fix] C:\WINDOWS\system32\trust.exe
O4 - HKLM\..\Run: [MSGlobal] C:\WINDOWS\system32\Idro.exe
O4 - HKLM\..\Run: [MicrosoftFirewall] C:\WINDOWS\system32\MSFirewall.exe
O4 - HKCU\..\Run: [wke.exe] C:\WINDOWS\system32\wke.exe
O4 - HKCU\..\Run: [Microsoft Security] C:\WINDOWS\system32\msantivir.exe
O4 - HKCU\..\Run: [lateshow.exe] C:\WINDOWS\system32\lateshow.exe
tutte le 015 e 016

* cerca ed elimina ;
C:\WINDOWS\system32\<b>lateshow.exe</b>
<b>Nota__</b>se i file non compaiono in modalità provvisoria vanno cercati dalla modalità normale

---

Fai uno scan con il tuo antivirus e con Ewido

- Ritorna in modalità normale,e facci sapere come va ...

-- Al limite fai anche uno <b><u>scan online</u></b>

* Dovresti installare anche un firewall all'altezza e disabilitare quello di Windows
_________________________________________

<b>-- PS__</b>Alla fine delle procedure é importante:
1) ri-nascondere i file e le cartelle di sistema
2) Riattivare il ripristino configurazione di sistema
3) Creare un nuovo punto di ripristino -> http://steven.altervista.org/files/ripristino.html



Edited by - steven75 on 10/13/2006 15:03:16

<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Come fai ad analizzare e capire quali sono le chiavi e i relativi file da eliminare con HiJack.C'e' un programma apposito oppure quale altro magheggio?
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
HijackThis non toglie i virus e i malware, hijackthis si limita ad analizzare i punti più sensibili del pc del punto di vista della sicurezza. Il log che produce va interpretato.
Il log può essere copiato e incollato per la sua analisi nella pagina di cui ti do il link in fondo, ma il fai date è pericoloso se non si è esperti. Se provi ad analizzare un log, troverai che molti voci l'analizzatore automatico le considera "sconosciute", questo perchè quelle voci non esistono probabilmente nel data base. Figurati che file relativi alla scheda Wireless del mio portatile risultano addirittura "sospetti". Pure molti DNS dei provider (quelli della riga 17) risultano sospetti.
Il database si arricchisce giornalmente col contributo dei visitatori. Può anche succedere che quando clicchi sulle stelline, ti ritrovi con suggerimenti antitetici e allora solo un una persona esperta può dare la giusta interpretazione. HijackThis è un mezzo potente, ma diventa pericoloso in mani inesperte. Ciao.

http://www.hijackthis.de

---

Il controllo del log di hijack non è complicato, utilizzando il controllo on line, basta verificare le voci in rosso e gialle, per verificare bisogna copiare il file eseguibile e cercarlo nei motori di ricerca come google per vedere se ci sono corrispondenze, nella lista dei motori di ricerca ci sono alcuni siti che hanno un database di file pericolosi, come

http://www.liutilities.com/products/wintaskspro/processlibrary/

http://www.bleepingcomputer.com/startups/

http://www.castlecops.com/

però bisogna fare attenzione, alcune voci segnate in rosso potrebbero essere non pericolose ma utile al sistema, quindi bisogna fare controlli incrociati su diversi rapporti trovati nei motori di ricerca per stabilire la vera pericolosità, insomma mettendoci un po' di impegno chiunque potrebbe ripulirsi il proprio sistema, chi lo fa da tempo fa solo prima, le prime volte per ogni log impiegavo quasi un ora per ogni controllo perché volevo essere sicuro di non sbagliare e peggiorare la situazione dell'amico invece che risolverlo, oggi faccio il controllo di un log in pochi minuti.

Se volete imparare, il mio suggerimento è di fare il controllo dei log senza dare risposta, poi confrontatelo con la risposta data nel forum, se vedete che ci indovinate più volte, be una mano in più sul forum fa sempre comodo.

---

Collaboratore Aiutamici