Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Mi controllate il Log di Hijack -Grazie- Opzioni
valexg
Inviato: Monday, January 29, 2007 6:56:54 PM
Rank: Member

Iscritto dal : 1/29/2007
Posts: 1
Problemi:
1)Ho due dialer installati che non riescono ad uscire dal mio PC in quanto ho un Ruter ADSL, rompono continuamente facendo apparire una finesta nella quale in alto viè scritto rdpslip oppure rsoprov al centro della finesta vi è scritto "non ho trovato nessun modem per la connessione.
2)Mentre navigo in internet appare una finestra, in alto vi è indicato un sito www.extremeaccess.info/?rid=3 al centro della finestra vi è scritto non è possibile procedere, premendo su Ok oppure sulla X questo sito va ad inserirsi come pagina iniziale al posto di google, devo stare continuamente a cambiare impostazioni internet.
Tutto ciò accade o quando navigo in internet o basta semplicemente che ho il ruter acceso.

Logfile of HijackThis v1.99.1
Scan saved at 18.47.46, on 29/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\rdpslip.exe
C:\Programmi\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.extremeaccess.info/?rid=3
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sctrlmgr] C:\WINDOWS\System32\sescmgr.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.contentdiscount.info
O15 - Trusted Zone: http://www.extremeaccess.info
O15 - Trusted Zone: *.realsearch.cc
O15 - Trusted Zone: www.scattiprivati.com
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD 2002 Ita\InstFred.ocx
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - file://C:\Programmi\AutoCAD 2002 Ita\SysVerChk.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD 2002 Ita\AcDcToday.ocx
O16 - DPF: {821A7D92-7685-46B6-97DF-6DC91EB1D5CF} - file://E:\CAB\BtWeb20.CAB
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002 Ita\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe



Sponsor
Inviato: Monday, January 29, 2007 6:56:54 PM

 
pidue
Inviato: Monday, January 29, 2007 8:16:01 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao ,
- <b>Disattiva il ripristino di configurazione di sistema</b>;

- <b>Riavvia in modalità provvisoria</b>;
- <b>rendi visibili le cartelle nascoste:</b>

- da Risorse del computer >> Strumenti >> Opzioni cartella >> visualizzazione
metti la spunta su:
<i>"Visualizza file e cartelle nascoste"</i>;

toglila da:
<i>"Nascondi file protetti del sistema (consigliato)"</i>

Chiudi HJT in una cartella sua, non sul desktop, per esempio in C:\HJT;

Avvia hijackthis, con tutte le applicazioni chiuse,premi su <b>do a system scan only</b>, spunta ed elimina ( premi il tasto<b>fix checked)</b> la voci che sotto ti elenco:
____________________________________________
<font color=red>
<b>TUTTE le 015</b> e poi:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.extremeaccess.info/?rid=3
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O4 - HKLM\..\Run: [sctrlmgr] C:\WINDOWS\System32\sescmgr.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - file://C:\Programmi\AutoCAD 2002 Ita\SysVerChk.ocx
O16 - DPF: {821A7D92-7685-46B6-97DF-6DC91EB1D5CF} - file://E:\CAB\BtWeb20.CAB
</font id=red>__________________________________________

- Cerca ed elimina i file e le cartelle in rosso
=========================================
C:\WINDOWS\system32\<font color=red>\rdpslip.exe</font id=red>
C:\WINDOWS\system32\<font color=red>sescmgr.exe</font id=red>
C:\Programmi\File comuni\<font color=red>Autodesk Shared\acstart17.exe</font id=red>

===========================================

- Una volta terminata l'operazione di disinfezione di Hijackthis, apri
Pannello di controllo >> Opzioni internet >> Programmi >> premi il pulsante
"Ripristina impostazioni web". Conferma con OK.

Segui il punto <b>1</b> qui sotto <b>Operazioni preliminari</b>:
http://www.microsoft.com/italy/technet/community/mvp/editoriali/spyware.mspx

Elimina tutto il contenuto della cartella Temp nel tuo profilo.

- Svuota il Cestino.

- <b>Alla fine:</b>

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e crea un nuovo punto di ripristino.





valexg
Inviato: Saturday, February 10, 2007 12:42:31 PM
Rank: Member

Iscritto dal : 1/29/2007
Posts: 1
Ciao, caro pidue, dopo aver eseguito quanto mi hai raccomandato di fare, ho chiuso il pc e l'ho riavviato in modalita normale, ho di nuovo lanciato Hijack ed ho fatto una nuova scansione premendo il tasto Do a system scan only, le righe contrassegnate da 015 sono ancora presenti, anche se risultano inserite nella cartella di backups e successivamente da me cancellati. ciao e grazie.
valexg
Inviato: Saturday, February 10, 2007 12:43:36 PM
Rank: Member

Iscritto dal : 1/29/2007
Posts: 1
Ciao, caro pidue, dopo aver eseguito quanto mi hai raccomandato di fare, ho chiuso il pc e l'ho riavviato in modalita normale, ho di nuovo lanciato Hijack ed ho fatto una nuova scansione premendo il tasto Do a system scan only, le righe contrassegnate da 015 sono ancora presenti, anche se risultano inserite nella cartella di backups e successivamente da me cancellati. ciao e grazie.
pidue
Inviato: Saturday, February 10, 2007 3:23:45 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, allora scarica questo script. Serve a pulire la Trusted Zone (tasto dx sul file e poi salvalo sul desktop):

http://www.mvps.org/winhelp2002/DelDomains.inf

Avvia in modalità provvisoria, tasto destro sul file DellDomains.inf salvato sul desktop e seleziona installa.



valexg
Inviato: Monday, February 12, 2007 6:53:46 PM
Rank: Member

Iscritto dal : 1/29/2007
Posts: 1
Caro PIDUE, ancora non ho eseguito l'ultimo tuo consiglio, ma ho notato che i problemi descritti nel messaggio iniziale, non si verificano piu mentre navigo o tengo il ruter acceso, nonostante le 015 sono ancora presenti se eseguo Hijack. Cosa mi consigli devo attuare il tuo ultimo consiglio?.
Volevo chiederti come devo fare per imparare anche io a riconoscere i processi legittimi di windows da quelli che non lo sono?. Puoi consigliarmi qualche sito dove vengono spiegate queste cose o qualche rivista? Grazie ti abbraccio.
pidue
Inviato: Monday, February 12, 2007 7:51:10 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao valexg, l'analisi del log si può fare in questo sito:
http://www.hijackthis.de/

Nel log sono elencati i processi che sono in esecuzione nel momento in cui viene effetuata la scansione. In questo sito c'è un analizzatore automatico che segna in verde i processi leggittimi e sicuri, in rosso quelli maligni e in giallo quelli sconosciuti. Va da sè che non ci si può fidare in toto di quello che suggerisce l'analizzatore automatico, perchè il suo database si arrichhisce giornalmente col contributo degli utenti. Certi processi che sono ritenuti "sconosciuti" o "sospetti", possono essere sicuri perchè l'analizzatore ancora non li conosce. Ci vuole molta esperienza, che si acquisisce tramite continue ricerche in rete o su altri forum.
Riguardo al tuo problema, le cose sono state risolte perchè sono state eliminate le cause che le provocavano.
Le righe 015 in sè non sono pericolosissime. Si tratta di siti, il cui link viene inserito a tua insaputa nella trusted zone. La trustd zone (zona sicura) è una sezione delle proprietà Internet dove dovrebbero esserci solo i siti sicuri. La puoi raggiungere cliccando sopra di te in questa finestra su Strumenti >> Opzioni Internet>> Protezione >> Siti attendibili >> (tasto) siti. Se trovi i link dei siti cui riferiscono le righe 015, le puoi rimuovere anche manualmente a meno che non le abbia scritte tu stesso, cosa di cui dubito. E' buona norma rimuovere dal tuo pc tutto quello che non è stato messo da te.



valexg
Inviato: Tuesday, February 13, 2007 4:54:26 PM
Rank: Member

Iscritto dal : 1/29/2007
Posts: 1
Caro pidue, ho eseguito quanto mi hai suggerito "Strumenti >> Opzioni Internet>> Protezione >> Siti attendibili >> (tasto) siti", ho trovato effettivamente i link dei siti a cui si riferiscono le righe 015, li ho rimossi manualmente, ed infine ho cliccato su Ok, sono uscito dalla scheda protezioni, ho chiuso il computer e l'ho riavviato, sono andato dinuovo sulla sceda protezione ed ho trovato sempre tra i siti attendibili i link 015, cio è stato ripetuto anche in modalità provvisoria e niente da fare quei link restano sempre li. Mistero!!! Ciao, grazie mille per gli aiuti che mi dai.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.