Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

LOG HIJACK - cosa elimino? Opzioni
pidue
Inviato: Saturday, February 24, 2007 11:39:25 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
La RIGA 04 a cui alludi si riferisce al modem ed è legittimo.
Il LinkOptimizer probabilmente si nasconde dietro quella riga che non riesci a fixare e che trovo strano, perchè fa riferimento a un file che non c'è più. Questa per intenderci:

<font color=red>
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
</font id=red>

Rifai una scansione con VirIt, <b>in modalità provvisoria</b> e siccome Virit il virus l'ha trovato, mi sembra strano che non lo cancelli. Cambia le impostazioni e mettile su <b>Ricerca con rimozione virus automatica</b>. Poi rifai una scansione con HijackThis e vedi se riesci a fixare la riga.
Ciao, ti leggo domani.

Edited by - pidue on 02/24/2007 23:44:41



frankie09
Inviato: Sunday, February 25, 2007 2:19:13 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Ciao P2 - fatto tutto e sempre seguendo le procedure. e sempre VIR IT me lo rimuove sto linkoptimizer e sempre me lo ritrovo li.
Sia in provvisoria che in definitiva.
Ti allego il nuovo log (dove aver provato a rimuovere il BHO name - che ritorna puntualmente al suo posto)
Logfile of HijackThis v1.99.1
Scan saved at 14.04.09, on 25/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\Frankie\IMPOST~1\Temp\Rar$EX50.907\myuninst.exe
C:\Programmi\Accessori\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR)\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

ORA..secondo la mia modesta opinione di abbastanza incompetente..dal momento che questi bastards vengono sparati con immagini .tif e che io avevo rimosso e reinstallato la stampante ma il file DIGITAL IMAGE non se ne andava..il problema è residente nei file HP duplicati.
INfatti all'avvio del PC tra le applicazioni io mi ritrovo 4 files che iniziano con hp e finiscono con .exe che prima non avevo.
facendo cerca files (.tif) ho trovato un sacco di immagini duplicate .tif create dal pc - le ho eliminate e ora il mio pc funziona bene..ho tipo neutralizzato gli effetti del link optimizer..ma è ancora li e non si elimina neanche col regedit.
HO fatto passare MYUNISTALLER
e guarda cosa mi dice ai files hp che ti allego. I primi 3 mi sembrano a posto ma guarda il quarto:
==================================================
Entry Name : Disco ricordo HP
Product Name : HP Memories Disc Creator Software
Version : 1.0.4.805
Company : Hewlett-Packard Company
Description : hpod module
Obsolete : No
Uninstall : Yes
Installation Folder : C:\Programmi\Hewlett-Packard\Memories Disc
Web Site : http://www.hp.com
Installation Date : 29/01/2007 22.29.43
Uninstall String : MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}
Quiet Uninstall : No
Registry Key : {B376402D-58EA-45EA-BD50-DD924EB67A70}
Installer : Windows Installer
Root Key : HKEY_LOCAL_MACHINE
==================================================

==================================================
Entry Name : Foto e imaging HP 2.0 - All-in-One
Product Name :
Version : 1.10.0000
Company : Hewlett-Packard Company
Description :
Obsolete : No
Uninstall : Yes
Installation Folder :
Web Site : http://www.hp.com
Installation Date : 29/01/2007 22.29.51
Uninstall String : MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
Quiet Uninstall : No
Registry Key : {9867A917-5D17-40DE-83BA-BEA5293194B1}
Installer : Windows Installer
Root Key : HKEY_LOCAL_MACHINE
==================================================

==================================================
Entry Name : Foto e imaging HP 2.0 - All-in-One Drivers
Product Name :
Version : 1.10.0000
Company : Hewlett-Packard Company
Description :
Obsolete : No
Uninstall : Yes
Installation Folder :
Web Site : http://www.hp.com
Installation Date : 29/01/2007 22.29.51
Uninstall String : MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
Quiet Uninstall : No
Registry Key : {6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
Installer : Windows Installer
Root Key : HKEY_LOCAL_MACHINE
==================================================

==================================================
Entry Name : Foto e imaging HP 2.0 - hp psc 1200 series
Product Name : ICE 1.1
Version : 1,2,0,38
Company : Hewlett-Packard
Description : ICE 1.1 Uninstaller
Obsolete : No
Uninstall : Yes
Installation Folder : C:\Programmi\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\setup
Web Site :
Installation Date : 29/01/2007 22.30.17
Uninstall String : C:\Programmi\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
Quiet Uninstall : No
Registry Key : HP PSC 1200 Series
Installer : Unknown
Root Key : HKEY_LOCAL_MACHINE
==================================================

attendo tuoi commenti.
Grazie - ciao!!
frankie09
Inviato: Sunday, February 25, 2007 2:25:59 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
e guarda queste righe..
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?

ti sembrano normali?
frankie09
Inviato: Sunday, February 25, 2007 2:50:39 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
p2 = si!! il problema sta li! in HP
ho fatto una ricerca dei file che contenessero hp e guarda un po queste estensioni (naturalmente questi files sono intoccabili - non si elimininano ne altro)
HP PSC 1200 series
va a finire in documents and settings\all users\menu avvio\programmi\Hewlett-packard
e poi ho questo in WINDOWS:
$_hpcst$.hpc

e un casino di file di collegamento che partono da hp per essere rimandati a cartelle
di pc o esecuzione automatica

e ho un hp psc 1000 (e non 1200) che mi invia
a
"C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe"
uno di quelli che stanno nelle applicazioni all'avvio di pc..
(anche questo non si può eliminare)

grrr

come le elimino tutte queste schifezze??
c'è un programma elima schifezze creata da link optimizer?

pidue
Inviato: Sunday, February 25, 2007 3:32:13 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, ho fatto ricerche in rete e mi sa che sei stata scalognata, perchè ti sei preso una rogna non da poco.
Prova accedere ai file exe col numero e dimmi se sono scritti in verde.

Il tuo problema sta nel fatto che quella maledetta riga 02 non fa alcun riferimento a nessun file. Di solito, quando c'è il linkoptimizer la riga 02 indica il file (nome random e percorso). Il nome, cinque lettere a caso,, termina con <b>1</b>, seguito dall'estensione (dll o exe). Poi c'è scritto <i>file missing</i>, perchè il rootkit nasconde a HijackThis il file infetto. Nel nostro caso bisognerebbe individuare l'exe (o la dll) verde (se c'è). Comunque ho trovato qualcosa di interessante. Vai nel sito sotto, si parla proprio della riga 02 e si danno indicazioni su come rimuoverla. Fammi sapere, ciao.

http://www.p2pforum.it/forum/showthread.php?t=116381



frankie09
Inviato: Sunday, February 25, 2007 3:53:08 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Si p2 questa cosa qui l'ho fatta l'altro giorno per cercare di eliminare la riga..ricordi..col regedt 32 te l'avevo anche detto..ma non mi consente di farlo..access denied..quando do l'ok per il controllo non me lo accetta..

cosa ne pensi del mio discorso dei file hp .exe?

non ho capito invece cosa devo fare per vedere se sono verdi ..cioè cosa vuoi dire con questo:

Prova accedere ai file exe col numero e dimmi se sono scritti in verde. ?? grazie - ciao!
pidue
Inviato: Sunday, February 25, 2007 4:30:14 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
I file verdi sono tali perchè crittografati. E' un trucco del LinkOptimizer, per non farsi cancellare.

Dovresti controllare le cartelle di cui ti do il percorso e vedere se ci sono file verdi (ovviamente devi rendere visibili tutte le cartelle):


C:\Programmi\File Comuni\Services
C:\Programmi\File Comuni\Microsoft Shared
C:\Programmi\File Comuni\System

Poi vai su C:\Documents and Settings e vedi se c'è un'utenza random

Digita <b>:temp%</b> da Start >> Esegui e vdi se ci sono dei file exe nella cartella temp.

Poi ti invito caldamente: vai qui sotto, è indicata la procedura per la rimozione di quella riga. Ciao.

http://forum.swzone.it/showthread.php?t=58434andpage=5

PS Davanti alla parola <b>temp</b> leggi il segno di percentuale, non di due punti. E' un altro mistero di questo sito.




frankie09
Inviato: Sunday, February 25, 2007 6:03:19 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Se per file verdi intendi quelli che hanno l'icona con un ingranaggio giallo e uno verde si ce ne sono..ma intende quelli?

sono andata su swzone al link che mi hai dato ma ho trovato le indicazioni per la rimozione di un altro BHO active x con la cancellazione di un file che non io non ho..huffff

quindi ?
ciao
pidue
Inviato: Sunday, February 25, 2007 7:48:21 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Per verdi intendo scritti in verde. Hai fatto tutti i controlli?
Adesso scarica questo software. Si chiama <b>Process Explorer</b> e, meglio del TaskManager, fa vedere tutto ciò che hai in esecuzione. Non serve installarlo. Decomprimilo e lancia l'eseguibile. Guarda bene i processi e i programmi che li generano.

http://download.sysinternals.com/Files/ProcessExplorerNt.zip

Non mi hai detto una cosa: a parte la riga 02, come si comporta adesso il tuo pc?
Ciao.




pidue
Inviato: Sunday, February 25, 2007 9:11:43 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, più ci penso e più mi convinco che quella BHO è solo un residuo del virus. Forse ci siamo (sono convinto al 90 per cento):
Apri il registro così:
Start >> esegui >> regedit. Prima fai un backup così:

compatta tutte le voci cliccando col destro e poi su <b>comprimi</b>, finche ti rimane solo "Risorse del computer", poi col tasto destro clicca sull'icona, scegli <b>Esporta</b>, ricordati dove salvi il registro.

Poi vai su:

Modifica >> Trova. Incolla la stringa:
<b>{DA39029C-D291-A968-3FF4-D0990D5CB5FC} </b>

Appena la trovi, clicca col destro, vai su >> Autorizzazioni. Sotto la voce Protezione fai un clic sul tuo nome utente. Poi spunta la voce <b> controllo completo</b>, applica.

Lancia HijackThis. A questo punto dovresti riuscire a fixare la schifosa.



frankie09
Inviato: Monday, February 26, 2007 6:12:19 AM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Ciao..veramente te l'avevo detto che ora si comportava abbastanza bene..ma ho ancora due browser corrotti: iexplorer e opera (che devo fare con questi??) e ieri mi ha rifatto la schermata blu di arresto pc .

ho scaricato il programma che mi hai detto (Process Explorer) e mi evidenzia una sola riga in rosso WMIPRVSE.EXE (company:MIcrosoft) nascosta sotto un SVCHOST.EXE
Poi ho un Deferred Procedure calls (DPCs) sotto Idle system
Poi winlogon.exe con strana icona notturna
Soopler subsystem application (spoolv.exe)
UN PAStiSVC.exe

ecco queste sono le cose che non conosco..
che dici?
ciao!
frankie09
Inviato: Monday, February 26, 2007 6:14:50 AM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
P2 questa procedura del regedit
l'ho già fatta.
Non mi permette il completamento ovvero non mi accetta il controllo completo una volta selezionato il mio nome utente per le autorizzazioni....


<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ciao, più ci penso e più mi convinco che quella BHO è solo un residuo del virus. Forse ci siamo (sono convinto al 90 per cento):
Apri il registro così:
Start >> esegui >> regedit. Prima fai un backup così:

compatta tutte le voci cliccando col destro e poi su <b>comprimi</b>, finche ti rimane solo "Risorse del computer", poi col tasto destro clicca sull'icona, scegli <b>Esporta</b>, ricordati dove salvi il registro.

Poi vai su:

Modifica >> Trova. Incolla la stringa:
<b>{DA39029C-D291-A968-3FF4-D0990D5CB5FC} </b>

Appena la trovi, clicca col destro, vai su >> Autorizzazioni. Sotto la voce Protezione fai un clic sul tuo nome utente. Poi spunta la voce <b> controllo completo</b>, applica.

Lancia HijackThis. A questo punto dovresti riuscire a fixare la schifosa.
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>
frankie09
Inviato: Monday, February 26, 2007 6:30:44 AM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
p2 ho rifatto cmq la procedura della chiave in regedit.
Nelle autorizzazioni avevo everyone.
Ora ho rimosso everyone e ho messo il mio nome utente
ho dato l'ok per i controlli e me lo ha accettato.
HO fatto hijack e non mi ha rimosso il BHO
vedi log nuovo che ti attacco alla fine.

DUE DOMANDE - PLEASE MI RISPONDI?
1)
COSA FACCIO ADESSO DEL REGISTRO SALVATO?
LO TENGO LI? O LO ELIMINO?

2) NEL CERCARE NOME UTENTE DA SELEZIONARE (In autorizzazioni) ho visto che ci sono dei GUESTS con la crocetta rossa sopra...) e un tot di users..hmmm???

Logfile of HijackThis v1.99.1
Scan saved at 6.26.22, on 26/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Outlook Express\MSIMN.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Accessori\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR)\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEC72201-A8A7-4CF5-AE18-2A5B4D198E7F}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

Logfile of HijackThis v1.99.1
Scan saved at 6.26.22, on 26/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\VEXPLITE\MONLITE.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\BCMSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\VEXPLITE\viritsvc.exe
C:\Programmi\Outlook Express\MSIMN.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Accessori\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR)\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEC72201-A8A7-4CF5-AE18-2A5B4D198E7F}: NameServer = 62.211.69.150 212.48.4.15
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe



frankie09
Inviato: Monday, February 26, 2007 6:57:22 AM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
p2..adesso ti dico questa..
dopo che avevo cambiato le autorizzazioni e salvato tutto..e ti avevo mandato il log..vado a ricontrollare
sotto la chiave c'è una nuova cartella figlio
e dentro dinuovo le autorizzazioni "everyone"
grrr
ho ricambiato tutte le autorizzazioni a mio nome figli controfigli eredi e quant'altro
..qualcosa è cambiato!
Vir it non mi rileva più il link optimizer B !!
ma nell'hijack ho ancora il BHO
Credo che per eliminare questo BHO no name
devo eliminare un'altra riga nell'Hijack

per esempio..cosa è questo:
riga 023 STI simulator?

(mi rispondi anche alle altre domande sull'altro post?) graziee - ciao

spinotto_tondo
Inviato: Monday, February 26, 2007 9:41:42 AM
Rank: Member

Iscritto dal : 2/25/2007
Posts: 0
.

Edited by - spinotto_tondo on 02/26/2007 09:49:12
pidue
Inviato: Monday, February 26, 2007 9:52:34 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ehm...una domanda per volta:

il virus ha evidentemente modificato alcuni parametri del tuo browser. Per ripristinare IE dovresti scaricare due tool da qui. Ci sono anche le istruzioni:
http://steven.altervista.org/files/utility.html

se VirIt non ti rileva più il virus, tanto meglio, se pensi che all'inizio non ti partiva nemmeno HijackThis;

quella riga 023 è un servizio che fa rimento alla tua webcam, quindi innocua;

dovresti rifare la procedura del registro, in modo diverso. Quando arrivi al punto "Autorizzazioni" clicca su "Avanzate" e nella finestra che si apre fai un clic sul Tab "Proprietario", seleziona il tuo nome utente e poi "Applica". In questo modo la casella "Controllo" dovrebbe attivarsi e tu spunta la voce "Controllo completo". Questa è l'unica maniera.

Se hai fatto il BackUp del registro, io proverei a eliminare la chiave e vedere se poi c'è ancora nel log;

il BHO, ormai è certo, è solo un rimasuglio del virus. L'eliminazione di quella riga è una questione di autorizzazioni che dovresti risolvere con la procedura descritta sopra;

il backup del regidtro non cestinarlo, quando si manipola il registro le cautele non sono mai troppe;

ultima cosa, ma forse la più importante, l'avevo notato nei post precedenti e mi dimenticavo sempre di fartelo notare:

il tuo Internet Explorer è scaduto, aggiornalo, anzi, installa subito il nuovo IE 7. E poi dovresti installare il sp2. Se hai scelto Windows come Sistema Operativo (anche a malincuore) <b>devi tenerlo aggiornato</b>, perchè gli aggiornamenti per la gran parte vanno ad un aumentare la sicurezza. Adesso devo andare a scuola. Speriamo che a Pasqua sia tutto finito. <img src=icon_smile.gif border=0 align=middle><img src=icon_smile_wink.gif border=0 align=middle>
Ciao e buona giornata.


<b>PS</b> Non far caso al post precedente. Non so chi sia questo spinotto.



frankie09
Inviato: Tuesday, February 27, 2007 12:35:34 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
Carissimo P2!! ti stavo per mandare notizie tragiche..perché dopo aver scaricato quei due bagagli per IE indovina un po' chi mi riappare in ViR it !!?? il LO B e pure di nuovo il D!!
grrr..ho maneggiato con la chiave..non so cosa ho fatto..
chiudo riavvio in modalità provv
lancio il VIR IT i LINKOPT sono ancora li
faccio passare l'HJack -
e finalmente riesco a eliminare il BHO.
Rilancio il VIR IT e i Link IPT sono spariti..
bohhhhh

questo è il nuovo log..che mi dici??
Logfile of HijackThis v1.99.1
Scan saved at 12.24.09, on 27/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Accessori\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [WinPatrol] (INSTALLDIR)\WinPatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167737173970
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

Grazie!!

PS:_ cosa insegni? informatica?
pidue
Inviato: Tuesday, February 27, 2007 1:59:06 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<img src=icon_smile.gif border=0 align=middle><img src=icon_smile.gif border=0 align=middle><img src=icon_smile.gif border=0 align=middle><img src=icon_smile.gif border=0 align=middle><img src=icon_smile.gif border=0 align=middle>

Ciao, la schifosa ha finalmente tolto il disturbo. Il log è pulito come uno specchio. Ho l'impressione che siamo riusciti a liberarci della bestiaccia e speriamo che non sia solo un'impressione. Dai una pulita generale con <b>CCleaner</b> e pulisci il registro con <b>RegSeeker</b>. Cancella solo le chiavi verdi.

<b>Fai subito gli aggiornamenti come ti ho indcato (<font color=red>Sp2 e IE</font id=red>) e inoltre scarica la patch AntiLinkoptimizer</b>, altrimenti il virus lo riprendi in poco tempo.

http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx

Ciao e buona giornata.

<b>PS</b> Insegno matematica e scienze presso una scuola media.









Edited by - pidue on 02/27/2007 14:16:14



frankie09
Inviato: Tuesday, February 27, 2007 4:23:37 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
fico no!! sei braov!
p2 io ho provato a fare gli aggiornamenti ma non me li fa..e poi ho paura di prendermi il L.O. da li..
dice che li sta cercando cercando cercando
ma continua a cercare e non fa nulla..
rimane li a cercare..
che faccio??

grazie <img src=icon_smile.gif border=0 align=middle>
frankie09
Inviato: Tuesday, February 27, 2007 4:50:30 PM
Rank: Member

Iscritto dal : 2/6/2007
Posts: 12
la parola era ovviamente "bravo"..e pensa che faccio la scrittrice..
p2
non mi scarica ne patch ne aggiornamenti perché dice che il linguaggio non è lo stesso..hm..
e perché?
ho ovviamente selezionato win xp sp 1..ma..nada..
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.