Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

pc infetto controllo log Opzioni
fulvia69
Inviato: Thursday, March 01, 2007 11:01:14 AM
Rank: Member

Iscritto dal : 9/20/2001
Posts: 5
sto riesumando un portatile con w98
con un eufemismo lo definirei "leggermente" infetto ... partono connessioni ad internet ...

vorrei pulirlo per poi aggiornare iexplorer windows antivirus etc etc

mi controllate la log?
GRAZIE Fulvia

Logfile of HijackThis v1.99.1
Scan saved at 10.11.49, on 01/03/2007
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\JDBGMRG.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\WINDFIND.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPLPR.EXE
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
C:\PROGRAMMI\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE
C:\COMPAQ\CPQINET\CPQINET.EXE
C:\CPQS\BWTOOLS\SCCENTER.EXE
C:\PROGRAMMI\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMI\NIKON\NKVIEW5\NKVMON.EXE
C:\PROGRAMMI\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE
C:\PROGRAMMI\COMPAQ\EASY ACCESS BUTTON SUPPORT\EAUSBKBD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\HJT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.it/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.inail.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.it.netscape.com/it/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.it.netscape.com/keyword/:s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proacs.inail.it:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *10;(local)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: andRadio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [MSAdmin] C:\WINDOWS\SYSTEM\JDBGMRG.EXE
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Programmi\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [CPQInet] c:\compaq\CPQInet\CpqInet.exe
O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe
O4 - HKLM\..\Run: [OEMCLEANUP] c:\windows\OPTIONS\oemreset.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMMI\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [MSAdmin] C:\WINDOWS\SYSTEM\JDBGMRG.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe
O4 - Startup: Promemoria del Calendario di Microsoft Works.lnk = C:\Programmi\File comuni\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programmi\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O12 - Plugin for .swf: C:\PROGRAMMI\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/italy/start
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\windows\temp\demo.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Sponsor
Inviato: Thursday, March 01, 2007 11:01:14 AM

 
pidue
Inviato: Thursday, March 01, 2007 8:22:36 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, più che infetto il tuo pc è devastato. Ti do un consiglio da amico. Formattalo e non usarlo per andare in Internet, perchè Windows 98 già da Giugno 2006 non rilascia più aggiornamenti, per cui sarai sempre attaccata da ogni genere di virus. E poi perchè la versione di Internet (la 5) che hai sul pc è troppo vecchia e non so se potrai aggiornarla alla versione attuale, la 7.
Ciao.
Al limite installa Firefox.

Edited by - pidue on 03/01/2007 20:23:41



fulvia69
Inviato: Monday, March 05, 2007 10:08:47 AM
Rank: Member

Iscritto dal : 9/20/2001
Posts: 5
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
Ciao, più che infetto il tuo pc è devastato. Ti do un consiglio da amico. Formattalo e non usarlo per andare in Internet, perchè Windows 98 già da Giugno 2006 non rilascia più aggiornamenti, per cui sarai sempre attaccata da ogni genere di virus. E poi perchè la versione di Internet (la 5) che hai sul pc è troppo vecchia e non so se potrai aggiornarla alla versione attuale, la 7.
Ciao.
Al limite installa Firefox.

Edited by - pidue on 03/01/2007 20:23:41
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Edited by - pidue on 03/01/2007 20:23:41
[/quote]

Grazie per il consiglio anche se la mia premessa inplicava la cpnsapevolezza che non si tratta di una facile pulizia, ma il pc non è mio e il proprietario non vuole formattarlo.
per ora ho eliminato jdbgmrg.exe e windfind.exe perche legati a virus.
Mi suggerisci altre cose da pulire?
Grazie
fulvia
pidue
Inviato: Monday, March 05, 2007 1:17:17 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, se proprio insisti....

Chiudi HijackThis in una cartella a lui dedicata (possibilmente non sul desktop), altrimenti perdi i backup;

<b>avvia il computer in modalità provvisoria in questo modo</b>:
riavvia il computer e appena acceso, quando vedi le scritte bianche che appaiono velocemente sullo schermo nero premi ripetutamente il tasto F8;

Vai nel pannello di controllo e disinstalla quello che non hai installato tu.

Avvia hijackthis, con tutte le applicazioni chiuse, premi su <b>Do a system scan only</b> , spunta ed elimina <b>(fix checked)</b> le seguenti voci:
____________________________________________
<font color=red>
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *10;(local)
O4 - HKLM\..\Run: [MSAdmin] C:\WINDOWS\SYSTEM\JDBGMRG.EXE
O4 - HKLM\..\RunServices: [MSAdmin] C:\WINDOWS\SYSTEM\JDBGMRG.EXE
O4 - HKLM\..\RunServices: [atisrc2] C:\WINDOWS\SYSTEM\windfind.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\windows\temp\demo.exe
</font id=red>____________________________________________

Cancella i seguenti file e cartelle in rosso:


C:\WINDOWS\SYSTEM\<font color=red> JDBGMRG.EXE </font id=red>
C:\WINDOWS\SYSTEM\ <font color=red> WINDFIND.EXE\</font id=red>
C:\CPQS\BWTOOLS\<font color=red> SCCENTER.EXE </font id=red>
c:\windows\temp<font color=red>\demo.exe</font id=red>

Se non li trovi tutti in mod provvisoria, cercali in mod normale.


Pulisci la cronologia, I file temp Internet, I cookies e I file temp.

Dovresti aggiornare IE, ma non so se ti sarà possibile per quanto ti ho detto sopra .
Fai una scansione on-line:

http://www.bitdefender.com

Ciao.


Edited by - pidue on 03/05/2007 13:20:07



Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.