Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

cortesemente mi controllate questo log di hijack? Opzioni
Kalachado
Inviato: Friday, September 14, 2007 3:12:02 PM
Rank: AiutAmico

Iscritto dal : 3/23/2005
Posts: 63
Logfile of HijackThis v1.99.1
Scan saved at 1.23.49, on 14/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\DOCUME~1\Virgy\IMPOST~1\Temp\1188669551.dat.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
D:\HijackThis.exe
D:\HijackThis.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Alice] C:\Program Files\Wireless 11Mbps Network\XPFix.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [winclean] c:\windows\system32\winclean.exe
O4 - HKLM\..\Run: [crtfmon] C:\DOCUME~1\Virgy\IMPOST~1\Temp\1188669551.dat.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Internet Sweeper Pro] C:\Programmi\Internet Sweeper Pro\is.exe min
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.0/Installer.exe
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/oneclick/ConnessioneTiscali.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Programmi\Internet Sweeper Pro\autocomp.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
Sponsor
Inviato: Friday, September 14, 2007 3:12:02 PM

 
pidue
Inviato: Friday, September 14, 2007 10:37:44 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Chiudi HijackThis in una cartella a lui dedicata (possibilmente non sul desktop), altrimenti perdi i backup;

<b>Disattiva il Ripristino configurazione di Sistema</b>: ------ > <b>procedura:</b>

<b>avvia in modalità provvisoria</b> ----- > <b>procedura:</b>

<b>rendi visibili le cartelle nascoste</b> ------ > <b>procedura</b>:
da Risorse del computer:
Strumenti >> Opzioni cartella >> visualizzazione;
metti la spunta su:
<i>Visualizza file e cartelle nascoste</i>;
togli la spunta da:
<i>Nascondi file protetti del sistema(consigliato)</i>


Avvia hijackthis, con tutte le applicazioni chiuse, premi su <b>Do a system scan only</b> , spunta ed elimina <b>(fix checked)</b> le seguenti righe:


<font color=red> C:\DOCUME~1\Virgy\IMPOST~1\Temp\1188669551.dat.exe
O4 - HKLM\..\Run: [winclean] c:\windows\system32\winclean.exe
O4 - HKLM\..\Run: [crtfmon] C:\DOCUME~1\Virgy\IMPOST~1\Temp\1188669551.dat.exe
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/oneclick/ConnessioneTiscali.cab
</font id=red>



elimina il file in rosso:
___________________________________________
C:\DOCUME~1\Virgy\IMPOST~1\Temp\<font color=red> 1188669551.dat.exe]</font id=red>
c:\windows\system32\<font color=red>winclean.exe</font id=red>
___________________________________________


Da Start >> Esegui, incolla la stringa <b>%temp%</b> ed elimina tutti file della cartella temp;

Vai su Strumenti >> Opzioni Internet, elimina la cronologia, i files temporanei internet, i cookies;

svuota il cestino;

riavvia il computer normalmente.

fai qui un controllo antivirus
http://www.bitdefender.com/it/

<b>Alla fine:</b>

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Dovresti installare un firewall. Lo trovi su questo sito Ciao.




Kalachado
Inviato: Saturday, September 15, 2007 5:44:31 PM
Rank: AiutAmico

Iscritto dal : 3/23/2005
Posts: 63
ho esguito tutto quello che mi hai indicato ma quando clicco sull'icona di internet explorer per entrare su internet mi appare la pagina bianca, sulla barra rimane scritto "about:blank" e non posso eseguire alcuna operazione dentro questa pagina, nemmeno chiuderla con la croce in alto a destra!!! sembra quasi bloccato...per risolvere mi serve fare CTRL+ALT+CANC!!
cosa mi consigli di fare??
pidue
Inviato: Sunday, September 16, 2007 10:18:35 AM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Mi dispiace, ma quelli che ti ho fatto eliminare erano malware al 1000%. Hai fatto il controllo antivirus on-line?




Kalachado
Inviato: Sunday, September 16, 2007 1:35:43 PM
Rank: AiutAmico

Iscritto dal : 3/23/2005
Posts: 63
si ho fatto tutto tranne quello perchè come ti dicevo qualunque indirizzo internet - compreso quel link per fare la scansione online che mi avete dato - non mi viene apeerto e la pagina bianca che si apre non mi permette di fare alcuna operazione!!
pidue
Inviato: Sunday, September 16, 2007 2:46:15 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, potrei suggerirti di ripristinare le righe cancellate (ma così ripristineresti le chiavi di registro infette), piuttosto penso che il tuo pc aveva anche altri poblemi, perchè la pagina "about:blank" è creata da un trojan che modifica la pagina iniziale di Internet Explorer.
fai così:
Start >> esegui >> (scrivi) <b>regedit</b>. Appena aperto il registro apri successivamente le chiavi:

<i>HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer.</i> Fai un clic sulla cartellina <b>main</b> e riferisci cosa vedi sil pannello di destra a fianco della voce <b>StartPage</b>.

Fai la stessa cosa usando adesso questo percorso:

<i>HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer</i>

Edited by - pidue on 09/16/2007 14:51:00



Kalachado
Inviato: Sunday, September 16, 2007 5:53:30 PM
Rank: AiutAmico

Iscritto dal : 3/23/2005
Posts: 63
allora nella prima cartella (quella HKEY CURRENT USER) nella cartella main e poi start page c'è scritto "www.excite.it" che è la pagina iniziale che ero riuscito a impostare io al posto di about blank, da opzioni internet! mentre nella cartella HKEY LOCAL MACHINE dentro main e in start page c'è una stringa che inizia con www.microsoft.com e poi tutta una seri di codici e caratteri con finale "home"! volevo dirti pure che questo pc non aveva il service pack 2 e glielo ho messo io attraverso gli aggiornamenti automatici richiesti da windows xp, però il problema della pagina bianca di IE che si blocca c'era pure da prima!!
pidue
Inviato: Sunday, September 16, 2007 9:55:14 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
<BLOCKQUOTE id=quote><font size=1 face="Sans Serif, Arial, Helvetica" id=quote>quote:<hr height=1 noshade id=quote>
....però il problema della pagina bianca di IE che si blocca c'era pure da prima!!
<hr height=1 noshade id=quote></BLOCKQUOTE id=quote></font id=quote><font face="Sans Serif, Arial, Helvetica" size=2 id=quote>

Questo lo dovevi dire prima, se vuoi notizie sull'About:blank leggi questa discussione:

http://www.manuali.net/forum/showthread.php?s=bdbd4f1506c5f34c6afa2dc63c742f1f&threadid=40312&highlight=Aboutblank

Adiòs.





lui49
Inviato: Sunday, September 16, 2007 11:36:05 PM
Rank: AiutAmico

Iscritto dal : 5/4/2003
Posts: 2,845
questo potrebbe essere (forse) il caso tuo. Leggi attentamente:
http://www.softwarepatch.com/tips/about-blank-adware.html
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.