Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

maledetto trojan Opzioni
mimetic
Inviato: Wednesday, November 19, 2014 8:55:45 PM

Rank: Member

Iscritto dal : 6/15/2008
Posts: 28
ecco i 2 log con copia incolla......grazie, che ne dici?

# AdwCleaner v4.101 - Rapporto creato 19/11/2014 in 20:45:15
# Aggiornato 09/11/2014 di Xplode
# Database : 2014-11-07.1 [Local]
# Sistema operativo : Microsoft Windows XP Service Pack 3 (32 bits)
# Nome utente : claudio - 8643E0AAD7C949C
# In esecuzione da : C:\Documents and Settings\claudio\Documenti\Downloads\adwcleaner_4.101.exe
# Opzione : Pulisci

***** [ Servizi ] *****


***** [ File / Cartelle ] *****


***** [ Compiti ] *****


***** [ Collegamenti ] *****


***** [ Registro ] *****

Chiave Eliminati : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Chiave Eliminati : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Chiave Eliminati : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe

***** [ Browser ] *****

-\\ Internet Explorer v7.0.6000.21376


-\\ Mozilla Firefox v17.0.1 (it)


-\\ Google Chrome v38.0.2125.111


*************************

AdwCleaner[R0].txt - [1738 octets] - [02/11/2014 14:45:17]
AdwCleaner[R1].txt - [1165 octets] - [02/11/2014 14:58:03]
AdwCleaner[R2].txt - [14576 octets] - [02/11/2014 15:10:49]
AdwCleaner[R3].txt - [14448 octets] - [02/11/2014 20:41:38]
AdwCleaner[R4].txt - [1785 octets] - [14/11/2014 22:23:38]
AdwCleaner[R5].txt - [1771 octets] - [19/11/2014 20:40:48]
AdwCleaner[S0].txt - [1812 octets] - [02/11/2014 14:49:03]
AdwCleaner[S1].txt - [1224 octets] - [02/11/2014 15:00:48]
AdwCleaner[S2].txt - [14768 octets] - [02/11/2014 20:43:57]
AdwCleaner[S3].txt - [1851 octets] - [14/11/2014 22:30:30]
AdwCleaner[S4].txt - [1695 octets] - [19/11/2014 20:45:15]

########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [1755 octets] ##########


E QUESTO E L'ALTROAnxious Anxious

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.3.9 (11.15.2014:2)
OS: Microsoft Windows XP x86
Ran by claudio on 19.11.2014 at 21:13:00.04
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 19.11.2014 at 21:24:41.07
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

cbbusto
Inviato: Wednesday, November 19, 2014 10:29:09 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
E' stato trovato ben poco solo 3 chiavi del registro.
Prova fare anche questa scansione, è uno strumento di rimozione malware della microsoft.

Vai su Start/Esegui e digita MRT e dai ok, nella finestra successiva scegli analisi completa, avvia, se chiede di eliminare dei file acconsenti, alla fine verrà rilasciato un file coi risultati.
mimetic
Inviato: Thursday, November 20, 2014 8:01:33 PM

Rank: Member

Iscritto dal : 6/15/2008
Posts: 28
stò facendo la scansione come mi hai detto , ti faccio sapere al piu presto
grazie
cbbusto
Inviato: Thursday, November 20, 2014 9:57:10 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
mimetic ha scritto:
stò facendo la scansione come mi hai detto , ti faccio sapere al piu presto
grazie


Quando hai finito poi ti faccio fare una pulizia molto importante.
A risentirci. Ciao
mimetic
Inviato: Friday, November 21, 2014 10:57:09 AM

Rank: Member

Iscritto dal : 6/15/2008
Posts: 28
quote=cbbusto]
mimetic ha scritto:
stò facendo la scansione come mi hai detto , ti faccio sapere al piu presto
grazie


Commenta:
Quando hai finito poi ti faccio fare una pulizia molto importante.
A risentirci. Ciao


eccomi buongiorno, allora ieri sera ho terminato la scansione, e a suo dire l'antimalware non ha rilevato nulla, mentre invece kasp. proprio durante la scansione ancora 2 volte ha segnalato problemi. Ti allego una fotina della quarantena attuale, che poi ho eliminato. Ora sono al lavoro, ma questa sera se vorrai sono a disposizione per fare una strage di trojan e quantaltro, grazie ancora ci risentiamo.
LINK FOTO
http://s30.postimg.org/b2wnwxk0h/20141120_215108.jpg
cbbusto
Inviato: Friday, November 21, 2014 5:29:44 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ho visto l'immagine, si tratta di file temporanei creati dal sistema, dalla navigazione o da programmi installati, segui il percorso dei vari file e cancella quello che trovi, li parla di Backdoor e trojan bisognerebbe capire chi li crea, generalmente i file tmp o temp non sono pericolosi.
Poi vai nel Task manager - Processi e cerca, se ci sono, dei processi che si riferiscono alle voci che vedi in fondo alle righe a destra dopo le date, se ne trovi li selezioni e poi clic in basso su Termina processo, controlla bene per non terminare qualche processo utile.
Prima di fare questo crea un punto di ripristino tuo.
P.S. Questi sono miei consigli, se qualche amico ha delle altre soluzioni, ben venga.
La pulizia che ti ho accennato riguarda il Registro, una pulizia profonda di tutti i rimasugli che ccleaner non trova.

Per una pulizia profonda del registro, usa Eusing Free Registry Cleaner sw da usare saltuariamente, lo scarichi da qui: http://www.eusing.com/free_registry_cleaner/registry_cleaner.htm
clic su Download Site1, una volta lanciato appare una finestra che chiede il codice, clic su ignora e procedi, per chi usa XP clic in alto nel menu Modifica/Opzioni-spuntare la prima casella Crea un punto di ripristino prima di effettuare la riparazione, poi in alto a sinistra clic su Analizza Registro, lascia fare fino alla fine non ti preoccupare se trova molte voci alle volte ne trova anche migliaia, poi clicca su Ripara Registro, il sw è sicuro comunque crea un punto di ripristino e fa anche il backup dei file eliminati infatti in alto sotto ripara registro si trova la voce Ripristina Registro, io in anni che lo uso non mi è mai capitato di ripristinare.
Per fare questa pulizia meglio chiudere tutti i programmi e disconnesso.

Ciao
mimetic
Inviato: Friday, November 21, 2014 10:32:19 PM

Rank: Member

Iscritto dal : 6/15/2008
Posts: 28
Tutto eseguito come mi hai suggerito, l'unica incertezza è che nel task manager i processi non mi è sembrato che fossero gli stessi della quarantena, comunque come ho chiuso tutto e ho riaperto la connessione e il kaspersky, tre minuti e tac ariecco gli avvisi altro link della foto
sono veramente inca..Brick wall ....to ma cavolo 10 antimalvare, e vari .....e non si riesce a bruciare questa infezione.
ma allora è quasi vero che alla fine non servono quasi a nulla..... :-(
Ecco il link
http://s13.postimg.org/5vv8mdrrb/20141121_215621.jpg
per te ho solo ringraziamenti per il tempo che mi dedichi, ggggggggrazie.........Applause

ps: e se facessi qualcuna di queste scansioni in modalità provvisoria?.....è solo una domanda da incompetente--- Think

cbbusto
Inviato: Friday, November 21, 2014 11:16:13 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Comunque sono spariti i file che segnalavano Backdoor e Trojan questo va già bene, mi potresti mettere l'immagine dei processi attivi, vedo se ci sono quelli riguardanti i file segnalati da KIS oggi.
La pulizia del Registro con EFRC quanti file ha trovato, così per curiosità.
Ciao
mimetic
Inviato: Saturday, November 22, 2014 12:09:55 AM

Rank: Member

Iscritto dal : 6/15/2008
Posts: 28
Eccole le immagini dei processi attivi, ho dovuto fare 2 foto per completare la pagina, e poi ho rifatto anche la scansione con EFRC, per farne un'altra prima di dirgli ripara registro, così puoi verificare anche quel risultato.
La prima volta che l'ho eseguito erano certamente qualcuno in più, ma non li ho fotografati...
ciao grazie

http://s11.postimg.org/aa0k5ysb7/IMG_20141121_235854.jpg
http://s27.postimg.org/awpb2bzdv/IMG_20141121_235753.jpg
http://s30.postimg.org/3yowulcwh/IMG_20141121_235934.jpg



cbbusto
Inviato: Saturday, November 22, 2014 10:53:49 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Tutto quello che ha trovato EFRC devi eliminarlo clic su ripara registro, comunque hai messo solo 8 voci mi sembra strano che ne abbia trovate così poche, oppure le hai già eliminate e questa è la seconda scansione ?
Nei processi, che non si vedeno bene, non ho visto nessun processo inerente a quelle famose voci, devi terminare questo:Chrome update, mi sembra che tu usi firefox.
Per firefox rivedendo il log ho notato che hai una vecchia versione la 17.0.1 aggiornalo, l'ultima vs è la 33.1.1 fai
così: vai in alto nella barra dei menu clic su Aiuto selezionare Informazioni su Firefox.
Verrà visualizzata la finestra Informazioni su Firefox e la ricerca di aggiornamenti avrà inizio.
Poi posta un nuovo log di HJT che voglio vedere cosa c'è, non mettere delle immagini ma fai come gli ultimi log di
ADW e JRT lo copi tutto e lo posti qui. Ciao
mimetic
Inviato: Saturday, November 22, 2014 7:04:38 PM

Rank: Member

Iscritto dal : 6/15/2008
Posts: 28
si ho fatto la riparazione con EFRC, infatti il log che ho postato e quello che ho fatto in secondo momento, riguardo a firefox strana questa cosa degli aggiornamenti, lo aggiorno spesso o verifico e al momento quella attuale mi dice 33.1.1 STRANA COSA......MA!!!!!!
quella di crome è comunque attuale spesso lo uso alternandolo a mozilla perchè traduce istantaneo dalle lingue straniere
appena finiit i 3 log che mi hai chiesto......eccoli
grazie

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 18:58:28, on 22.11.2014
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21376)

FIREFOX: 17.0.1 (it)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\Documents and Settings\claudio\Dati applicazioni\FrameworkUpdate7\ChromeUpdate.exe
C:\Programmi\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\crytsrv10.exe
C:\Programmi\File comuni\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Java\jre7\bin\jqs.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLite\viritsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVDtray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\claudio\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: ::1 localhost
O1 - Hosts: 162.247.13.78 www.google-analytics.com.
O1 - Hosts: 162.247.13.78 google-analytics.com.
O1 - Hosts: 162.247.13.78 connect.facebook.net.
O1 - Hosts: 146.0.75.12 www.google-analytics.com.
O1 - Hosts: 146.0.75.12 google-analytics.com.
O1 - Hosts: 146.0.75.12 connect.facebook.net.
O1 - Hosts: 107.181.187.25 www.google-analytics.com.
O1 - Hosts: 107.181.187.25 google-analytics.com.
O1 - Hosts: 107.181.187.25 connect.facebook.net.
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ordfics] regsvr32.exe "C:\Documents and Settings\claudio\Impostazioni locali\Dati applicazioni\Ordfics\Physx_x86.dll"
O4 - HKCU\..\Run: [Efnction] C:\WINDOWS\system32\regsvr32.exe "C:\Documents and Settings\claudio\Impostazioni locali\Dati applicazioni\Ibjhsoft\aclCtrlSplsh.dll"
O4 - HKCU\..\Run: [ChromeUpdate] C:\Documents and Settings\claudio\Dati applicazioni\FrameworkUpdate7\ChromeUpdate.exe
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\ie_banner_deny.htm
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programmi\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Servizio Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe
O23 - Service: Cryptainer 10 service (cryptainer10service) - Cypherix Software (India) Pvt. Ltd. - C:\WINDOWS\system32\crytsrv10.exe
O23 - Service: Servizio di controllo CryptoStorage (CSObjectsSrv) - Infowatch - C:\Programmi\File comuni\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Java\jre7\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe

--
End of file - 5448 bytes



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.3.9 (11.15.2014:2)
OS: Microsoft Windows XP x86
Ran by claudio on 22.11.2014 at 19:16:30.14
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\Programmi\eusing free registry cleaner"





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 22.11.2014 at 19:20:57.23
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


# AdwCleaner v4.101 - Rapporto creato 22/11/2014 in 19:11:28
# Aggiornato 09/11/2014 di Xplode
# Database : 2014-11-07.1 [Local]
# Sistema operativo : Microsoft Windows XP Service Pack 3 (32 bits)
# Nome utente : claudio - 8643E0AAD7C949C
# In esecuzione da : C:\Documents and Settings\claudio\Documenti\Downloads\adwcleaner_4.101.exe
# Opzione : Scansiona

***** [ Servizi ] *****


***** [ File / Cartelle ] *****


***** [ Compiti ] *****


***** [ Collegamenti ] *****


***** [ Registro ] *****


***** [ Browser ] *****

-\\ Internet Explorer v7.0.6000.21376


-\\ Mozilla Firefox v17.0.1 (it)


-\\ Google Chrome v39.0.2171.65


*************************

AdwCleaner[R0].txt - [1738 octets] - [02/11/2014 14:45:17]
AdwCleaner[R1].txt - [1165 octets] - [02/11/2014 14:58:03]
AdwCleaner[R2].txt - [14576 octets] - [02/11/2014 15:10:49]
AdwCleaner[R3].txt - [14448 octets] - [02/11/2014 20:41:38]
AdwCleaner[R4].txt - [1785 octets] - [14/11/2014 22:23:38]
AdwCleaner[R5].txt - [1771 octets] - [19/11/2014 20:40:48]
AdwCleaner[R6].txt - [1503 octets] - [19/11/2014 21:10:00]
AdwCleaner[R7].txt - [1563 octets] - [21/11/2014 20:27:47]
AdwCleaner[R8].txt - [1181 octets] - [22/11/2014 19:11:28]
AdwCleaner[S0].txt - [1812 octets] - [02/11/2014 14:49:03]
AdwCleaner[S1].txt - [1224 octets] - [02/11/2014 15:00:48]
AdwCleaner[S2].txt - [14768 octets] - [02/11/2014 20:43:57]
AdwCleaner[S3].txt - [1851 octets] - [14/11/2014 22:30:30]
AdwCleaner[S4].txt - [1835 octets] - [19/11/2014 20:45:15]

########## EOF - C:\AdwCleaner\AdwCleaner[R8].txt - [1542 octets] ##########

tutti pubblicati
cbbusto
Inviato: Saturday, November 22, 2014 10:42:52 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Avevo chiesto solo il log di HJT, comunque non andiamo bene, nel mio primo post ti avevo detto che non serviva
google-analytics.com. io lo avrei eliminato, ma non mi hai risposto.
2 domande: tu hai inserito i reindirizzamenti nel file hosts ? verso .google-analytics.com. e verso connect.facebook.net. - questi non mi piacciono
Questo sw: C:\Programmi\File comuni\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe
potrebbe appartenere a Kaspersky Pure, ma visto che KIS te lo indica fra i problemi, DangerousObject, non mi piace per niente.
Attendo risposte poi ti dico cosa fare. Ciao
mimetic
Inviato: Saturday, November 22, 2014 10:59:13 PM

Rank: Member

Iscritto dal : 6/15/2008
Posts: 28
è vero, ma non sono capace a toglierlo, google-analytics.com. come faccio? cosa è un programma che posso disinstallare? dove è nel computer?
io non sò neanche cosa sono i reidirizzamenti verso facebook o google analyt. se devo toglierli li tolgo......come si fà?
riguardo cryptostorage, è un programma sicuro l'ho scaricato da moooolto tempo è come una cassaforte dove poter tenere file nascosti da occhi indiscreti, ma è sicuro e protetto da una password, non credo crei problemi.
cbbusto
Inviato: Sunday, November 23, 2014 12:01:39 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Va bene il programma tienilo.
Avvia il pc e vai i modalità provvisoria, quindi lancia HijackThis e clicca sul secondo pulsante Do a system scan only
inserisci il segno di spunta nel quadratino davanti alle righe sotto indicate, una volta selezionate clicca il tasto
Fix checked per procedere all'eliminazione, comparirà una finestra clicca su SI per accettare e l'operazione è conclusa.

O1 - Hosts: 162.247.13.78 www.google-analytics.com.
O1 - Hosts: 162.247.13.78 google-analytics.com.
O1 - Hosts: 162.247.13.78 connect.facebook.net.
O1 - Hosts: 146.0.75.12 www.google-analytics.com.
O1 - Hosts: 146.0.75.12 google-analytics.com.
O1 - Hosts: 146.0.75.12 connect.facebook.net.
O1 - Hosts: 107.181.187.25 www.google-analytics.com.
O1 - Hosts: 107.181.187.25 google-analytics.com.
O1 - Hosts: 107.181.187.25 connect.facebook.net.

O4 - HKCU\..\Run: [Ordfics] regsvr32.exe "C:\Documents and Settings\claudio\Impostazioni locali\Dati applicazioni\Ordfics\Physx_x86.dll"
O4 - HKCU\..\Run: [Efnction] C:\WINDOWS\system32\regsvr32.exe "C:\Documents and Settings\claudio\Impostazioni locali\Dati applicazioni\Ibjhsoft\aclCtrlSplsh.dll"

O4 - HKCU\..\Run: [ChromeUpdate] C:\Documents and Settings\claudio\Dati applicazioni\FrameworkUpdate7\ChromeUpdate.exe

Poi riavvia il pc in modalità normale, fai una pulizia con Ccleaner compreso il registro, in ccleaner nella schermata che appare, sotto la voce Sistema spunta tutte le voci fino a Cache DNS e poi procedi.
Ora rifai una scansione con HJT e posta il nuovo log aggiornato, per controllare se le voci sono state eliminate.
Vediamo se Kasp ti da ancora delle segnalazioni, fai sapere, ciao
mimetic
Inviato: Sunday, November 23, 2014 12:24:00 PM

Rank: Member

Iscritto dal : 6/15/2008
Posts: 28
eccomi tutto fatto come mi hai detto, questo sotto è il log hjt...........MA CAVOLO MI SEMBRA CHE NON SIA CAMBIATO NULLA stò analytic è sempre li!!!!!!

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 12:14:27, on 23.11.2014
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21376)

FIREFOX: 17.0.1 (it)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\crytsrv10.exe
C:\Programmi\File comuni\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Java\jre7\bin\jqs.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLite\viritsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\claudio\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: ::1 localhost
O1 - Hosts: 162.247.13.78 www.google-analytics.com.
O1 - Hosts: 162.247.13.78 google-analytics.com.
O1 - Hosts: 162.247.13.78 connect.facebook.net.
O1 - Hosts: 146.0.75.12 www.google-analytics.com.
O1 - Hosts: 146.0.75.12 google-analytics.com.
O1 - Hosts: 146.0.75.12 connect.facebook.net.
O1 - Hosts: 107.181.187.25 www.google-analytics.com.
O1 - Hosts: 107.181.187.25 google-analytics.com.
O1 - Hosts: 107.181.187.25 connect.facebook.net.
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\ie_banner_deny.html
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programmi\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Servizio Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe
O23 - Service: Cryptainer 10 service (cryptainer10service) - Cypherix Software (India) Pvt. Ltd. - C:\WINDOWS\system32\crytsrv10.exe
O23 - Service: Servizio di controllo CryptoStorage (CSObjectsSrv) - Infowatch - C:\Programmi\File comuni\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Java\jre7\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe

--
End of file - 4441 bytes

HO NOTATO NEL CCLEANER CHE SE VADO A TROVA PROBLEMI E RIPARA, MI FA VEDERE QUESTI FILE, NON VORREI CHE QUANDO GLI DICO RIPARA LUI LI REINSERISCE E INIZIANO DI NUOVO I PROBLEMI?.....QUESTA VOLTA NON HO FATTO QUESTA OPERAZIONE MA HO CHIUSO CCLEANER E BASTA, HO SBAGLIATO? SONO DA RIPARARE? INSERISCO UNA FOTO DELLO SCHERMO.
dice: MUI MANCANTE E POI LE SCRITTE CHE VEDI A SCHERMO

http://s27.postimg.org/fuv1flx4z/20141123_121020.jpg
cbbusto
Inviato: Sunday, November 23, 2014 5:08:00 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Quelle voci che ha trovato ccleaner sono chiavi del registro e vanno tolte, Eusing free registry cleaner viene rimosso da JRT perchè non lo ritiene valido, ma non è così quindi la prossima per usarlo volta dovrai reinstallarlo.
Ccleaner non tocca niente fa solo pulizie di cose inutili non rimuove nessuna infezione.
Il problema è che le voci in HJT che ti ho messo, cioè tutte quelle 01 sono ancora li non hai eliminato niente e quindi non si risolve niente, non so cos'hai combinato. Le eliminazioni le hai fatte in provvisoria ?
Prova a fixarle di nuovo in HJT in modalità normale, analytics c'è perchè non è stato rimosso.
Le voci da eliminare con HJT sono queste, le devi fixare ed eliminare tutte:

O1 - Hosts: 162.247.13.78 www.google-analytics.com.
O1 - Hosts: 162.247.13.78 google-analytics.com.
O1 - Hosts: 162.247.13.78 connect.facebook.net.
O1 - Hosts: 146.0.75.12 www.google-analytics.com.
O1 - Hosts: 146.0.75.12 google-analytics.com.
O1 - Hosts: 146.0.75.12 connect.facebook.net.
O1 - Hosts: 107.181.187.25 www.google-analytics.com.
O1 - Hosts: 107.181.187.25 google-analytics.com.
O1 - Hosts: 107.181.187.25 connect.facebook.net.

Comunque a quanto pare il pc funziona bene ci sono solo quelle fastidiose voci che ti trova Kaspersky, che sicutamente hai acquistato, altrimenti ti dicevo di eliminarlo e provare MSE della Microsoft che per xp è validissimo.
mimetic
Inviato: Sunday, November 23, 2014 6:28:44 PM

Rank: Member

Iscritto dal : 6/15/2008
Posts: 28
ciao cbbusto, ho fatto tutto come mi hai detto, e adesso ho provato altre 3 volte in modalità provvisoria e e 2 in modalità normale, il risultato del log è sempre lo stesso. questo è l'ultimo, ma le voci sono li, sono andato nel MENU o klikkato Do a system scan only, su OK E spuntato i nove host e klikkato FIX CHECKED ma sono sempre li.

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 18:18:39, on 23.11.2014
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21376)

FIREFOX: 17.0.1 (it)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\crytsrv10.exe
C:\Programmi\File comuni\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Java\jre7\bin\jqs.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLite\viritsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\claudio\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: ::1 localhost
O1 - Hosts: 162.247.13.78 www.google-analytics.com.
O1 - Hosts: 162.247.13.78 google-analytics.com.
O1 - Hosts: 162.247.13.78 connect.facebook.net.
O1 - Hosts: 146.0.75.12 www.google-analytics.com.
O1 - Hosts: 146.0.75.12 google-analytics.com.
O1 - Hosts: 146.0.75.12 connect.facebook.net.
O1 - Hosts: 107.181.187.25 www.google-analytics.com.
O1 - Hosts: 107.181.187.25 google-analytics.com.
O1 - Hosts: 107.181.187.25 connect.facebook.net.
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\ie_banner_deny.htm
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programmi\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Servizio Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Programmi\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe
O23 - Service: Cryptainer 10 service (cryptainer10service) - Cypherix Software (India) Pvt. Ltd. - C:\WINDOWS\system32\crytsrv10.exe
O23 - Service: Servizio di controllo CryptoStorage (CSObjectsSrv) - Infowatch - C:\Programmi\File comuni\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe
O23 - Service: eLock Service (eLockService) - - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Java\jre7\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VirIT eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLite\viritsvc.exe

--
End of file - 4474 bytes
cbbusto
Inviato: Sunday, November 23, 2014 6:56:44 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Non è mai successo tranne le voci 023 che sono servizi e vanno disabilitati manualmente, devo dire che le voci 01 appaiono raramente nel log di HJT, quindi non posso essere più preciso.
Voci 01
Queste voci corrispondono ad una modifica effettuata al file hosts. Il file HOSTS contiene la mappatura e gli indirizzi IP. Per esempio se aggiungete nel file HOSTS :
127.0.0.1 www.miosito.com
e poi cercate di andare sul sito in questione,il browser farà un controllo nel file HOSTS e quando leggerà la riga contenente quel sito il nome di dominio sarà trasformato in indirizzo IP 127.0.0.1.
Molti pirati fanno un sabotaggio di questo file per reindirizzarvi su siti web infetti, i tuoi non sono siti infetti.
Il file HOSTS é un file di testo posizionato di defaut a seconda del sistema utilizzato e puo essere modificato con qualunque editore di testo.
Sistema Operativo Posizione
Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Prova a cercare nel percorso e vedi cosa c'è. Non saprei cos'altro dire.
Ripeto, dal momento che il pc funziona si possono anche lasciare...sopportando le solite segnalazioni di Kasp.

Vedo che molti amici leggono questo topic, se qualcuno ha dei suggerimenti faccia pure senza problemi.
coccia956
Inviato: Sunday, November 23, 2014 7:10:35 PM

Rank: Member

Iscritto dal : 11/18/2014
Posts: 13
EDIT: "Vedo che molti amici leggono questo topic, se qualcuno ha dei suggerimenti faccia pure senza problemi".

Cosa vorresti dire che non sei in grado di risolvere ??
kyron
Inviato: Sunday, November 23, 2014 7:47:09 PM
Rank: AiutAmico

Iscritto dal : 12/28/2009
Posts: 234
coccia956 ha scritto:
EDIT: "Vedo che molti amici leggono questo topic, se qualcuno ha dei suggerimenti faccia pure senza problemi".

Cosa vorresti dire che non sei in grado di risolvere ??

Risolvi tu allora.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.