Olimpo Informatico

marino1988 · Mortale pio Registrato: 30/05/06 13:40 Messaggi: 20

Ragazzi da un pò di tempo il mio Pc mi dà molti problemi : spyware a tonnellate, programmi come Ad Aware e Ewido che si bloccano durante la scansione...potete dirme attraverso questo Log se ho qualche cosa che non va? Grazie Mille

Logfile of HijackThis v1.99.1
Scan saved at 13.42.38, on 30/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\System32\dslagent.exe
C:\Programmi\Java\jre1.5.0\bin\jusched.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Active ShutDown\asd.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\MARINO~1\IMPOST~1\Temp\Rar$EX00.015\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Mi7sft sdce] taskngr.exe
O4 - HKLM\..\Run: [avast!] C:\Programmi\Alwil Software\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [Mi7sft sdce] taskngr.exe
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - Startup: Active ShutDown.lnk = C:\Programmi\Active ShutDown\asd.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B09598E-1660-4BE1-85A4-411CD23854C3}: NameServer = 85.255.114.55 85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8677268-6918-405B-B227-2B6C6590322B}: NameServer = 85.255.114.55,85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE980BAC-13F9-446C-A4A3-B41A5FB4F9D5}: NameServer = 85.255.114.55,85.255.112.21
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2F0217C-B893-483C-979B-4395E3C2C749}: NameServer = 85.255.114.55,85.255.112.21
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programmi\Network Monitor\netmon.exe (file missing)
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\System32\npkcsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: security centre (windows security centre) - Unknown owner - C:\WINDOWS\wscntify.exe (file missing)

holifay · Dio maturo Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano

Accidenti

che roba... ma perchè hai aspettato così tanto a venire a trovarci? Wink

Stampati queste istruzioni o salvale in un file nel desktop, dato che non potrai consultarle online

scarica ATFCleaner da Atribune e salvalo sul desktop

Scaricati Fixwareout sul desktop e avvialo. Premi Next, poi Install. Accertati che la casella Run fixit sia selezionata e clicca Finish. Inizierà il fix: segui le istruzioni. Quando ti chiede di riavviare, riavvia il PC. Non preoccuparti se ci mette un pò a riavviarsi: è normale.

Al riavvio premi F8 al Boot subito dopo il caricamento del BIOS e dal menu che comparirà seleziona modalità Provvisoria (safe mode)

Fai una scansione con Ewido e con il tuo Antivirus, e cancella quello che trovano.

Avvia HijackThis, poi chiudi tutte le finestre lasciando aperto solo HijackThis. Clicca Do a System Scan only, metti un segno di spunta sulla casella accanto a queste voci (se ancora esistenti) e al temine premi Fix checked

marino1988 · Mortale pio Registrato: 30/05/06 13:40 Messaggi: 20

Wa così mi fai mettere paura Razz

Grazie x le istruzioni, faccio come mi hai detto e poi t faccio sapere. Grazie ancora

marino1988 · Mortale pio Registrato: 30/05/06 13:40 Messaggi: 20

allora ecco i LOG

Ewido

marino1988 · Mortale pio Registrato: 30/05/06 13:40 Messaggi: 20

Ah scusate aggiungo una cosa : Quando faccio una sacnsione con Bazooka Scanner mi trova sempre un Malware ke non sono riuscito a togliere nonostante abbia seguito alla lettere le istruzioni del sito di Bazooka. Ho fatto uno screenshot....eccolo:

Cosa devo fare? E' Pericoloso?
Grazie ancora e scusate se vi do fastidio, ma vedo ke siete uno dei pochi forum dove rispondono subito. Grazie ankora

holifay · Dio maturo Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano

be, andiamo benino. Il tuo problema è che hai un sistema non aggiornato e quindi più vulnerabile. Quando avremo finito pensa ad aggiornare il PC con windowsupdate.com

scarica Killbox e salvalo sul desktop.

Apri una finestra di DOS (premi Start, Esegui, digita CMD e poi Invio) e digita in successione (attento all'ortografia):
sc stop "Network Monitor" (Invio)
sc delete "Network Monitor" (Invio)
sc stop "windows security centre" (Invio)
sc delete "windows security centre" (Invio)

Apri Hijackthis e poi chiudi tutte le applicazioni e le finestre. Seleziona Do a system scan only, metti un segno di spunta nelle caselle accanto a queste voci e poi premi Fix checked

marino1988 · Mortale pio Registrato: 30/05/06 13:40 Messaggi: 20

Allora ho fatto tutto come hai scritto......però in killerbox qnd incollavo quei file ke m hai detto d selezionare, me ne dava solo 3 e precisamente solo DMCDG.EXE, DMFWH.EXE, e DMIQG.EXE...non so se è un bene o meno Confused

cmq ekko il nuovo log di Hijack This

holifay · Dio maturo Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano

bene, molto bene..coma va il PC adesso? Smile

Se killbox non te li ha trovati, vuol dire che erano effettivamente stati cancellati, come HijackThis del resto diceva.

Allora, adesso sei pulito a quanto posso vedere. Dovresti solo aggiornare il PC installando le varie patch di sicurezza a partire dal SP2.

Probabilmente però non riuscirai perchè uno dei worm che avevi ne impedisce l'installazione modificando le chiavi di registro.

Se te la cavi con l'editor del registro di sistema puoi provare a seguire queste istruzioni (in inglese).

Altrimenti se proprio non riesci posso vedere di farti uno script apposito per sistemarlo, ma non questa sera Wink

Ciao

PS: però il log lo hai fatto probabilmente prima di collegarti in Internet vero? Avrei voluto vedere la nuova voce 017 che compare solo dopo l'autenticazione in rete. Casomai verifica tu che l'IP lì riportato sia effettivamente quello del tuo provider.

marino1988 · Mortale pio Registrato: 30/05/06 13:40 Messaggi: 20

holifay · Dio maturo Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano

ecco che ci risiamo... con quei DNS rischi di infettarti di nuovo. Speriamo sia solo una chiave di registro un po´ troppo resistente e non ci sia qualcosa di nascosto sotto Rolling Eyes

Apri HijackThis al solito e chiudi tutte le finestre del browser, chiudi anche la connessione Internet.

Fai una scansione con HijackThis e fixa questa voce

marino1988 · Mortale pio Registrato: 30/05/06 13:40 Messaggi: 20

Ecco il nuo Log fatto dopo quello ke mi hai detto di fare...

holifay · Dio maturo Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano

OK, quello è a posto Very Happy

Apri Hijackthis e con tutte le finestre aperte, elimina questa voce:

F2 - REG:system.ini: Shell=explorer.exe

Poi riavvia e ricontrolla il log confrontandolo a questo, se ènon è cambiato niente oltre a questa voce che hai eliminato, sei a posto. Pensa poi ad aggiornare il PC

Ciao

marino1988 · Mortale pio Registrato: 30/05/06 13:40 Messaggi: 20

Ok nel log manka solo quella ke mi hai fatto tolgiere....ma ora ke patch dovrei mettere per stare più tranquillo?

holifay · Dio maturo Registrato: 08/03/05 10:48 Messaggi: 2912 Residenza: Milano

Per le patch io mi collegherei a Windows Update e farei fare a Microsoft. Senz´altro SP2 e poi tutte quelle di sicurezza.
Però non me ne intendo molto di aggiornamenti: io uso Windows NT Wink

Senti, cerca tutti i file explorer.exe sul tuo PC e controlla le loro proprietà con il tasto destro se appartengono a Microsoft. Se ne trovi qualcuno al di fuori si C:\\windows, sottoponilo a scansione su www.virustotal.com