Olimpo Informatico

[chemicalbit]

korsaro13, ti riporto un messaggio che ti hanno scritto in un'altra discussione.

[chemicalbit]

rispondo qui a quello che hai scritto in un'altra discussione
(che macello ...)

Cioè tu non hai proprio la sottochiave explorer.exe
oppure c'è ma è vuota (non ha valori nella sottoinestra di destra?)

[chemicalbit]

riporto messaggio da altra dicussione:

[Michy77]

Mi trovo con lo stesso problema di Korsaro13: da me la sottochiave "explorer.exe" manca proprio e in USERINIT sono riportati i valori:
c:\windows\system32\userinit.exe,"c:\windows\system32\seagate-speed.exe"
in più la scansione con AVG pur non rilevando infezioni mi rileva un "reading error" sul file c:\windows\system32\tskhnhxt.exe
ed un "Change" nel file c:\WINDOWS\system32\drivers\etc\hosts

...vi prego, aiutatemi!!!!...questo coso mi sta facendo venire l'esaurimento nervoso!!!

[chemicalbit]

Michy77, apri un'altra discussione (sempre qui in "Pronto Soccorso Zeus")
e spiega nel dettalgio la situazione.

[Michy77]

[korsaro13]

[bdoriano]

[chemicalbit]

Nota bene:

deve restate la virgola dopo c:\windows\system32\userinit.exe

[Orange]

scrica questo tool

apri Task Manager e termina i pocessi:
javasvc.exe
atiscr.exe
services.exe
philipsnetwork.exe
SERVICES.EXE

Da Start/Esegui digita regedit/OK
portati alla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
individua nella finestra di destra USERINIT, doppio clic, evidenzia le voci infette:
"c:\windows\javasvc.exe","c:\windows\atiscr.exe,,,c:\windows\services.exe,"c:\windows\philipsnetwork.exe",,C:\WINDOWS\SERVICES.EXE (comprese le virgolette) ed eliminali (tasto Delete o Back Space)
la chiave dopo la pulizia deve presentarsi così: c:\windows\system32\userinit.exe, (con virgola finale)

lancia KillBox
in Full Path inserisci c:\windows\javasvc.exe
seleziona Delete on reboot
clicca sulla X rotonda a destra
ripeti il procedimento per
c:\windows\atiscr.exe
c:\windows\services.exe
c:\windows\philipsnetwork.exe
C:\WINDOWS\SERVICES.EXE
alla fine riavvia il PC

Da Start\Esegui digita: Control Userpasswords2
vedi se ci sono le utenze con nomi casuali (tipo AxDfYKui) ed eliminali.

ora HJT dovrebbe partire
posta il log

[korsaro13]

[bdoriano]

[korsaro13]

ho fatto tutto come mi era stato detto tanto più che alcuni programmi sono stati effettivamente cancellati ma javasvc.exe continua a esserci in userinit di regedit cosi come anche mediacon.exe e hvrw.exe con killbox li cancello al reboot non è che dovrei cancellarli diversamente?

con taskmanager vedo che cicla un file con il nome JavaSvc.exe che bsi trova in c:\WINDOWS devo cancellare con killbox anche questo

comunque ci tenevo a ringraziarvi tutti per i preziosi consigli e tengo a precisare che il computer non mi da più i problemi che avevo prim con explorer e iexplorer

[Orange]

ciao!
posta un nuovo log di HJT. vediamo se è da eliminare diversamente quei file incriminati..

[korsaro13]

ecco il nuovo log di Hijackthis

vedi se riesci a darmi qualche ulteriore consiglio


Logfile of HijackThis v1.99.1
Scan saved at 19.24.33, on 16/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\windows\javasvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\File comuni\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\jack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\javasvc.exe",
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar4.dll
O2 - BHO: Class - {CB0FF957-7570-9845-1DE2-7C2756424515} - C:\WINDOWS\ebget1.dll (file missing)
O2 - BHO: Class - {F5ABCB4D-1F3A-9245-E50E-37FA27F2F33E} - C:\WINDOWS\ebget1.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar4.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MediaCtr] C:\WINDOWS\mediacon.exe -i
O4 - HKLM\..\Run: [hvrw3.exe] C:\WINDOWS\Temp\hvrw3.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [kis] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{387FEE3D-E501-48E8-BDAC-7E95D642AF60}: NameServer = 151.99.121.1 151.99.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{387FEE3D-E501-48E8-BDAC-7E95D642AF60}: NameServer = 151.99.121.1 151.99.0.100
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\:c_2859r.nls C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel PDS - Unknown owner - C:\WINDOWS\system32\cba\pds.exe (file missing)
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: WinHosts - Unknown owner - C:\WINDOWS\system32\WinHosts.exe (file missing)

[bdoriano]

Ti riporto il procedimento descritto da Orange aggiornato.