Precedente :: Successivo |
Autore |
Messaggio |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 19 Giu 2007 18:20 Oggetto: |
|
|
^^"
Grazie mille!
Sto cercando di rimanere connesso il meno possibile per non spedire mail in giro (parte in automatico... cacchio).
Grazie!
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18.11.20, on 19/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Documents and Settings\HP_Administrator\Documenti\Andrea\Programmi\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{945A0B1C-F6E0-4260-9EF6-76B5328ED765}: NameServer = 193.70.152.15 193.70.152.25
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
--
End of file - 9322 bytes
-------------------------------------------------
Find AWF report by noahdfear ©2006
bak folders found
~~~~~~~~~~~
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\WINDOWS\BAK
0 File 0 byte
2 Directory 73.879.752.704 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\HP\KBD\BAK
0 File 0 byte
2 Directory 73.879.752.704 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\ITUNES\BAK
13/06/2007 19.46 305 iTunesHelperAppLog.txt
1 File 305 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\MESSEN~1\BAK
0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\QUICKT~1\BAK
0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\SYMNET~1\BAK
0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\WINAMP\BAK
0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\WINDOWS\CREATOR\BAK
0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\WINDOWS\EHOME\BAK
10/08/2004 12.04 59.392 ehtray.exe
1 File 59.392 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\WINDOWS\SMINST\BAK
0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\WINDOWS\SYSTEM\BAK
0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\WINDOWS\SYSTEM32\BAK
0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK
0 File 0 byte
2 Directory 73.879.748.608 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\ATITEC~1\ATICON~1\BAK
0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\BAK
0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\HP\{AAC4F~1\BAK
0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\CREATIVE\SBAUDI~1\DVDAUDIO\BAK
0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\FILECO~1\MICROS~1\WORKSS~1\BAK
0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\FILECO~1\SONIC\UPDATE~1\BAK
0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\FILECO~1\SYMANT~1\SECURI~1\BAK
0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\JAVA\J2RE14~1.2_0\BIN\BAK
0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Il volume nell'unit? C ? HP_PAVILION
Numero di serie del volume: 4448-7692
Directory di C:\PROGRA~1\HELPAN~1\PAVILION\XPEWWBF4\PLUGIN\BIN\BAK
0 File 0 byte
2 Directory 73.879.744.512 byte disponibili
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
305 13 Jun 2007 "C:\Programmi\iTunes\bak\iTunesHelperAppLog.txt"
59392 10 Aug 2004 "C:\WINDOWS\ehome\ehtray.exe"
59392 10 Aug 2004 "C:\WINDOWS\ehome\bak\ehtray.exe"
end of report |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Giu 2007 18:30 Oggetto: |
|
|
Hijackthis e findAWF non segnalano cose anormali.
Scarica questo e scompattalo in una sua cartella non temporanea.
Avvialo
clicca su > > >
Clicca su Autostart
metti il segno di spunta a Show All
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato.
Sempre nel programma appena scaricato (gmer),
clicca su Rootkit
clicca su Scan
al termine della scansione, clicca su Copy
Apri il blocco note e premi CTRL+V (oppure clicca su Modifica e poi su Incolla).
Salva il file e caricalo su http://www.freefilehosting.net
Posta qui il link che ti viene assegnato. |
|
Top |
|
 |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 19 Giu 2007 19:31 Oggetto: |
|
|
Appena aperto gmer mi è stato chiesto se volevo fare una scansione, dicendomi che aveva trovato una "system modification".
però dopo un po' mi ha riavviato il pc ed è venuto fuori un "errore grave"... oO"
Spero non sia successo niente.
Ho fatto ripartire gmer, detto di no alla scansione full, fatto lo scan di autostart e rifatto quello di rootkit (bloccandolo quando mi sembrava non aggiungesse altri file).
Spero basti.
Ecco i link:
Autostart:
http://www.freefilehosting.net/download/MjI2MDQx
Rootkit:
http://www.freefilehosting.net/download/MjI2MDQy |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Giu 2007 20:08 Oggetto: |
|
|
Rifai la scansione rootkit... che è meglio
Effettivamente, qualcosina c'è... ma aspettiamo di vedere la scansione completa.  |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Giu 2007 20:21 Oggetto: |
|
|
Vabbè, proviamo lo stesso...
Scarica questo tool e scompattalo in una sua cartella.
Avvialo.
Clicca su input script manually
clicca sulla lente d'ingrandimento
nella finestra che ti si apre, inserisci queste righe:
Citazione: | Files to delete:
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\xpdx.sys
drivers to unload:
xpdx |
clicca su done
clicca sul semaforo
il pc dovrebbe riavviarsi, se non lo fa, riavvialo tu.
Posta qui il risultato dell'operazione. |
|
Top |
|
 |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 19 Giu 2007 20:55 Oggetto: |
|
|
O cacchio... oO"
Ho provato a rifare lo scan con gmer, rootkit, ma mi si è bloccato un'altra volta.
Inoltre stavolta è comparsa una schermata blu.
Diceva che si è verificato un problema e che windows è stato arrestato, dicendo di fare un controolo diagnostico, una verifica della memoria e di togliere hw, driver e sw messi di recente (hw recenti non ce n'è... sw recenti solo quelli che mi avete consigliato qui per fare i controlli... più stinger e virit, ma virit è disinstallato e stinger non va installato...).
l'errore era:
STOP: 0x0000007F (0x00000008,0xF7AC7D70,0x00000000,0x00000000).
Ho dovuto staccare la corrente per far ripartire il piccì...
E' meglio se provo a fare un ripristino distruttivo del sistema? sic...
Altra cosa: con spybot ora, facendo la scansione in modalità normale mi trova questo errore:
Microsoft.WindowsSecurityCenter_disabled
Se lo correggo mi dice "errore risolto" ma se rifaccio la scansione è di nuovo lì...
Sigh... Che succede? :*(
PS: cmq ora provo anche la soluzione con avenger... o è meglio aspettare? |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 19 Giu 2007 21:00 Oggetto: |
|
|
Fai pure una passata con avenger, come ti ho indicato. E posta qui il risultato dell'operazione.
Poi riprova a fare la scansione rootkit. |
|
Top |
|
 |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 19 Giu 2007 21:12 Oggetto: |
|
|
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nkxmmywd
*******************
Script file located at: \??\C:\Documents and Settings\bflbwpia.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\svchost.exe deleted successfully.
File C:\WINDOWS\system32\xpdx.sys deleted successfully.
Driver xpdx unloaded successfully.
Completed script processing.
*******************
Finished! Terminate. |
|
Top |
|
 |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 19 Giu 2007 21:55 Oggetto: |
|
|
Ok, ecco gli scan con gmer: stavolta non si è bloccato per fortuna.
Rootkit è corto e lo posto senza usare file hosting.
Autostart (l'ho rifatto x certezza) invece è un po' più lungo.
http://www.freefilehosting.net/download/MjI2MDc1
GMER 1.0.12.12244 - http://www.gmer.net
Rootkit scan 2007-06-19 21:47:13
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.12 ----
SSDT E19460B0 ZwConnectPort
---- Kernel code sections - GMER 1.0.12 ----
? jxktbvsw.sys Impossibile trovare il file specificato.
? C:\WINDOWS\system32\DRIVERS\update.sys
---- EOF - GMER 1.0.12 ----
Cmq: ora non mi da più l'errore avast (grazie ^^), però se faccio una scansione con spybot S&D mi ritrova gli stessi errori di prima: win32.dialer.hh, Microsoft.WindowsSecurityCenter_disabled.
Non li corregge (cioè, dice che li ha corretti, ma poi non lo fa).
Non ho ancora provato in modalità prrovvisoria: sapete se basta? Prima preferivo risolvere il problema "grosso", ma non so se son collegati.
Ah, mi segnalava anche doubleclick come errore Spybot, ma se non ricordo male era un qualcosa che aveva a ceh fare coi banner pubblicitari... cmq un errore che mi ha sempre corretto senza problemi.
Grazie ancora
PS: ah, il txt di avenger è nel post prima: mi ero dimenticato di aggiungere questa parte. Scusate il doppio post. |
|
Top |
|
 |
Orange Dio maturo

Registrato: 18/02/07 13:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 19 Giu 2007 21:55 Oggetto: |
|
|
ooppss...
mi hai anticipato! |
|
Top |
|
 |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 19 Giu 2007 22:01 Oggetto: |
|
|
Non so quanto tempo ci voglia a controllare i log e dare una soluzione,a ma mi sembra una cosa lunghetta
Spero di non aver fatto perdere tempo a più persone per un problema mio. Nel caso chiedo scusa  |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 20 Giu 2007 04:01 Oggetto: |
|
|
Non ti preoccupare... siamo ragazzi, ci si diverte così...
Per cortesia, posta anche un log di hijackthis aggiornato. |
|
Top |
|
 |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 20 Giu 2007 10:22 Oggetto: |
|
|
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.09.42, on 20/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\HP_Administrator\Documenti\Andrea\Programmi\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe
O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{945A0B1C-F6E0-4260-9EF6-76B5328ED765}: NameServer = 193.70.152.15 193.70.152.25
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
--
End of file - 9531 bytes
Ecco qua!
Il problema di microsoft windows security center ecc. che mi dava spybot semrerebbe essere un errore che da quando è disattivata la protezione del windows security center è disattivata, non una minaccia con un nome del genere (ecco perchè non lo cancella XD).
Infatti il dialer mi aveva disattivato il firewall di uindous.
Solo che anche avendolo riattivato mi da lo stesso l'errore spybot...
Win32.dialer l'ho tolto da modalità provvisoria ma una volta in modalità normale spybot me lo vede ancora...
ad-aware non mi trova niente.
Cmq a parte le segnalazioni di spybot sembra funzionare tutto correttamente: niente mail spedite in giro e niente errori da parte di avast per connessioni a indirizzi strani. |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 20 Giu 2007 10:40 Oggetto: |
|
|
Vai in modalità provvisoria e con hijackthis, fixa questa voce:
Citazione: | O4 - HKLM\..\Policies\Explorer\Run: [5T19I3B27A] C:\WINDOWS\svchost.exe |
Riavvia il pc e rifai il log di hijackthis.
Mi sembra di capire che hai 2 antivirus attivi: Norton e Avast!
Se così fosse, attenzione perchè si incasinano l'uno con l'altro.
Disattiva la protezione in tempo reale di uno dei 2.
Puoi scaricare questo, aggiornarlo e fargli fare una scansione. |
|
Top |
|
 |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 22 Giu 2007 00:08 Oggetto: |
|
|
Il log è questo (quella voce l'avevo fixata in modalità normale... mi ero dimenticato di riavviare in mod. provvisoria: però non è più tornata, neanche dopo vari riavvii).
Il norton antivirus l'ho disinstallato; avevo impostato il norton firewall per il problema del dialer, ma comunque non l'ho attivato (mi avete risposto prima che lo facessi ^^ ).
Non so... Forse è il Norton Security Center quello a cui ti riferisci, ma problemi non ne da visto che già mi vede Avast come antivirus installato.
a-squared mi sembra buono, deng iu ^^ !
Gli ho fatto fare una smart scan e mi ha già trovato qualcosina.
Però spybot mi segnala ancora le solite voci:
Win32.dialer.hh
microsoftsecuritycenter_disabled
Il dialer problemi non me ne sta dando ora come ora (niente più avvisi di avast, ne mail spedite in giro, ne connessioni create).
Però vederlo fra quelle voci e non poterlo togliere non so se sia cosa buona... Anche se magari è solo sporcizia che s'è lasciato dietro...
Cmq il log di hijack ora è questo:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 0.00.07, on 22/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\a-squared Free\a2service.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programmi\Soulseek\slsk.exe
C:\WINDOWS\system32\wuauclt.exe
c:\Programmi\File comuni\Symantec Shared\Security Center\SymSCUI.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\HP_Administrator\Documenti\Andrea\Programmi\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q404&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Vista HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programmi\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programmi\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programmi\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HELPAN~1\Pavilion\XPEWWBF4\plugin\bin\PCHButton.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\programs\MFIndexer.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programmi\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{945A0B1C-F6E0-4260-9EF6-76B5328ED765}: NameServer = 193.70.152.15 193.70.152.25
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
--
End of file - 9722 bytes |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 22 Giu 2007 08:19 Oggetto: |
|
|
Il log di hjt sembra ok.
Per quelle 2 voci trovate con Spybot:
probabilmente il securitycenter è stato disattivato da Norton, per evitare avvisi doppi.
Per l'altra voce non so che dirti, puoi indicare il percorso completo in cui viene rilevata? (alla fine della scansione con Spybot, dovrebbe bastare il click con il tasto destro del mouse per poterla salvare... se non ricordo male.)
Dal log di hjt sembrava che avessi 2 antivirus attivi. Non usando norton, non so bene come si comporta in queste situazioni.  |
|
Top |
|
 |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 22 Giu 2007 12:44 Oggetto: |
|
|
Ah! Io pensavo che il windows security center e il norton security center fossero la stessa cosa!
Anche se è un errore che non m'aveva mai dato.. Ma sicneramente non ricordo se avevo messo su spybot prima o dopo un'eventuale scadenza del security center symantec.
DoubleClick: Cookie tracciante (Internet Explorer: HP_Administrator) (Cookie, nothing done)
Microsoft.WindowsSecurityCenter_disabled: Impostazioni (Modifica al registro, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2
TagASaurus: Cookie tracciante (Internet Explorer: HP_Administrator) (Cookie, nothing done)
Win32.Dialer.hh: Cookie tracciante (Internet Explorer: HP_Administrator) (Cookie, nothing done)
--- Spybot - Search && Destroy version: 1.3 ---
2007-06-20 Includes\Cookies.sbi
2007-05-30 Includes\Dialer.sbi
2007-06-20 Includes\DialerC.sbi
2007-06-20 Includes\Hijackers.sbi
2007-06-20 Includes\HijackersC.sbi
2007-06-20 Includes\Keyloggers.sbi
2007-06-20 Includes\KeyloggersC.sbi
2004-11-29 Includes\LSP.sbi
2007-06-20 Includes\Malware.sbi
2007-06-20 Includes\MalwareC.sbi
2007-03-21 Includes\PUPS.sbi
2007-06-20 Includes\PUPSC.sbi
2007-06-20 Includes\Revision.sbi
2007-05-30 Includes\Security.sbi
2007-06-20 Includes\SecurityC.sbi
2007-06-20 Includes\Spybots.sbi
2007-06-20 Includes\SpybotsC.sbi
2005-02-17 Includes\Tracks.uti
2007-06-20 Includes\Trojans.sbi
2007-06-20 Includes\TrojansC.sbi
2007-06-06 Plugins\TCPIPAddress.dll
Questo è quanto mi dice Spybot salvando i risultati.
però è strano: ho rifatto la scansione e stavolta win32.diler.hh non è ricomparso (prima mi ricompariva appena riscansionavo).
Boh... Non so che dire. Forse è finalmente arrivato l'aggiornamento giusto (lo faccio più o meno tutte le volte che scansiono con spybot) per correggerlo. O forse aspetta un riavvio. |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 22 Giu 2007 17:14 Oggetto: |
|
|
Dal quel che leggo, si tratta di cookies.
Probabilmente qualche sito tra i tuoi soliti che lascia queste tracce.
Comunque, niente di preoccupante!  |
|
Top |
|
 |
Polmonite Mortale pio

Registrato: 08/06/07 14:11 Messaggi: 22
|
Inviato: 25 Giu 2007 21:16 Oggetto: |
|
|
Salve a tutti!
Ho delle novità.
Il problema si è ripresentato: avast mi ha segnalato l'errore pa_0111.exe e creazione della connessione Service.
Tuttavia la novità non sta qua: da quando avevo "risolto" a oggi non mi aveva dato problemi nonostante avessi navigato in lungo e in largo.
Oggi, quando è capitato, mi ha fatto ricordare di una cosa: una delle volte che il problema si è presentato prima che chiedessi aiuto qui, stavo navigando su un sito ben preciso, ovvero quello della wynona records.
Non ricordo se fu la prima volta che si presentò il problema, fatto sta che mi è tornato in mente che si presentò mentre ero su quel sito.
Oggi l'errore mi è uscito mentre ero di nuovo su quel sito.
Ho rifatto il procedimento suggeritomi da bdoriano: avenger + fix da hijack della voce incriminata (che si era ripresentata al riavvio).
Morale della favola: tutto come prima. Navigo un po' e problemi non ve ne sono.
Allora mi sorge il dubbio e torno sul sito della wynona. Tempo un minuto circa (navigando fra le varie pagine del sito) e avast mi avverte dell'errore.
Ora, io non sono sicuro che il sito di cui parlo sia veramente infetto e non so nemmeno come controllare tale cosa.
Sapere se il problema viene da lì non è cosa da poco.
Il sito è quello ufficiale dell'etichetta discografica, quindi non penso sia una cosa fatta apposta.
Se qualcuno sa come fare per controllare se tale sito sia infetto (www.wynonarecords.com), me lo può dire?
Il problema mi si è presentato usando internet explorer (son convinto che firefox lo blocchi sul nascere).
Ok, detto questo aggiungo un'altra cosa strana:
riguarda win32.dialer.hh segnalato da spybot (il cookie). Non c'avevo fatto caso, ma si tratta del cookie di nome "hp_administrator@google.it".
E' "normale" questa cosa? Che a un cookie di google venga "attaccato" il win32.dialer.hh?
Sperando ancora in un vostro aiuto (e sperando così di poter dedicare un po' più di attenzione al resto del forum che mi sembra piuttosto interessante ^^ ).
Grazie e ciao a tutti ^^ ! |
|
Top |
|
 |
bdoriano Amministratore


Registrato: 02/04/07 12:05 Messaggi: 14391 Residenza: 3° pianeta del sistema solare...
|
Inviato: 25 Giu 2007 21:50 Oggetto: |
|
|
Ho dato un'occhiata veloce al sito.
Già nella pagina iniziale c'è un IFRAME che non mi piace per niente.
Hai provato a navigarlo con un altro browser? (Opera, Firefox o Netscape). |
|
Top |
|
 |
|