Precedente :: Successivo |
Autore |
Messaggio |
grandegio Mortale devoto
Registrato: 24/03/07 11:02 Messaggi: 11
|
Inviato: 24 Mar 2007 11:21 Oggetto: Forse sono infettato? (log HijackThis) |
|
|
Ciao a tutti e grazie d'anticipo a chi mi risponderà!!
Prima di tutto voglio mettervi a conoscenza che sono un utente nuovo di questo forum, ma ho deciso di registrarmi perchè questo sito è il migliore sul web!!!
Complimenti!
Adesso espongo il mio problemino:
Il mio sistema operativo è Windows XP Professional.
E' quasi un mese che la connessione mi salta all'improvviso.Appena mi connetto salta dopo appena 5 minuti, e poi stacco l'usb del modem ( un nortek dato in regalo dalla tiscali 5 anni fà) così facendo si riallinea e la connessione riparte di nuovo. In questo modo tante volte non salta più o tante volte dopo 4 o 5 ore saltadi nuovo! CHE RABBIA!!!
Come antivirus ho AVG 7.5 Internet Security e come anti Spy ho Giant AntySpyware. Per un ulteriore filtro alla rete ho installato anche Sygate Personal Firewall Pro. Pensate che sono abbastanza protetto?
Comunque sia ho scansionato il mio Pc in modalità provvisoria con tutti questi programmi e ho trovato un mare di cavalli di troia e di cooking e anche qualche virus! Penso ormai tutti eliminati.
Ora quello che mi preoccupa moltissimo è che AVG rileva sempre una minaccia con probabile virus: LanMon.exe ( Prima mi rilevava anche questo file Nvidiatop.exe). Adesso se volete posto qui la scansione fatta con HijackThis:
Logfile of HijackThis v1.99.0
Scan saved at 11.19.16, on 24/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\nvidiatop.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
F:\Software\Pulisci Registro Sistema\Problemi Internet\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.110.154.45:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\nvidiatop.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Software\Adobe Reader 6.0\Installazionne\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - D:\Alessandro\Progammi Utili\FleshGet\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - D:\Alessandro\Progammi Utili\FleshGet\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDAED44C-A866-4602-B915-B251135E174B}: NameServer = 213.205.32.70 213.205.36.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
Su una riga compaiono questi file :
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\nvidiatop.exe"
Ho provato a Fixarli ma niente ritornano sempre!!
Forse è quella la causa della mia frequente disconnessione dell'adsl?
Ma perchè quando mi compare la finestra di AVG in cui dice di eliminare o almeno coreggere questi file non riesco?
Grazie a tutti!!! Sperando in una vostra rispota.
Ciao a tutti |
|
Top |
|
|
dasio78 Dio maturo
Registrato: 22/06/06 22:05 Messaggi: 6282
|
Inviato: 24 Mar 2007 13:46 Oggetto: |
|
|
Ciao grandegiò, e benvenuto!!
Ti apettiamo nel qui per le presentazioni!!
nell'attesa che un vero esperto ti aiuti, mi viene da pensare che più che un trojan o uno spyware si tratti di un dialer... che tipo di connessione usi?
Se usi un'adsl, di solito fanno quest'effetto...
Hai provato a dare un'occhiata al topic "il meglio del forum di pronto soccorso Zeus"? Sul link "tool e risorse per la sicurezza" puoi trovare virusTotal, che scansiona singoli files direttamente dal tuo hardisk, oppure fare una scansione on line. |
|
Top |
|
|
grandegio Mortale devoto
Registrato: 24/03/07 11:02 Messaggi: 11
|
Inviato: 24 Mar 2007 14:01 Oggetto: GRAZIE |
|
|
Prima di tutto voglio ringraziarti del tuo interesse per il mio problema!!
Senti scusa la mia ignoranza..! ma dove trovo quel link? |
|
Top |
|
|
grandegio Mortale devoto
Registrato: 24/03/07 11:02 Messaggi: 11
|
Inviato: 24 Mar 2007 14:12 Oggetto: OK!! |
|
|
Ok grazie ho travato il link.
Ma per fare una scansione che cosa devo fare?
Dove devo clikkare? |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 24 Mar 2007 18:47 Oggetto: |
|
|
ciao, benvenuto anche dalla parte mia
Citazione: | Prima di tutto voglio mettervi a conoscenza che sono un utente nuovo di questo forum, ma ho deciso di registrarmi perchè questo sito è il migliore sul web!!!
Complimenti! |
scarica KillBox
Start\esegui --> regedit\ OK
Portati a questa chiave:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
individua la voce USERINIT
evidenziala voce infetta: "c:\windows\nvidiatop.exe", (comprese le virgolette e virgola finale) e cancellala (tasto Del)
ATTENZIONE a non eliminare tutta la chiave.
dopo la pulizia dev'essere così:
c:\windows\system32\userinit.exe, (compresa la virgola finale)
controlla che la voce non sia presente nella chiave SHELL
avvia KillBox
1. seleziona Delete on reboot
2. seleziona All files
3. dalla barra menu sopra scegli File e seleziona Paste from clipboard
4. copia nello spazio bianco c:\windows\nvidiatop.exe
5. clicca sulla X rotonda
carica questi file su VirusTotal
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
posta i risultati insieme con nuovo log di HiJack |
|
Top |
|
|
grandegio Mortale devoto
Registrato: 24/03/07 11:02 Messaggi: 11
|
Inviato: 24 Mar 2007 20:35 Oggetto: |
|
|
ok grazie!!
ma senti nvidiatop.exe è un virus o altro? E' questo che causa la caduta di connessione dell'adsl?Come posso controllare che la voce non sia presente nella chiave shell??
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
questi due file sono i codec per vedere i film in divx? Presentano un pericolo anche questi?
Come faccio a portarmi su quella chiave nel registro di sistema??
Portati a questa chiave:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
individua la voce USERINIT
Come faccio?? |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 24 Mar 2007 20:49 Oggetto: |
|
|
Citazione: | C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
questi due file sono i codec per vedere i film in divx? |
è una domanda o un'affermazione?
se sono i tuoi codec è tutto OK.
Citazione: | Portati a questa chiave:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
individua la voce USERINIT
Come faccio?? |
Start \ Esegui-->digita regedit \ OK |
|
Top |
|
|
grandegio Mortale devoto
Registrato: 24/03/07 11:02 Messaggi: 11
|
Inviato: 24 Mar 2007 22:24 Oggetto: Sorry... |
|
|
Si sono i miei codec. Scusa ma dopo la frase dovevo mettere il punto invece ho sbagliato e ho messo il punto interrogativo!
Senti ma come si vede se quel file stà anche su SHELL???
Comunque nella chiave di registro l'ho eliminata come mi avevi detto.
Adesso speriamo bene e magari speriamo che la connessione non cada più!
Senti invece per il file LanMon che cosa mi dici?? |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 24 Mar 2007 23:41 Oggetto: Re: Forse sono infettato? (log HijackThis) |
|
|
grandegio ha scritto: | Ciao a tutti e grazie d'anticipo a chi mi risponderà!!
Prima di tutto voglio mettervi a conoscenza che sono un utente nuovo di questo forum, ma ho deciso di registrarmi | Ciao grandegio, benvenuto!
grandegio ha scritto: | perchè questo sito è il migliore sul web!!!
Complimenti! | Troppo buono....
Io non ho ancora avuto il tempo di girare tutto il web quindi non posso confermare né smentire questo tua opinione
però se t'interessa scrivere un tuo parere (positivo o negativo) su ZeusNews e sul suo forum, c'è l'apposita sezione Zeus Sì/No
grandegio ha scritto: | Senti ma come si vede se quel file stà anche su SHELL??? | Penso che Orange intendesse di guardare, nella stessa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
oltre al valore di nome Userinit anche il valore di nome Shell. Che dato è associato a tale valore?
(Orange, confermi?)
Posta poi unnuovo log di HijackThis.
Quanto al file LanMon, AVG te lo trova ancora?
(ma che virus diceva che fosse?) |
|
Top |
|
|
Orange Dio maturo
Registrato: 18/02/07 12:20 Messaggi: 2224 Residenza: Roma
|
Inviato: 25 Mar 2007 00:13 Oggetto: |
|
|
Citazione: | Senti ma come si vede se quel file stà anche su SHELL???
|
quando fai il clic su Winlogon, nella finestra a destra li trovi tutti e due:
devono essere impostate così.
Citazione: | Adesso speriamo bene e magari speriamo che la connessione non cada più! |
non abbiamo ancora finito! rifai il log di HiJack e mettilo qui. |
|
Top |
|
|
grandegio Mortale devoto
Registrato: 24/03/07 11:02 Messaggi: 11
|
Inviato: 25 Mar 2007 15:03 Oggetto: Risposta |
|
|
OK.. Tutto chiaro. Ho trovato le voci nel registro del sistema, la voce SHELL è ok, ma nella voce Userinit compare la voce "c:\windows\nvidiatop.exe", , poi ho clikkato due volte sopra la voce Userinit e ho selezionato quel pezzettino che mi hai detto tu e ho cancellato con il tasto Canc della tastiera. A quel punto tutto ok le chiavi erano pulite. Poi con KillBox ho fatto la seconda procedura sempre seguendo la tua guida. Adesso è rinato il problema!
Oggi sono andato dinuovo a vedere nel registro sistema, e quella cavolo di riga si è ripresentata. "c:\windows\nvidiatop.exe", .
Per quale motivo??? Adesso provo a rifare la procedura poi posto qui il file log nuovo di HiJack. Comunque oggi la connessione salta ancora! |
|
Top |
|
|
|