Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
aiuto log hijackthis!
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
steweak
Mortale devoto
Mortale devoto


Registrato: 25/09/07 22:33
Messaggi: 9
MessaggioInviato: 25 Set 2007 22:39    Oggetto: aiuto log hijackthis! Rispondi citando
avrei bisogno del vostro parere sul log riportato di seguito..

grazie in anticipo


Logfile of HijackThis v1.99.1
Scan saved at 22.36.16, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Allume\StuffIt\MXTask.exe
C:\WINDOWS\system32\UAService7.exe
C:\PROGRA~1\Allume\StuffIt\mxtask.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\ste\Desktop\gmer.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\ste\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SBDrvDet] "C:\Programmi\Creative\SB Drive Det\SBDrvDet.exe " /r
O4 - HKLM\..\Run: [avast!] "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG Utility] "C:\Programmi\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CTSysVol] "C:\Programmi\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe " /r
O4 - HKLM\..\Run: [CTHelper] "CTHELPER.EXE"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MCW Startup] "C:\Programmi\Monitor Calibration Wizard\MCW.exe" /s
O4 - Global Startup: Logo Calibration Loader.lnk = C:\Programmi\GretagMacbeth\i1\Eye-One Match 3\CalibrationLoader\CalibrationLoader.exe
O4 - Global Startup: ProfileReminder.lnk = C:\Programmi\GretagMacbeth\i1\Eye-One Match 3\ProfileReminder.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{769BD482-FA35-44C5-8257-8C8FB6EA399D}: NameServer = 85.255.116.136 85.255.112.13
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programmi\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: StuffIt Task Manager - Allume Systems, Inc. - C:\PROGRA~1\Allume\StuffIt\MXTask.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 25 Set 2007 23:09    Oggetto: Rispondi citando
ciao, steweak

sarebbe anche utile sapere che problemi riscontri...

puoi eliminare questa voce:
O17 - HKLM\System\CCS\Services\Tcpip\..\{769BD482-FA35-44C5-8257-8C8FB6EA399D}: NameServer = 85.255.116.136 85.255.112.13
(a meno che non usi un provider Ucraino Confused )
per il resto il log è pulito
Top
Profilo Invia messaggio privato
steweak
Mortale devoto
Mortale devoto


Registrato: 25/09/07 22:33
Messaggi: 9
MessaggioInviato: 25 Set 2007 23:29    Oggetto: Rispondi citando
ciao orange, grazie per l'aiuto..

ho problemi con firefox (e il maledetto explorer), alcune pagine vengono reindirizzate..

ho provato a fixare la voce:

O17 - HKLM\System\CCS\Services\Tcpip\..\{769BD482-FA35-44C5-8257-8C8FB6EA399D}: NameServer = 85.255.116.136 85.255.112.13

ma si ricrea ogni volta che mi riconnetto ad internet..

il bello è che in modalità provvisoria la connessione non mi funziona (non ho idea del perchè) quindi la voce in questione non viene trovata da Hikackthis e non posso fixarla...

dimmi se hai bisogno di altre info..
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 25 Set 2007 23:43    Oggetto: Rispondi citando
fai i passaggi indicati in questo topic e posta i relativi link
Top
Profilo Invia messaggio privato
steweak
Mortale devoto
Mortale devoto


Registrato: 25/09/07 22:33
Messaggi: 9
MessaggioInviato: 26 Set 2007 00:18    Oggetto: Rispondi citando
rieccomi con i log delle scansioni:

http://www.freefilehosting.net/download/MjQzOTA=

http://www.freefilehosting.net/download/MjQzOTE=



aspetto tue nuove..
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 26 Set 2007 08:29    Oggetto: Rispondi citando
scarica questo tool
disabilita il tuo antivirus
esegui rustbfix.exe
Se viene trovata l'infezione verrà chiesto di riavviare, riavvia il computer.
Probabilmente il computer si riavvierà due volte una dopo l'altra, è normale.

scarica RegRun Reanimator e scompattalo dove vuoi tu (non necessita d'installazione)
Esegui reanimator.exe
Clicca su "Remove Rustock Rootkit"
conferma tutte le richieste
riavvia

posta per favore il log di rustbfix
Top
Profilo Invia messaggio privato
steweak
Mortale devoto
Mortale devoto


Registrato: 25/09/07 22:33
Messaggi: 9
MessaggioInviato: 26 Set 2007 11:16    Oggetto: Rispondi citando
allora caro..
ho seguito le tue istruzioni:

ho lanciato rustbfix.exe che dopo il riavvio ha scritto due txt:

http://www.freefilehosting.net/download/MjQ1NDI=

http://www.freefilehosting.net/download/MjQ1NDM=


ho eseguito reanimator.exe che a sua volta mi ha fatto riavviare.

ti serve un nuovo log di rustbfix.exe?

ps hijackthis continua a rilevare la voce ucraina incriminata


ciao
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 26 Set 2007 11:24    Oggetto: Rispondi citando
pare che è stato rimosso.
fissa quella voce con HJT, non dovrebbe piu riapparire.

per sicurezza rifai entrambi le scansioni con Gmer e posta i link.
Top
Profilo Invia messaggio privato
steweak
Mortale devoto
Mortale devoto


Registrato: 25/09/07 22:33
Messaggi: 9
MessaggioInviato: 26 Set 2007 13:21    Oggetto: Rispondi citando
purtroppo continua a comparire quando mi connetto..

ecco i log:

http://www.freefilehosting.net/download/MjQ1NjE=

http://www.freefilehosting.net/download/MjQ1NjI=


mi dispiace farti perdere tutto sto tempo...
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 26 Set 2007 21:23    Oggetto: Rispondi citando
steweak ha scritto:
purtroppo continua a comparire quando mi connetto..

strano... i logs che hai postato sono puliti, ma facciamo quest'altro controllo (non si sà mai Rolling Eyes )

posta qui il link
Top
Profilo Invia messaggio privato
steweak
Mortale devoto
Mortale devoto


Registrato: 25/09/07 22:33
Messaggi: 9
MessaggioInviato: 27 Set 2007 00:56    Oggetto: Rispondi citando
eccomi ancora...

ecco il log..

http://www.freefilehosting.net/download/MjQ2OTk=


considera però che quando sono disconnesso (come era richiesto nelle istruzioni) la voce malefica scompare...

boh...
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 27 Set 2007 13:38    Oggetto: Rispondi citando
scarica Avenger e scompattalo sul desktop
avvialo, seleziona Input script manually
clicca sulla lente d'ingrandimento
nella finestra che si apre View/Edit scrit copia/incolla queste righe:
Citazione:
Files to delete:
C:\WINDOWS\{00000000-00000000-0000000B-00001102-00000004-20021102}.CDF
C:\WINDOWS\system32\settingsbkup.sfm
C:\WINDOWS\system32\settings.sfm
C:\WINDOWS\system32\DVCStateBkp-{00000000-00000000-0000000B-00001102-00000004-20021102}.dat
C:\WINDOWS\system32\BMXState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\BMXCtrlState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\DVCState-{00000000-00000000-0000000B-00001102-00000004-20021102}.dat
C:\WINDOWS\system32\BMXStateBkp-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\q55y6o4Y.exe
C:\DOCUME~1\ste\IMPOST~1\Temp\bt0572.bat
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At1.job

Clicca Done
poi sul icona del semaforo
rispondi Yes (a questo punto il PC dovrebbe riavviarsi. se così non fosse riavvialo manualmente)

ripulisci i file temporanei con CCleaner e/o ATF Cleaner
posta il log di Avenger
Top
Profilo Invia messaggio privato
steweak
Mortale devoto
Mortale devoto


Registrato: 25/09/07 22:33
Messaggi: 9
MessaggioInviato: 27 Set 2007 17:11    Oggetto: Rispondi citando
ok tutto fatto.

qui c'è il log all'avvio di avenger:

http://www.freefilehosting.net/download/MjQ4NTQ=
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 27 Set 2007 20:07    Oggetto: Rispondi citando
posta il log aggiornato di HJT
Top
Profilo Invia messaggio privato
steweak
Mortale devoto
Mortale devoto


Registrato: 25/09/07 22:33
Messaggi: 9
MessaggioInviato: 27 Set 2007 20:13    Oggetto: Rispondi citando
eccolo:

http://www.freefilehosting.net/download/MjQ4OTM=


madonna che fatica (soprattutto per te)
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 27 Set 2007 20:31    Oggetto: Rispondi citando
Confused
O17 - HKLM\System\CCS\Services\Tcpip\..\{769BD482-FA35-44C5-8257-8C8FB6EA399D}: NameServer = 85.255.116.136 85.255.112.13
è sempre lì....

riprova a fissare la voce con HJT
altrimenti cancellala manualmente dal registro.
Top
Profilo Invia messaggio privato
steweak
Mortale devoto
Mortale devoto


Registrato: 25/09/07 22:33
Messaggi: 9
MessaggioInviato: 28 Set 2007 01:23    Oggetto: Rispondi citando
purtroppo fixare la voce con hjt non serviva a nulla...
lo stesso cancellarla dal registro..
si ricreava ogni volta che mi connettevo a internet..

ho trovato però in un forum inglese notizia di un tale
aveva risolto il mio stesso problema...

nelle propietà della connessione internet predefinita, nel menù rete e poi ancora proprietà >avanzate>dns, ho cancellato manualmente i numeri di ip incriminati..

ora la scansione di hjt mi segnala il numero di ip del mio provider...
sembra che tutto funzioni al momento..

cmq grazie mille, ORANGE per la tua disponibilità
Top
Profilo Invia messaggio privato
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
MessaggioInviato: 28 Set 2007 08:52    Oggetto: Rispondi
meglio così Smile


se vuoi presentarti alla comunità "divina" del Olimpo ti aspettiamo al nostro speciale Comitato di accoglienza!


Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi