| Precedente :: Successivo |
| Autore |
Messaggio |
~mik19style~
Mortale devoto
Registrato: 20/11/07 21:57
Messaggi: 9
|
 Inviato: 20 Nov 2007 22:15 Oggetto: |
 |
|
Prima di tutto, salve a tutti e grazie del'aiuto che sono certo saprete darmi.
Un'amica mi ha chiesto di controllarle il pc perchè "avvenivano cose strane", ho fatto un po' di verifiche e ricerche, ed eccomi qui a chiedere aiuto per eliminare quel fastidioso CID, ed eventuali problemi che personalmente nn riesco a rintracciare.
Ecco qui il log di hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 20.45.04, on 20/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Documents and Settings\GABRY\Documenti\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programmi\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programmi\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CentrinoHardwareControl] "C:\Programmi\Centrino HC\Centrino_HC.exe" -quiet
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\Ereg.exe" -r "C:\Programmi\ScanSoft\OmniPageSE2.0\EregIta\ereg.ini"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Option Bib Logo Log] C:\Documents and Settings\All Users\Dati applicazioni\LICENSE ADMIN OPTION BIB\Soft Five.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmi\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programmi\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programmi\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EEEED03-BF84-490D-AEDF-C556147BDF84}: NameServer = 193.70.152.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Confido in una celere risposta; ho in ostaggio il portatile da più di tre giorni e credo che la mia amica stia meditando di uccidermi.  |
|
| Top |
|
 |
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 20 Nov 2007 22:19 Oggetto: |
|
|
Disattiva il ripristino e avvia in modalità provvisoria
avvia HijackThis, seleziona Do a system scan only, metti la spunta alle voci indicate e premi Fix checked:
O4 - HKLM\..\Run: [Option Bib Logo Log] C:\Documents and Settings\All Users\Dati applicazioni\LICENSE ADMIN OPTION BIB\Soft Five.exe
quindi esegui queste istruzioni:
Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:
Files to delete:
C:\Documents and Settings\All Users\Dati applicazioni\LICENSE ADMIN OPTION BIB\Soft Five.exe
Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà. |
|
| Top |
|
|
~mik19style~
Mortale devoto
Registrato: 20/11/07 21:57
Messaggi: 9
|
| Inviato: 20 Nov 2007 22:51 Oggetto: |
|
|
Fatto:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\patrtgup
*******************
Script file located at: \??\C:\Documents and Settings\edxkfqnc.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\Documents and Settings\All Users\Dati applicazioni\LICENSE ADMIN OPTION BIB\Soft Five.exe deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Ora come procedo?
Grazie della disponibilità e della celerità.  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
|
| Top |
|
|
~mik19style~
Mortale devoto
Registrato: 20/11/07 21:57
Messaggi: 9
|
|
| Top |
|
|
ste_95
Dio maturo
Registrato: 03/08/07 14:41
Messaggi: 1920
Residenza: Italy
|
| Inviato: 21 Nov 2007 08:33 Oggetto: |
|
|
per me è tutto pulito...meno questo files del quale non ho trovato nulla in proposito:
cikefemn.sys
conosci questo programma?
LicCtrl |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 21 Nov 2007 10:23 Oggetto: |
|
|
| ste_95 ha scritto: | | meno questo files del quale non ho trovato nulla in proposito: cikefemn.sys |
il che è abbastanza strano (leggi sospetto), non credi?
~mik19style~ (caspita, un nick facile, facile, eh?  ), non sò gli altri, ma a me non mi pare il caso di farti usare strumenti avanzati. Perciò andiamo sul più facile: fai la scansione on-line con Kaspersky, in questo modo. Carica il risultato (in formato HTML) su http://www.freefilehosting.net/ e posta il link.
| ste_95 ha scritto: | | conosci questo programma? LicCtrl |
basterebbe usare Google. |
|
| Top |
|
|
~mik19style~
Mortale devoto
Registrato: 20/11/07 21:57
Messaggi: 9
|
| Inviato: 21 Nov 2007 17:56 Oggetto: |
|
|
Grazie dell'aiuto, sto eseguendo la scansione con kaspersky... presto nuovi aggiornamenti.
Edit: Dopo un'ora e cinquanta minuti circa, ecco il risultato
P.S.
| Orange ha scritto: | | caspita, un nick facile, facile, eh? |
Ripeto quello che ho detto nel 3d di presentazione, chiamatemi Mik  |
|
| Top |
|
|
Orange
Dio maturo
Registrato: 18/02/07 13:20
Messaggi: 2224
Residenza: Roma
|
| Inviato: 21 Nov 2007 22:10 Oggetto: |
|
|
Mik, allora!
qualcosina abbiamo trovato
scarica ATF Cleaner
avvialo, metti la spunta su Select all (se usi Firefox o Opera spunta anche le loro opzioni)
clicca Empty selected e aspetta il messaggio Done cleaning!
eventualmente ripeti per FF e/o Opera
Avvia Avenger e inserisci questo script:
| Citazione: | Files to delete:
C:\avenger\backup.zip
C:\Documents and Settings\GABRY\Dati applicazioni\burnslowbase\mukwpnsy.exe
C:\Documents and Settings\GABRY\Dati applicazioni\burnslowbase\rule info hold.exe
C:\Documents and Settings\GABRY\Dati applicazioni\burnslowbase\vprhxamc.exe
C:\Documents and Settings\GABRY\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\file\jaja.class-6c5311ae-59d2be35.class
C:\Documents and Settings\GABRY\Impostazioni locali\Temp\bis645.exe
C:\Documents and Settings\GABRY\Impostazioni locali\Temp\IH4B.tmp
C:\Programmi\eMule\Incoming\cindy\high school musical 2 Share Accelerator.zip |
Su quest'ultimo eventualmente decidi tu, se eliminarlo o meno. e segnalato solamente come adware.
puoi svuotare la quarantena di Ashampoo AntiSpy e dovresti essere a posto. |
|
| Top |
|
|
~mik19style~
Mortale devoto
Registrato: 20/11/07 21:57
Messaggi: 9
|
| Inviato: 22 Nov 2007 00:12 Oggetto: |
|
|
Eseguito tutto, ma avenger mi segnala i seguenti errori:
Could not open file C:\Documents and Settings\GABRY\Dati applicazioni\Sun\Java\Deployment\cache\javapi\v1.0\file\jaja.class-6c5311ae-59d2be35.class
File C:\Documents and Settings\GABRY\Impostazioni locali\Temp\bis645.exe not found!
File C:\Documents and Settings\GABRY\Impostazioni locali\Temp\IH4B.tmp not found!
Attendo eventuali consigli sul dafarsi.
Per il resto tutto ok, grazie mille per l'aiuto e la pazienza! |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 22 Nov 2007 00:25 Oggetto: |
|
|
Non ti preoccupare, è normale.
Avendo fatto un primo passaggio con ATF-Cleaner, vengono eliminati i files temporanei (di cui facevano parte anche i 3 files indicati da te).
Come ti sembra che vada il pc, ora? |
|
| Top |
|
|
~mik19style~
Mortale devoto
Registrato: 20/11/07 21:57
Messaggi: 9
|
| Inviato: 22 Nov 2007 01:02 Oggetto: |
 |
|
Sembra ok, di sicuro nn si aprono più quelle fastidiose finestre di explorer con pubblicità di ogni genere. Per il resto ho convocato domani la mia amica proprietaria del pc in questione per costringerla a rimuovere programmi decisamente inutilie e le copie multiple degli stessi file che le intasano il pc.
Grazie a tutti.  |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
