View Full Version : Malignissimo worm?
saurus666
12-02-2005, 15:17
ciao a tutti...in breve: da un p di tempo che mi compaiono insistenti messaggi contenenti questa frase "your computer might be at risk" "your virus protection is bad, spyware activity detected" e mi invita a cliccare sulla "tray"; cliccando sulla icona nella tray, si avvia un'eseguibile "hh.exe" collegandosi al sito funny-girls.com prontamente bloccato dal mio Sygate.
premetto che ho fatto le dovute scansioni con AVG , Norton, Sysclean e Spybot 1.3, ma non sono riuscito a eliminare il maligno.
quindi ho dato una riassettata al registro con HijackThis ma...NADA!
mi date una mano voi se potete?...Grazie per avermi letto, ciao a tutti
Delorean
12-02-2005, 16:02
primo:di chi sono i messaggi di alert che ti compaiono?
secondo: puoi postare il log di hijackthis please?;)
tnx
diamondhead
12-02-2005, 19:47
Salve approfitto di questo topic per esporre il mio problema...
... searchweb2, appare una barra con search in web subito dopo il primo collegamento in rete, e nn va + via neanche se chiudo tutte le finestre.
ho installato l'adaware lo spybot il nod 32 ma nulla ad ogni connessione riappare la barra in basso (FASTIDIOSISSIMA :( )
Ora ho scaricato HijackThis fatto il log. lo ripoto di seguito.
Spero in un vostro aiuto sono un asino e nn riesco a venirne fuori.
Logfile of HijackThis v1.99.0
Scan saved at 19.46.54, on 12/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\SoftDisc\softdisc.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\Programmi\Messenger Plus! 3\MsgPlus.exe
C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Software Bluetooth\BTTray.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\SOFTWA~1\BTSTAC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
H:\Applicazioni e download vari\antivirus\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://moigjlyawosycohpbvmspklb.uk/n_MW1U6MaFf8qjibOo5Dvj3T9ZUtsBpc7iay_Ls/MV4.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {968C2B12-BF2A-2AE4-7760-2AD918E6F99F} - C:\DOCUME~1\WINXP~1\DATIAP~1\GPLGRI~1\Sign Keep.exe
O2 - BHO: Name - {B4409CFC-167D-4BDF-BE8E-13B3D49D7722} - C:\WINDOWS\System32\msnfd.dll
O2 - BHO: (no name) - {E74C4AB5-5D43-4C2E-B67C-5F77601172C7} - C:\WINDOWS\System32\qwsxp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [SoftDisc] "C:\Programmi\SoftDisc\softdisc.exe" -hide
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [U4EX] C:\WINDOWS\qykpx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [0�4�6] C:\WINDOWS\qykpx.exe
O4 - HKLM\..\Run: [09]m*�DaJC:\Programmi\ISTsvc\istsvc.exe] C:\WINDOWS\qykpx.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Third owns way aim] C:\Documents and Settings\All Users\Dati applicazioni\Bird Setup Third Owns\Beep Kind.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtstr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Programmi\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [dart bend] C:\DOCUME~1\WINXP~1\DATIAP~1\ELSECH~1\okay real.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26fa232ce14ccb0ea318/netzip/RdxIE601_it.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E282B7-3863-4689-B673-EE60833BC15C}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E004EF4-E29B-458F-A2F3-CABB560A1348}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{C19ECF47-6FC4-434B-AD28-BCF9592E2991}: NameServer = 69.50.176.156 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B44D96-ACDF-4E5A-9727-9905A7187553}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1ED9134-B112-4AF1-BBDF-9C7974223ADA}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0386D66-F1CD-4D39-8E0A-9BD43956A321}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFF16F21-3F8A-404B-89A8-9616F5066DD7}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{89E282B7-3863-4689-B673-EE60833BC15C}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{89E282B7-3863-4689-B673-EE60833BC15C}: NameServer = 69.50.176.156,195.225.176.31
O18 - Filter: text/html - {FB1AB5CA-3506-4E0F-B24E-87ED3903CBEB} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: t5&ER - {EEBB22FF-3CD0-4C62-AA6B-726D24D8B883} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: t5NDR - {85FA798B-924F-490F-BE32-5500C5AC4B98} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: t5ER - {FB1AB5CA-3506-4E0F-B24E-87ED3903CBEB} - C:\WINDOWS\System32\qwsxp.dll
O21 - SSODL: Trayz - {F5B7D0BE-5f02-4211-96DB-386DFA244900} - C:\WINDOWS\jngihkjg.dll (file missing)
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
Grazie per l'attenzione
Diamond
ercolino
12-02-2005, 22:57
Incolla il log qui ti dir cosa fare:
http://hijackthis.de/index.php?langselect=italian
@ Diamondhead,
ti converrebbe passare al Service pack 2 di Windows xp.
Mi sembra che hai un bel po' di roba sospetta...leggi cosa dice l'analizzatore di Hijackthis sul tuo sistema :
Logfile of HijackThis v1.99.0 Sicuro.
Sicuro. Mostra la versione di HijackThis in uso. La versione pi recente : v1.99.0! Dovrebbe trattarsi dell'ultima versione. (v1.99.0)
E' disponibile una versione piu' recente del service pack. I service pack migliorano la sicurezza del vostro sistema. Scaricate la versione piu' nuova del service pack dal sito Microsoft Windowsupdate.
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Sicuro.
Sicuro. Mostra la versione di Internet Explorer. La versione pi recente : 6.00.2800.1106! Dovrebbe trattarsi dell'ultima versione. (6.00.2800.1106)
C:\WINDOWS\System32\smss.exe Sicuro.
Sicuro. processi in esecuzione. (smss.exe)
Systemprozess - Anwendung, die benutzt wird um Sitzungen zu starten, verwalten und lschen.
C:\WINDOWS\system32\csrss.exe Sicuro.
Sicuro. processi in esecuzione. (csrss.exe)
Systemprozess - Client Server Runtime
C:\WINDOWS\system32\winlogon.exe Sicuro.
Sicuro. processi in esecuzione. (winlogon.exe)
Systemprozess - Windows Login Routine
C:\WINDOWS\system32\services.exe Sicuro.
Sicuro. processi in esecuzione. (services.exe)
Systemprozess - Verwaltet die Systemdienste.
C:\WINDOWS\system32\lsass.exe Sicuro.
Sicuro. processi in esecuzione. (lsass.exe)
Systemprozess
C:\WINDOWS\system32\svchost.exe Sicuro.
Sicuro. processi in esecuzione. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname fr Dienste.
C:\WINDOWS\System32\svchost.exe Sicuro.
Sicuro. processi in esecuzione. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname fr Dienste.
C:\Programmi\Sygate\SPF\smc.exe Firewall
Sicuro. processi in esecuzione. (smc.exe)
Sygate Personal Firewall
C:\WINDOWS\System32\svchost.exe Sicuro.
Sicuro. processi in esecuzione. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname fr Dienste.
C:\WINDOWS\System32\svchost.exe Sicuro.
Sicuro. processi in esecuzione. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname fr Dienste.
C:\WINDOWS\system32\LEXBCES.EXE Sicuro.
Sicuro. processi in esecuzione. (LEXBCES.EXE)
Lexmark LexBce Service
C:\WINDOWS\system32\spoolsv.exe Sicuro.
Sicuro. processi in esecuzione. (spoolsv.exe)
Systemprozess
C:\WINDOWS\system32\LEXPPS.EXE Sicuro.
Sicuro. processi in esecuzione. (LEXPPS.EXE)
C:\WINDOWS\Explorer.EXE Sicuro.
Sicuro. processi in esecuzione. (Explorer.EXE)
Systemprozess fr Desktop und Taskleiste.
C:\Program Files\ASUS\Probe\AsusProb.exe Sicuro.
Sicuro. processi in esecuzione. (AsusProb.exe)
C:\WINDOWS\System32\sstray.exe Sicuro.
Sicuro. processi in esecuzione. (sstray.exe)
C:\WINDOWS\System32\rundll32.exe Sicuro.
Sicuro. processi in esecuzione. (rundll32.exe)
RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.
C:\Programmi\SoftDisc\softdisc.exe Sconosciuto
Sconosciuto processi in esecuzione. (softdisc.exe)
Processo sconosciuto.
C:\WINDOWS\System32\NotifyPhoneBook.exe Sconosciuto
Sconosciuto processi in esecuzione. (NotifyPhoneBook.exe)
Processo sconosciuto.
C:\Programmi\Messenger Plus! 3\MsgPlus.exe Sicuro.
Sicuro. processi in esecuzione. (MsgPlus.exe)
Messenger Plus
C:\Programmi\File comuni\Nokia\Tools\NclTray.exe Sicuro.
Sicuro. processi in esecuzione. (NclTray.exe)
Nokia NCL
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programmi\file comuni\nokia\ncltools\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe Sicuro.
Sicuro. processi in esecuzione. (DataLayer.exe)
Nokia DataLayer
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programmi\nokia\nokia pc suite 5\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\Programmi\File comuni\Real\Update_OB\realsched.exe Sicuro.
Sicuro. processi in esecuzione. (realsched.exe)
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE Sicuro.
Sicuro. processi in esecuzione. (SERVIC~1.EXE)
Nokia PC Suite
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\progra~1\gemein~1\nokia\services!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe Sicuro.
Sicuro. processi in esecuzione. (PDVDServ.exe)
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\cyberlink dvd solution\powerdvd\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe Sicuro.
Sicuro. processi in esecuzione. (eBayTBDaemon.exe)
eBay Toolbar Daemon
C:\Programmi\Eset\nod32kui.exe Sicuro.
Sicuro. processi in esecuzione. (nod32kui.exe)
C:\Programmi\Internet Explorer\iexplore.exe Sicuro.
Sicuro. processi in esecuzione. (iexplore.exe)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
C:\WINDOWS\System32\ctfmon.exe Sicuro.
Sicuro. processi in esecuzione. (ctfmon.exe)
C:\Programmi\Software Bluetooth\BTTray.exe Sicuro.
Sicuro. processi in esecuzione. (BTTray.exe)
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\widcomm\bluetooth software\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe Sicuro.
Sicuro. processi in esecuzione. (connmngmntbox.exe)
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe Sicuro.
Sicuro. processi in esecuzione. (ectaskscheduler.exe)
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe Sicuro.
Sicuro. processi in esecuzione. (Elogerr.exe)
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\progra~1\nokia\pcsuit~1!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe Sicuro.
Sicuro. processi in esecuzione. (mRouterRuntime.exe)
C:\PROGRA~1\SOFTWA~1\BTSTAC~1.EXE Sicuro.
Sicuro. processi in esecuzione. (BTSTAC~1.EXE)
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\progra~1\dell\blueto~1!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE Sicuro.
Sicuro. processi in esecuzione. (BROADC~1.EXE)
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\progra~1\nokia\pcsuit~1!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe Sicuro.
Sicuro. processi in esecuzione. (SCRFS.exe)
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\progra~1\nokia\pcsuit~1!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\WINDOWS\System32\alg.exe Sicuro.
Sicuro. processi in esecuzione. (alg.exe)
Systemprozess - Application Layer Gateway Server Questo servizio non necessario se non fate uso di ICS.
C:\Programmi\Software Bluetooth\bin\btwdins.exe Sicuro.
Sicuro. processi in esecuzione. (btwdins.exe)
Bestandteil von DLink Bluetooth Software
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\widcomm\bluetooth software\bin\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE Sicuro.
Sicuro. processi in esecuzione. (MDM.EXE)
Machine Debug Manager. Used by developers.
C:\Programmi\Eset\nod32krn.exe AV-Scanner
Sicuro. processi in esecuzione. (nod32krn.exe)
NOD32-Antivirus
C:\WINDOWS\System32\svchost.exe Sicuro.
Sicuro. processi in esecuzione. (svchost.exe)
Systemprozess - Allgemeiner Hostprozessname fr Dienste.
C:\Programmi\Internet Explorer\IEXPLORE.EXE Sicuro.
Sicuro. processi in esecuzione. (IEXPLORE.EXE)
Internet Explorer - Wir empfehlen einen sichereren alternativen Browser zu verwenden. (z.B. Firefox)
H:\Applicazioni e download vari\antivirus\HijackThis.exe Sicuro.
Sicuro. processi in esecuzione. (HijackThis.exe)
Tool, mit dem sie dieses Logfile erzeugt haben. Ricorda che Hijackthis deve essere avviato da una cartella a lui dedicata. Solo cos Hijackthis creer copie di backup prima di apportare modifiche!
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s Sospetto
Sospetto E' consigliabile premere subito il pulsante Fix in HijackThis! E' consigliabile premere subito il pulsante Fix in HijackThis!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank Abbastanza sospetto
Abbastanza sospetto Questa pagina potrebbe essere nociva. Se non conoscete l'oggetto 'about :blank', eliminatelo.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about :blank Abbastanza sospetto
Abbastanza sospetto Questa pagina potrebbe essere nociva. Se non conoscete l'oggetto 'about :blank', eliminatelo.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) Sospetto
Sospetto E' consigliabile premere subito il pulsante Fix in HijackThis! E' consigliabile premere subito il pulsante Fix in HijackThis!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) Sospetto
Sospetto E' consigliabile premere subito il pulsante Fix in HijackThis! E' consigliabile premere subito il pulsante Fix in HijackThis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) Sospetto
Sospetto E' consigliabile premere subito il pulsante Fix in HijackThis! E' consigliabile premere subito il pulsante Fix in HijackThis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) Sospetto
Sospetto E' consigliabile premere subito il pulsante Fix in HijackThis! E' consigliabile premere subito il pulsante Fix in HijackThis!
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about :blank Abbastanza sospetto
Abbastanza sospetto Questa pagina potrebbe essere nociva. Se non conoscete l'oggetto 'about :blank', eliminatelo.
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about :blank Abbastanza sospetto
Abbastanza sospetto Questa pagina potrebbe essere nociva. Se non conoscete l'oggetto 'about :blank', eliminatelo.
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank Abbastanza sospetto
Abbastanza sospetto Questa pagina potrebbe essere nociva. Se non conoscete l'oggetto 'about :blank', eliminatelo.
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about :blank Abbastanza sospetto
Abbastanza sospetto Questa pagina potrebbe essere nociva. Se non conoscete l'oggetto 'about :blank', eliminatelo.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://moigjlyawosycohpbvmspklb.uk/...iay_Ls/MV4.html Abbastanza sospetto
Abbastanza sospetto Questa pagina potrebbe essere nociva. Se non conoscete l'oggetto 'http://moigjlyawosycohpbvmspklb.uk/...iay_Ls/MV4.html', eliminatelo.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank Sospetto
Sospetto E' consigliabile premere subito il pulsante Fix in HijackThis! E' consigliabile premere subito il pulsante Fix in HijackThis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank Sospetto
Sospetto E' consigliabile premere subito il pulsante Fix in HijackThis! E' consigliabile premere subito il pulsante Fix in HijackThis!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti Sicuro.
Sicuro. Questa pagina stata identificata come sicura.
R3 - Default URLSearchHook is missing Sospetto
Sospetto Premere Fix in HijackThis se non conoscete l'applicazione oppure se non indicato alcun nome. Per quest'oggetto bene premere Fix in HijackThis.
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx Sicuro.
Sicuro. Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Result: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) stata verificata. Hit rate: 99 %
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll Sicuro.
Sicuro. Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([22D8E815-4A5E-4DFB-845E-AAB64207F5BD] - Result: 22D8E815-4A5E-4DFB-845E-AAB64207F5BD) stata verificata. Hit rate: 99 %
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll Sicuro.
Sicuro. Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([53707962-6F74-2D53-2644-206D7942484F] - Result: 53707962-6F74-2D53-2644-206D7942484F) stata verificata. Hit rate: 99 %
O2 - BHO: (no name) - {968C2B12-BF2A-2AE4-7760-2AD918E6F99F} - C:\DOCUME~1\WINXP~1\DATIAP~1\GPLGRI~1\Sign Keep.exe Sconosciuto
Sconosciuto Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([968C2B12-BF2A-2AE4-7760-2AD918E6F99F] - Result: ) stata verificata. Hit rate: -1 % Applicazione sconosciuta.
O2 - BHO: Name - {B4409CFC-167D-4BDF-BE8E-13B3D49D7722} - C:\WINDOWS\System32\msnfd.dll Sconosciuto
Sconosciuto Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([B4409CFC-167D-4BDF-BE8E-13B3D49D7722] - Result: ) stata verificata. Hit rate: -1 % Applicazione sconosciuta.
O2 - BHO: (no name) - {E74C4AB5-5D43-4C2E-B67C-5F77601172C7} - C:\WINDOWS\System32\qwsxp.dll Sconosciuto
Sconosciuto Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([E74C4AB5-5D43-4C2E-B67C-5F77601172C7] - Result: ) stata verificata. Hit rate: -1 % Applicazione sconosciuta.
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx Sicuro.
Sicuro. Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([8E718888-423F-11D2-876E-00A0C9082467] - Result: 8E718888-423F-11D2-876E-00A0C9082467) stata verificata. Se il nome costituito da caratteri casuali, trovato nella cartella 'Application Data' e il tipo 'Sconosciuto', dovrebbe essere eliminato. Hit rate: 99 %
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll Sicuro.
Sicuro. Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([92085AD4-F48A-450D-BD93-B28CC7DF67CE] - Result: 92085AD4-F48A-450D-BD93-B28CC7DF67CE) stata verificata. Se il nome costituito da caratteri casuali, trovato nella cartella 'Application Data' e il tipo 'Sconosciuto', dovrebbe essere eliminato. Hit rate: 99 %
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll Sospetto
Sospetto Le voci trovate nel registro di sistema sono potenzialmente pericolose. Questa applicazione ([06ABAA2D-34AB-4902-A326-409BD9B9A7A5] - Result: 06ABAA2D-34AB-4902-A326-409BD9B9A7A5) stata verificata. Se il nome costituito da caratteri casuali, trovato nella cartella 'Application Data' e il tipo 'Sconosciuto', dovrebbe essere eliminato. Hit rate: 99 % Da eliminare!
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe Sicuro.
Sicuro. ASUS video card fan/thermal monitor - only required if you overclock your card or live in a hot area
Hit rate: 99 % (risultato) Non pericoloso, ma superfluo.
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r Sicuro.
Sicuro. nVidia nForce Taskbar Utility - quick access to the nForce2 "Sound Storm" control panel and related utilitys
Hit rate: 99 % (risultato) Non pericoloso, ma superfluo.
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL Sconosciuto
Sconosciuto
Hit rate: -1 % (risultato) Applicazione sconosciuta.
O4 - HKLM\..\Run: [SoftDisc] "C:\Programmi\SoftDisc\softdisc.exe" -hide Sconosciuto
Sconosciuto
Hit rate: 5 % (risultato) Applicazione sconosciuta.
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe Sospetto
Sospetto
Hit rate: 99 % (risultato) Da eliminare!
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe" Sicuro.
Sicuro. Third party MSN Messenger extension that hides banner ads and adds archiving and other useful features. Appears not to work unless checked, but may be activated after startup. Not recommended as it includes Lop.com - see here
Hit rate: 72 % (risultato) Non pericoloso, ma superfluo.
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k Sicuro.
Sicuro.
Hit rate: 7 % (risultato) Non pericoloso, ma superfluo.
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\Tools\NclTray.exe Sicuro.
Sicuro. Nokia PC Suite 5 - "A collection of powerful tools that you can use to manage your phone features and data." Synchronize the phone with, for example Outlook. You can also use it to browse your phone, edit the phone list and so on
Hit rate: 99 % (risultato)
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe Sicuro.
Sicuro. Nokia PC Suite 5 - "A collection of powerful tools that you can use to manage your phone features and data." Synchronize the phone with, for example Outlook. You can also use it to browse your phone, edit the phone list and so on
Hit rate: 99 % (risultato)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot Sicuro.
Sicuro. Part of RealPlayer
Hit rate: 99 % (risultato)
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe Sicuro.
Sicuro. Part of Pinnacle Systems InstantCD/DVD and InstantCopy CD/DVD copying software that verifies drive settings. Once loaded it doesn\'t use any resources so you can leave it enabled
Hit rate: 99 % (risultato)
O4 - HKLM\..\Run: [U4EX] C:\WINDOWS\qykpx.exe Sconosciuto
Sconosciuto
Hit rate: -1 % (risultato) Applicazione sconosciuta.
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe Sicuro.
Sicuro. Associated with "Nero Burning Rom" CD writing software. Checks for driver issues
Hit rate: 99 % (risultato)
O4 - HKLM\..\Run: [0�4�6] C:\WINDOWS\qykpx.exe Sconosciuto
Sconosciuto
Hit rate: -1 % (risultato) Applicazione sconosciuta.
O4 - HKLM\..\Run: [09]m*�DaJC:\Programmi\ISTsvc\istsvc.exe] C:\WINDOWS\qykpx.exe Sospetto
Sospetto
Hit rate: -1 % (risultato) Da eliminare!
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause Sicuro.
Sicuro. BearShare file sharing client. Versions known to include spyware - see here
Hit rate: 91 % (risultato) Non pericoloso, ma superfluo.
O4 - HKLM\..\Run: [Third owns way aim] C:\Documents and Settings\All Users\Dati applicazioni\Bird Setup Third Owns\Beep Kind.exe Sicuro.
Sicuro.
Hit rate: 3 % (risultato)
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe Sicuro.
Sicuro. Remote Control background application for CyberLink\'s PowerDVD version 5 and above. Enables you to use a remote control with your DVD drive if your drive came with one. Not required if you don\'t have a remote control, or don\'t wish to use one
Hit rate: 99 % (risultato)
O4 - HKLM\..\Run: [eBayToolbar] C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe Sicuro.
Sicuro. eBay Toolbar
Hit rate: 99 % (risultato)
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck Sicuro.
Sicuro. Spybot - Search & Destroy - free multi-spyware removal tool from Patrick Kolla
Hit rate: 85 % (risultato)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui Sicuro.
Sicuro. Sygate s Personal Firewall.
Hit rate: 91 % (risultato)
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe Abbastanza sospetto
Abbastanza sospetto
Hit rate: 9 % (risultato) It seems that the name of this program is the same as the name of the file. In the most cases this is the result of trojans. To be sure, you should check this file.
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE Sicuro.
Sicuro. Nod32 Antivirus Version 2
Hit rate: 99 % (risultato)
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit Sicuro.
Sicuro. Part of NVidia
Hit rate: 65 % (risultato)
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtstr.exe Sconosciuto
Sconosciuto
Hit rate: -1 % (risultato) Applicazione sconosciuta.
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe Sicuro.
Sicuro. CTFMon is involved with the language/alternative input services in Office XP. CTFMON.exe will continue to put itself back into MSConfig when you run the Office XP apps as long as the Text Services and Speech applets in the Control Panel are enabled. Not required if you don\'t need these features. For more info on ctfmon see here. CTFMON can be disabled from Control Panel, Text & Speech Services
Hit rate: 99 % (risultato)
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized Sicuro.
Sicuro. "Skype is free and simple software that will enable you to make free calls anywhere in the world in minutes"
Hit rate: 99 % (risultato) Non pericoloso, ma superfluo.
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background Sicuro.
Sicuro. Windows Messenger utility. If you don\'t use Windows Messenger, this can be annoying. Available via Start -> Programs. Go to Windows Messenger > Tools > Options > Preferences and uncheck "Run this program when Windows starts"
Hit rate: 99 % (risultato)
O4 - HKCU\..\Run: [Shareaza] "C:\Programmi\Shareaza\Shareaza.exe" -tray Sicuro.
Sicuro. Shareaza P2P client
Hit rate: 99 % (risultato) Non pericoloso, ma superfluo.
O4 - HKCU\..\Run: [dart bend] C:\DOCUME~1\WINXP~1\DATIAP~1\ELSECH~1\okay real.exe Sconosciuto
Sconosciuto
Hit rate: 11 % (risultato) Applicazione sconosciuta.
O4 - Global Startup: BTTray.lnk = ? Sconosciuto
Sconosciuto
Hit rate: 6 % (risultato) Applicazione sconosciuta.
L'elemento non necessario e pu essere eliminato.
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ? Sconosciuto
Sconosciuto
Hit rate: 4 % (risultato) Applicazione sconosciuta.
L'elemento non necessario e pu essere eliminato.
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ? Sconosciuto
Sconosciuto
Hit rate: 5 % (risultato) Applicazione sconosciuta.
L'elemento non necessario e pu essere eliminato.
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html Sicuro.
Sicuro. L'elemento &eBay Search stato identificato come sicuro. Se l'oggetto '&eBay Search ' non pi necessario, esso pu essere eliminato.
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 Sicuro.
Sicuro. L'elemento E&xport to Microsoft Excel stato identificato come sicuro. Se l'oggetto 'E&xport to Microsoft Excel ' non pi necessario, esso pu essere eliminato.
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm Sicuro.
Sicuro. L'elemento Invia a &Bluetooth stato identificato come sicuro. Se l'oggetto 'Invia a &Bluetooth ' non pi necessario, esso pu essere eliminato.
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm Sicuro.
Sicuro. L'elemento @btrez.dll, stato identificato come sicuro. Se l'oggetto '@btrez.dll,' non pi necessario, esso pu essere eliminato.
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm Sicuro.
Sicuro. L'elemento @btrez.dll, stato identificato come sicuro. Se l'oggetto '@btrez.dll,' non pi necessario, esso pu essere eliminato.
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll Sicuro.
Sicuro. La maggior parte degli elementi presenti in quest'area del registro di sistema sono sicuri. Solo OnFlow aggiunge un plug-in indesiderato che pu essere qui trovato. I plug-in di OnFlow sono caratterizzati dall'estensione .ofb.
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binar...kr.cab30149.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe Sospetto
Sospetto Questo elemento probabilmente sospetto. Dovrebbe essere cancellato.
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab Abbastanza sospetto
Abbastanza sospetto Oggetti ActiveX sconosciuti oppure oggetti ActiveX provenienti da siti web sconosciuti devono sempre essere eliminati. Se il nome dell'oggetto ActiveX o dell'indirizzo (URL) contiene le parole 'dialer', 'casino', 'free plugin' ecc, deve essere immediatamente cancellato (pulsante Fix di HijackThis)! Controllate se conoscete il sito web altrimenti eliminatelo (Fix).
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binar...er.cab28177.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.co...v45/yacscom.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/c...DC_1_0_0_44.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-12.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26fa232...RdxIE601_it.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binar...nt.cab28177.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab Sicuro.
Sicuro. Questo oggetto sicuro.
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E282B7-3863-4689-B673-EE60833BC15C}: NameServer = 69.50.176.156,195.225.176.31 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '69.50.176.156,195.225.176.31'? Se no, eliminate questo oggetto.
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E004EF4-E29B-458F-A2F3-CABB560A1348}: NameServer = 69.50.176.156,195.225.176.31 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '69.50.176.156,195.225.176.31'? Se no, eliminate questo oggetto.
O17 - HKLM\System\CCS\Services\Tcpip\..\{C19ECF47-6FC4-434B-AD28-BCF9592E2991}: NameServer = 69.50.176.156 195.225.176.31 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '69.50.176.156 195.225.176.31'? Se no, eliminate questo oggetto.
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B44D96-ACDF-4E5A-9727-9905A7187553}: NameServer = 69.50.176.156,195.225.176.31 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '69.50.176.156,195.225.176.31'? Se no, eliminate questo oggetto.
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1ED9134-B112-4AF1-BBDF-9C7974223ADA}: NameServer = 69.50.176.156,195.225.176.31 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '69.50.176.156,195.225.176.31'? Se no, eliminate questo oggetto.
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0386D66-F1CD-4D39-8E0A-9BD43956A321}: NameServer = 69.50.176.156,195.225.176.31 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '69.50.176.156,195.225.176.31'? Se no, eliminate questo oggetto.
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFF16F21-3F8A-404B-89A8-9616F5066DD7}: NameServer = 69.50.176.156,195.225.176.31 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '69.50.176.156,195.225.176.31'? Se no, eliminate questo oggetto.
O17 - HKLM\System\CS1\Services\Tcpip\..\{89E282B7-3863-4689-B673-EE60833BC15C}: NameServer = 69.50.176.156,195.225.176.31 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '69.50.176.156,195.225.176.31'? Se no, eliminate questo oggetto.
O17 - HKLM\System\CS2\Services\Tcpip\..\{89E282B7-3863-4689-B673-EE60833BC15C}: NameServer = 69.50.176.156,195.225.176.31 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '69.50.176.156,195.225.176.31'? Se no, eliminate questo oggetto.
O18 - Filter: text/html - {FB1AB5CA-3506-4E0F-B24E-87ED3903CBEB} - C:\WINDOWS\System32\qwsxp.dll Abbastanza sospetto
Abbastanza sospetto Solo alcuni Hijackers vengono elencati qui. I pi famosi sono 'cn' (CommonName) , 'ayb' (Lop.com) e 'relatedlinks' (Huntbar) . Devono essere eliminati (Fix).
O18 - Filter: t5&ER - {EEBB22FF-3CD0-4C62-AA6B-726D24D8B883} - C:\WINDOWS\System32\qwsxp.dll Abbastanza sospetto
Abbastanza sospetto Solo alcuni Hijackers vengono elencati qui. I pi famosi sono 'cn' (CommonName) , 'ayb' (Lop.com) e 'relatedlinks' (Huntbar) . Devono essere eliminati (Fix).
O18 - Filter: t5NDR - {85FA798B-924F-490F-BE32-5500C5AC4B98} - C:\WINDOWS\System32\qwsxp.dll Abbastanza sospetto
Abbastanza sospetto Solo alcuni Hijackers vengono elencati qui. I pi famosi sono 'cn' (CommonName) , 'ayb' (Lop.com) e 'relatedlinks' (Huntbar) . Devono essere eliminati (Fix).
O18 - Filter: t5ER - {FB1AB5CA-3506-4E0F-B24E-87ED3903CBEB} - C:\WINDOWS\System32\qwsxp.dll Abbastanza sospetto
Abbastanza sospetto Solo alcuni Hijackers vengono elencati qui. I pi famosi sono 'cn' (CommonName) , 'ayb' (Lop.com) e 'relatedlinks' (Huntbar) . Devono essere eliminati (Fix).
O21 - SSODL: Trayz - {F5B7D0BE-5f02-4211-96DB-386DFA244900} - C:\WINDOWS\jngihkjg.dll (file missing) Sconosciuto
Sconosciuto
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe Sicuro.
Sicuro. I risultati mostrano tutti i servizi che non provengono da Microsoft. Spesso Malware (virus, trojan o worm) si avviano come servizi di sistema e non risulta facile riconoscerli. Questo servizio (btwdins.exe) e' stato identificato come non pericoloso.
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE Sicuro.
Sicuro. I risultati mostrano tutti i servizi che non provengono da Microsoft. Spesso Malware (virus, trojan o worm) si avviano come servizi di sistema e non risulta facile riconoscerli. Questo servizio (LEXBCES.EXE) e' stato identificato come non pericoloso.
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe AV-Scanner
Sicuro. I risultati mostrano tutti i servizi che non provengono da Microsoft. Spesso Malware (virus, trojan o worm) si avviano come servizi di sistema e non risulta facile riconoscerli. Questo servizio (nod32krn.exe) e' stato identificato come non pericoloso.
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Sicuro.
Sicuro. I risultati mostrano tutti i servizi che non provengono da Microsoft. Spesso Malware (virus, trojan o worm) si avviano come servizi di sistema e non risulta facile riconoscerli. Questo servizio (nvsvc32.exe) e' stato identificato come non pericoloso.
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe Firewall
Sicuro. I risultati mostrano tutti i servizi che non provengono da Microsoft. Spesso Malware (virus, trojan o worm) si avviano come servizi di sistema e non risulta facile riconoscerli. Questo servizio (smc.exe) e' stato identificato come non pericoloso.
12 Sospetto
saurus666
13-02-2005, 01:25
Originariamente inviato da Delorean
primo:di chi sono i messaggi di alert che ti compaiono?
secondo: puoi postare il log di hijackthis please?;)
tnx
il messaggio che mi appare si spaccia x microsoft e mi fa andare qua : www.winprotect.net
questo il mio log di hjack:
Logfile of HijackThis v1.99.0
Scan saved at 1.17.07, on 13/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton Internet Security\NISUM.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmi\Norton Internet Security\ccPxySvc.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Grisoft\AVG6\avgcc32.exe
C:\PROGRA~1\PHILIP~1\VProperty.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\smbdins.exe
C:\WINDOWS\System32\tsmsetup.exe
C:\WINDOWS\hh.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\hjack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://arianna.libero.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Libero
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AVG_CC] C:\Programmi\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: LG Sync Manager.lnk = ?
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk.disabled
O4 - Global Startup: Picture Package Menu.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {2057E707-FA09-451B-972F-9CFBA9F2423C} (Tiscali702) - http://www.tiscali.it/cabs/Tiscali702.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107775647851
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6C08CCB-651F-44E9-B737-84174800FB07}: NameServer = 69.50.188.180 195.225.176.31
O23 - Service: AVG6 Service - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programmi\Norton Internet Security\ccPxySvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programmi\Norton Internet Security\NISUM.EXE
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programmi\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
i punti 015, ogni volta li elimino ma ricompaiono sempre.
tieni presente che faccio fare la scansione del mio log sull'apposito sito di hjack.
grazie comunque x l'interessamento.
ciao:p
saurus666
13-02-2005, 01:26
Originariamente inviato da diamondhead
Salve approfitto di questo topic per esporre il mio problema...
... searchweb2, appare una barra con search in web subito dopo il primo collegamento in rete, e nn va + via neanche se chiudo tutte le finestre.
ho installato l'adaware lo spybot il nod 32 ma nulla ad ogni connessione riappare la barra in basso (FASTIDIOSISSIMA :( )
Ora ho scaricato HijackThis fatto il log. lo ripoto di seguito.
Spero in un vostro aiuto sono un asino e nn riesco a venirne fuori.
Logfile of HijackThis v1.99.0
Scan saved at 19.46.54, on 12/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\SoftDisc\softdisc.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\Programmi\Messenger Plus! 3\MsgPlus.exe
C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Software Bluetooth\BTTray.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programmi\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programmi\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\SOFTWA~1\BTSTAC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
H:\Applicazioni e download vari\antivirus\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://moigjlyawosycohpbvmspklb.uk/n_MW1U6MaFf8qjibOo5Dvj3T9ZUtsBpc7iay_Ls/MV4.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {968C2B12-BF2A-2AE4-7760-2AD918E6F99F} - C:\DOCUME~1\WINXP~1\DATIAP~1\GPLGRI~1\Sign Keep.exe
O2 - BHO: Name - {B4409CFC-167D-4BDF-BE8E-13B3D49D7722} - C:\WINDOWS\System32\msnfd.dll
O2 - BHO: (no name) - {E74C4AB5-5D43-4C2E-B67C-5F77601172C7} - C:\WINDOWS\System32\qwsxp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [SoftDisc] "C:\Programmi\SoftDisc\softdisc.exe" -hide
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [U4EX] C:\WINDOWS\qykpx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [0�4�6] C:\WINDOWS\qykpx.exe
O4 - HKLM\..\Run: [09]m*�DaJC:\Programmi\ISTsvc\istsvc.exe] C:\WINDOWS\qykpx.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programmi\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Third owns way aim] C:\Documents and Settings\All Users\Dati applicazioni\Bird Setup Third Owns\Beep Kind.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtstr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Programmi\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [dart bend] C:\DOCUME~1\WINXP~1\DATIAP~1\ELSECH~1\okay real.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteperNokia6600 TS.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26fa232ce14ccb0ea318/netzip/RdxIE601_it.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89E282B7-3863-4689-B673-EE60833BC15C}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E004EF4-E29B-458F-A2F3-CABB560A1348}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{C19ECF47-6FC4-434B-AD28-BCF9592E2991}: NameServer = 69.50.176.156 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B44D96-ACDF-4E5A-9727-9905A7187553}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1ED9134-B112-4AF1-BBDF-9C7974223ADA}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0386D66-F1CD-4D39-8E0A-9BD43956A321}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFF16F21-3F8A-404B-89A8-9616F5066DD7}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{89E282B7-3863-4689-B673-EE60833BC15C}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{89E282B7-3863-4689-B673-EE60833BC15C}: NameServer = 69.50.176.156,195.225.176.31
O18 - Filter: text/html - {FB1AB5CA-3506-4E0F-B24E-87ED3903CBEB} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: t5&ER - {EEBB22FF-3CD0-4C62-AA6B-726D24D8B883} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: t5NDR - {85FA798B-924F-490F-BE32-5500C5AC4B98} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: t5ER - {FB1AB5CA-3506-4E0F-B24E-87ED3903CBEB} - C:\WINDOWS\System32\qwsxp.dll
O21 - SSODL: Trayz - {F5B7D0BE-5f02-4211-96DB-386DFA244900} - C:\WINDOWS\jngihkjg.dll (file missing)
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
Grazie per l'attenzione
Diamond
Se tutti facessero come te nei vari forum ci sarebbe pi casino del tuo log.
la prossima volta apri un tuo tread, altrimenti non ci si capisce pi niente, grazie.
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.