View Full Version : log di hijack
mi da questo rapporto e mi dice che lo 018 è da fissare cosa che faccio ma poi mi riciccia...or avisto che il pc mi si è rallentato di brutto come posso fare ?
Ho hià fatto una scansione anche con Ad-Aware SE e mi ha dato una bella ripulita....
Logfile of HijackThis v1.99.0
Scan saved at 18.06.40, on 13/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Microsoft Office\Office10\msoffice.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Downloads\Antivirus\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Startup: Barra degli strumenti Microsoft Office.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Prova a ripartire in modalità provvisoria e a rifare la scansione, oppure almeno disabilità il ripristino di configurazione di sistema prima di fre la scansione con Hijackthis. Prova magari anche ad eliminarlo a mano per vedere come si comporta.
lo vorrei eliminare ma non lotrovo !!!
provo a rifarlo girare in mod provvisoria...
domanda da niubbo:
ma perchè dovrei disabilitre il ripristino di configurazione di sistema prima di fre la scansione con Hijackthis ??
grazie
Originariamente inviato da steghi
lo vorrei eliminare ma non lotrovo !!!
provo a rifarlo girare in mod provvisoria...
domanda da niubbo:
ma perchè dovrei disabilitre il ripristino di configurazione di sistema prima di fre la scansione con Hijackthis ??
grazie
Il ripristino di configurazione ti conviene disabilitarlo "prima" di compiere ogni operazione di pulizia in quanto, modificando il registro, ogni riparazione ti verrebbe annullata al seguente riavvio di sistema. Per quello che riguarda il tuo log ci sono 3 voci che trovo "strane":
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe (non ho la più pallida idea di cosa sia e lo toglierei al volo, cancellando anche fisicamente il files dal disco fisso una volta fixato con Hijackthis)
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll,DllInstall (idem con patate)
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll (mi risulta che sia un hijaker)
e se li faccio girare in modalità provvisoria va bene o devo disabilitare il ripristino di configurazione lo stesso ?
appena sono a casa provo a fissare quello che mi consigli.....poi ti dico
grazie
Originariamente inviato da steghi
e se li faccio girare in modalità provvisoria va bene o devo disabilitare il ripristino di configurazione lo stesso ?
appena sono a casa provo a fissare quello che mi consigli.....poi ti dico
grazie
Fai entrambe le cose...hai più possibilità di successo (ma disabilitare il ripristino di configurazione è assolutamente necessario). Torno a suggerirti (per sicurezza) di cercare e eventualmente cancellare gli eseguibili in questione (s42xrr.exe, se.dll, chp.dll) se fossero ancora presenti dopo aver lanciato i vari programmi di pulizia....
riepilogo la situazione:
ho disattivato il ripristino di configurazione, ho fatto girare CWShredder che quasi subito mi si chiede e chiude tutte le applicazioni aperte, sono andato sul sito (http://www.spywareinfo.com/~merijn/downloads.html) e ho letto questo:
There is a variant of the Coolwebsearch trojan spreading that closes several anti-spyware apps when you try to open them.
If this is happening to you, download PepiMK's CoolWWWSearch.SmartKiller removal tool first and run it. After it does its job, CWShredder and HijackThis will run properly (as well Spybot S&D, Ad-aware and several anti-spyware forums).
l'ho scaricato ma non ha trovato nulla, poi ho riavviato in mod. provvisioria e ho fatto girare adware-se e poi HiJackThis (le ultime versioni), ma non ho risolto nulla....
come pagina iniziale mi carica sempre about:blank e il pc mi sembra rallentato (con i giochi soprattutto).
questo è l'ultimo log:
Logfile of HijackThis v1.99.0
Scan saved at 0.09.17, on 15/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Microsoft Office\Office10\msoffice.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Downloads\Antivirus\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8FEDFD25-E586-4FEE-AE55-0482CC16013D} - C:\WINDOWS\System32\phemajb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Startup: Barra degli strumenti Microsoft Office.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7B6F96-2E12-48CC-99CA-6F0289C402FA}: NameServer = 62.211.69.150,212.48.4.15
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll
O18 - Filter: text/html - {BEFAC71B-1471-439A-82AA-2475D0472176} - C:\WINDOWS\System32\phemajb.dll
O18 - Filter: text/plain - {BEFAC71B-1471-439A-82AA-2475D0472176} - C:\WINDOWS\System32\phemajb.dll
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
li fisso ma mi ritornano tutti (lo 018), ma come li trovo e li cancello definitivamente ?
grazie
Originariamente inviato da steghi
riepilogo la situazione:
.................
li fisso ma mi ritornano tutti (lo 018), ma come li trovo e li cancello definitivamente ?
grazie
Segui il percorso indicato. Per esempio:
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe
Noto purtroppo l'apparizione di altri strighe sconosciute oltre quelle già citate:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll/sp.html
O2 - BHO: (no name) - {8FEDFD25-E586-4FEE-AE55-0482CC16013D} - C:\WINDOWS\System32\phemajb.dll
O18 - Filter: text/html - {BEFAC71B-1471-439A-82AA-2475D0472176} - C:\WINDOWS\System32\phemajb.dll
O18 - Filter: text/plain - {BEFAC71B-1471-439A-82AA-2475D0472176} - C:\WINDOWS\System32\phemajb.dll
...nn so se funziona con IE ma prova...nella barra di navigazione scrivi(senza http.www e niente)
SpHjFix ti si aprirà solo una finestra di download...salva il programmino e avvialo....ti rimuoverà sp.html che è il ricercato in questione.
x Dëck†:
io seguo il percorso indicato, ma non li trovo dove dovrebbero essere !?!?
:cry:
x Ciaba:
ci provo e vi aggiorno...
se è questo: SP.html Browser-Hijack Fix 1.0.0.7 da 84 kb l'ho scaricato
grazie....
...esatto proprio lui...è il tool specifico per rimuovere SP.html che è uno spy molto insidioso.....e ti consiglierei se già nn lo fai di usare Firefox come browser per navigare
grazieCiaba, su firefox ci stavo pensando, ma basta scaricare ed istallare il browser e mi conserva i preferiti che ho ora su i.e. ?
Originariamente inviato da steghi
grazieCiaba, su firefox ci stavo pensando, ma basta scaricare ed istallare il browser e mi conserva i preferiti che ho ora su i.e. ?
...si è molto semplice...una volta che hai installato(se già nn te lo chiede in fase di installazione), basta che vai su file>import e segui la procedura che è tutta automatica.
72andrea72
16-02-2005, 23:05
ho lo stesso problema......con tutti i programmi che ho usato non mi e' cambiato nulla.....non si puo' rimuovere manualmente?
ciao
...credo che ci sia anche una procedura manuale ma nn so proprio dove indirizzarti......ma nenche con SpHjFix sei riuscito a estirparlo?
No, nemmeno con SpHjFix , o meglio, SpHjFix mi dice che ha trovato e eliminato qualcosa (non ho il log sottomano da postare), ma poi la pagina iniziale rimane about blank ..gasp...
E in più se lancio CWShredder appena lanciato mi si chiude e mi chiude tutti i programmi aperti (posta e barra degi strumenti p.e.)
sono da capo .....
:(
..."chi la dura la vince"...disse un giorno Fabio Volo tentando di schiacciare una noce con le chiappe :D
http://www.alground.com/virus/schedaVirus.php?cod_virus=87
ma quante ne sai !? :D
oggi provo anche questa e poi ti dico
cmq i due programmi per la Rimozione con le utility li ho fatti già girare senza esito...gasp
ho provato, ma nulla da fare......:muro:
ho provato anche "adware away" che ho letto essere il killer di "about blank"...ma torna
e pure questo che vi consiglio fortemente:
http://www.microsoft.com/downloads/details.aspx?FamilyID=321cd7a2-6a57-4c57-a8bd-dbf62eda9671&displaylang=en&Hash=JMBRPKC
che in effetti sembrava lo limitasse, ma dopo un po' ritorna, nel senso che rimane nel sistema...provatelo e ditemi....
vi riposto il log di Hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 22.01.05, on 17/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\HijackThis.exe
C:\Programmi\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8FEDFD25-E586-4FEE-AE55-0482CC16013D} - C:\WINDOWS\System32\phemajb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Startup: Barra degli strumenti Microsoft Office.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7B6F96-2E12-48CC-99CA-6F0289C402FA}: NameServer = 62.211.69.150,212.48.4.15
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll
O18 - Filter: text/html - {B96778C4-4689-41D4-9CCC-9E3E918FA010} - C:\WINDOWS\System32\phemajb.dll
O18 - Filter: text/plain - {B96778C4-4689-41D4-9CCC-9E3E918FA010} - C:\WINDOWS\System32\phemajb.dll
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
gasp :mc:
...nn è che hai il ripristino configurazione di sistema attivato??
p.s il log lo puoi analizzare anche da solo a questo indirizzo...
http://hijackthis.de/index.php?langselect=italian
direi di no....cmq oggi riprovo tutto da capo.....
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.