View Full Version : TR/QHosts.Script
Ciao a tutti
A ogni avvio di Wiin2k AntiVir mi segnala questo virus in WINNT\System32\drivers\ETC
Premetto che il file host.0 non c'é e che Antivir non lo mette a posto, qualcuno sa dirmi come si elimina??? Su internet ho trovato poco
Grazie
Dovresti postare il log di Hijackthis
lo puoi prelevare da qui http://www.majorgeeks.com/download3155.html
crea una directory specifica e unzippalo li.
Prima di lanciarlo chiudi tutte le finestre attive che hai.
ciao
Eccolo. Non ci processi strani comunque se qualcuno più esperto ci da un occhio...
Logfile of HijackThis v1.99.1
Scan saved at 23.13.27, on 13/04/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\Ati2evxx.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\spoolsv.exe
G:\Programmi\AVPersonal\AVGUARD.EXE
G:\Programmi\AVPersonal\AVWUPSRV.EXE
G:\WINNT\System32\svchost.exe
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
G:\Programmi\Sygate\SPF\Smc.exe
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\Ati2evxx.exe
G:\WINNT\Explorer.EXE
G:\Programmi\Excite\PrvtMsgr\bin\x8IMPipe.exe
G:\Programmi\QuickTime\qttask.exe
G:\Programmi\File comuni\Real\Update_OB\realsched.exe
G:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
G:\Programmi\AVPersonal\AVGNT.EXE
G:\WINNT\system32\ATAPl.EXE
G:\Programmi\Real\RealOne Player\RealPlay.exe
G:\WINNT\system32\internat.exe
G:\Programmi\Excite\PrvtMsgr\bin\x8SkPlay.exe
G:\Documents and Settings\Rosario Squillante\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Excite Private Messenger Pipe] G:\Programmi\Excite\PrvtMsgr\bin\x8IMPipe.exe
O4 - HKLM\..\Run: [SmcService] G:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "G:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] G:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] G:\WINNT\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "G:\Programmi\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATAPl] ATAPl.EXE
O4 - HKLM\..\Run: [TerraTec Remote Control] G:\Programmi\File comuni\TerraTec\Remote\TTTVRC.exe
O4 - HKLM\..\RunServices: [ATAPl] ATAPl.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Excite Community Tools Notifier] "G:\Programmi\Excite\PrvtMsgr\bin\x8SkPlay.exe" Notifier
O4 - Global Startup: Microsoft Office.lnk = G:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - G:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - G:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Salva oggetto con Net Transport - G:\Programmi\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con Net Transport - G:\Programmi\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINNT\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Login (MpR) - Unknown owner - G:\WINNT\System32\explored.exe" -service (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - G:\Programmi\Sygate\SPF\Smc.exe
Certo che c'è qualcosa di strano:
O4 - HKLM\..\Run: [ATAPl] ATAPl.EXE
O4 - HKLM\..\RunServices: [ATAPl] ATAPl.EXE
O23 - Service: Windows Login (MpR) - Unknown owner - G:\WINNT\System32\explored.exe" -service (file missing)
poi eliminerei pure questo:
O4 - HKCU\..\Run: [internat.exe] internat.exe
in modalità provvisoria cancellare i files:
G:\WINNT\System32\explored.exe
G:\WINNT\system32\ATAPl.EXE
ciao
juninho85
13-04-2005, 23:41
G:\Programmi\Excite\PrvtMsgr\bin\x8IMPipe.exe
che è questo?:wtf:
G:\Programmi\Excite\PrvtMsgr\bin\x8IMPipe.exe
che è questo?:wtf:
Sembra un processo regolare se si usa excite
http://www.what-process.com/list-processes.aspx?l=X
anche se risulta, per molti, ancora da investigare.
Se non si usa Excite è da eliminare.
Certo che c'è qualcosa di strano:
O4 - HKLM\..\Run: [ATAPl] ATAPl.EXE
O4 - HKLM\..\RunServices: [ATAPl] ATAPl.EXE
O23 - Service: Windows Login (MpR) - Unknown owner - G:\WINNT\System32\explored.exe" -service (file missing)
poi eliminerei pure questo:
O4 - HKCU\..\Run: [internat.exe] internat.exe
in modalità provvisoria cancellare i files:
G:\WINNT\System32\explored.exe
G:\WINNT\system32\ATAPl.EXE
ciao
Grazie! ho risolto il problema
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.