PDA

View Full Version : [AIUTO DISPERATO] [LOG Di HijackThis] Non riesco a risolvere il problema!!!

deggial
30-04-2005, 17:58
Un saluto a tutti.
Sto cercando di sistemare un pc quasi sicuramente affetto da spyware o simili.
I sintomi sono questi: quando mi collego con il modem (56k) la connessione va lentissima, e nello stato della connessione noto che invio moltissimi bytes senza motivo.
In più, una volta disconnesso, si apre la classica finestra che dice "sono state richieste informazioni dal sito pincopallino.com - connettersi?"

Ho provato a fare diverse scansioni con ad-aware e norton (in modalità provvisoria e togliendo il ripristino automatico di sistema) ma non risolvo nulla: non trovo mai nulla di strano.

Quindi come da vostri consigli vi posto il log di HijackThis sperando che qualcuno mi possa aiutare.



LOG:

Logfile of HijackThis v1.99.1
Scan saved at 18.43.45, on 30/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\sscs.exe
C:\WINDOWS\System32\sscs.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
BravoGT83
30-04-2005, 18:22
dovresti mettere su Sp2 con tutti gli aggiornamenti

adesso guardo il log ;)
Jaguar64bit
30-04-2005, 18:24
andando su questo sito http://www.ilsoftware.it/ , c'è l'analizzatore del log di hijackthis...ho controllato il tuo log è sei abbastanza impestato..
BravoGT83
30-04-2005, 18:26
C:\WINDOWS\System32\MSAOL32.exe

C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

è un backdoor da cancellare manualmente



C:\WINDOWS\System32\sscs.exe

worm cancella tutti i file riferiti a quel file

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone


sospetto :mbe:
BravoGT83
30-04-2005, 18:27
andando su questo sito http://www.ilsoftware.it/ , c'è l'analizzatore del log di hijackthis...ho controllato il tuo log è sei abbastanza impestato..


ce un worm e un backdoor :doh:
Jaguar64bit
30-04-2005, 18:28
Cancella :


C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe


e ripeti per i file doppi/uguali.
Jaguar64bit
30-04-2005, 18:28
ce un worm e un backdoor :doh:


Ho visto :D :D ;)
BravoGT83
30-04-2005, 18:29
Ho visto :D :D ;)
eggià e poi manca SP2 :doh:
Jaguar64bit
30-04-2005, 18:30
C:\WINDOWS\System32\MSAOL32.exe

C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

è un backdoor da cancellare manualmente



C:\WINDOWS\System32\sscs.exe

worm cancella tutti i file riferiti a quel file

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone


sospetto :mbe:


Bravo sei stato preciso. ;)
Jaguar64bit
30-04-2005, 18:32
eggià e poi manca SP2 :doh:

Vero :D :cool:
BravoGT83
30-04-2005, 19:02
Bravo sei stato preciso. ;)
grazie :p :p :p
BravoGT83
30-04-2005, 19:02
Vero :D :cool:
ormai oggi è fondamentale... :)
deggial
30-04-2005, 20:04
Cancella :


C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe


e ripeti per i file doppi/uguali.


li cancello così brutalmente?
comunque grazie a tutti.
sapete anche perchè non li ho trovati con le scansioni?

PS: cos'è un backdoor?
lord2
30-04-2005, 20:30
vorrai dire UNA backdoor :cool:

UNA backdoor è un software in grado di aprire una porta di comunicazione verso l’esterno all’insaputa dell’amministratore del sistema(in questao caso tu). A tale porta si collegherà l’attaccante ottenendo pieno controllo del sistema colpito,quindi in poche parole una backdoor è un grosso buco dal quale può entrare chiunque a romperti le palle e farti grossi danni pensa alle tue password ai tuoi dati sensibili se ne hai inoltre può renderti inaccessibile al sistema operativo del TUO PC hehehe :p
bluepix
30-04-2005, 22:22
Non lanciare Hijackthis dal desktop.
Mettilo in una directory propria così puoi beckuppare le voci che fixerai.

Vanno fixate le seguenti linee:
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
deggial
01-05-2005, 00:04
forse ho risolto.
per ora ringrazio tutti, domani mattina farò pove più accurate.
deggial
01-05-2005, 00:50
noto che per i miei gusti ho ancora troppi byte inviati. qualcuno sarebbe così gentile da controllarmi il nuovo log?

Logfile of HijackThis v1.99.1
Scan saved at 1.44.32, on 01/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Driver e programmi\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
BravoGT83
01-05-2005, 07:34
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150

l'unico sospetto.....non riesco a trovare nient'altro


cmq i byte mandati ci sono sempre ;)
deggial
01-05-2005, 09:11
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150

l'unico sospetto.....non riesco a trovare nient'altro


cmq i byte mandati ci sono sempre ;)


provo a togliere anche quello.

cmq hai visto che ora c'è il sp2? in realtà non l'avevo messo perchè avevo il cd in casa ma non lo trovavo, ieri ho smontato la stanza per cercarlo!
BravoGT83
01-05-2005, 09:15
si l'ho visto cosi sei + protetto :)
3dsst
01-05-2005, 14:40
vai qui http://www.hijackthis.de/en e fai un bel copia incolla del tuo log e il sito ti dice che devi fare ;)