Log HijackThis [Archivio] - Hardware Upgrade Forum

melroc

22-05-2005, 00:58

Sono infetto :stordita:

Sto facendo ulteriori scansioni, ho anche installato il sp2...cmq invio il log! AIUTATEMI!!!!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\msdtc.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\Programmi\SSH Communications Security\SSH Sentinel\sshmonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\fxssvc.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlagent.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Programmi\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Programmi\Lexmark X74-X75\lxbbbmgr.exe
C:\Programmi\Lexmark X74-X75\lxbbbmon.exe
C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe
C:\BOOK\Desktop\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mps.it/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programmi\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programmi\Trend Micro\OfficeScan Client\pccntmon.exe"
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Filter: text/html - {6EB82954-5C4D-425A-8BF7-99FC7CBBFB87} - C:\Documents and Settings\agazio.giannetti\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\V0.26.dat
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l0p2la7o1d.dll
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmi\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SSH Sentinel (SSHIPM) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshipm.exe" -d (file missing)
O23 - Service: SSH Sentinel Monitor (SSHMONITOR) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshmonitor.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programmi\Trend Micro\OfficeScan Client\tmlisten.exe
__________________

YMen

22-05-2005, 07:58

Elimina i file missing e poi che cosa sono:
sshmonitor.exe
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l0p2la7o1d.dll
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programmi\Lexmark X74-X75\lxbbbmgr.exe"
Sysocmgr.exe
spnpinst.exe

davdo

22-05-2005, 08:39

O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programmi\Lexmark

dovrebbe essere qualcosa della stampante controlla prima!

bluepix

22-05-2005, 10:08

io fixerei:

O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\l0p2la7o1d.dll
O18 - Filter: text/html - {6EB82954-5C4D-425A-8BF7-99FC7CBBFB87} - C:\Documents and Settings\agazio.giannetti\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\V0.26.dat

poi cancellerei i file
C:\WINDOWS\system32\l0p2la7o1d.dll
C:\Documents and Settings\agazio.giannetti\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\V0.26.dat

aggiorna SSh Sentinel (se non lo hai già fatto)
http://www.ssh.com/company/newsroom/article/477/

melroc

22-05-2005, 10:31

Quell' O20 non me lo fa fixare e poi come devo aggiornare ssh? scusami ma in quel sito non ci capisco niente (anche perchè non ho idea di cosa sia ssh)!!

Grazie

bluepix

22-05-2005, 17:34

Quell' O20 non me lo fa fixare e poi come devo aggiornare ssh? scusami ma in quel sito non ci capisco niente (anche perchè non ho idea di cosa sia ssh)!!

Grazie

Occorre deregistrare la dll

Disabilita il ripristino di sistema

con start-esegui-CMD
poi digiti
cd \
cd \system\system32
REGSVR32 /u l0p2la7o1d.dll
del l0p2la7o1d.dll
exit

poi puoi rimuovere l'O20 con Hijackthis

se non hai installato tu l'ssh
puoi rimuovere

O23 - Service: SSH Sentinel (SSHIPM) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshipm.exe" -d (file missing)
O23 - Service: SSH Sentinel Monitor (SSHMONITOR) - Unknown owner - C:\Programmi\SSH Communications Security\SSH Sentinel\sshmonitor.exe

riposta poi il lig di Hijackthis

ciao

palmall

23-05-2005, 17:56

ciao a tutti, sono nuovo del forum,è da un po di gg che succedono cose strane sul mio pc winzozz, siccome sono poco pratico, so solo che inviando un log di HijckThis, potreste aiutarmi a capire cosa non va, ringraziandovi in anticipo porgo un sincero saluto a tutti

Logfile of HijackThis v1.99.0
Scan saved at 17.46.43, on 23/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system\hpsysdrv.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Proprietario\Documenti\My eBooks\posta x libero\html2pop3.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\WinMX\WinMX.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Proprietario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Programmi\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Programmi\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp center.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114876419064
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4489/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38EC9D81-1189-45C9-B016-B639DA7238A6}: NameServer = 80.19.114.21 151.99.125.1
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

halduemilauno

23-05-2005, 18:08

ciao a tutti, sono nuovo del forum,è da un po di gg che succedono cose strane sul mio pc winzozz, siccome sono poco pratico, so solo che inviando un log di HijckThis, potreste aiutarmi a capire cosa non va, ringraziandovi in anticipo porgo un sincero saluto a tutti

Logfile of HijackThis v1.99.0
Scan saved at 17.46.43, on 23/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system\hpsysdrv.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\Norton Internet Security\ISSVC.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Proprietario\Documenti\My eBooks\posta x libero\html2pop3.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\WinMX\WinMX.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\Proprietario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it7.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it7.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Programmi\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Programmi\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [AWMON] "C:\Programmi\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp center.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114876419064
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4489/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38EC9D81-1189-45C9-B016-B639DA7238A6}: NameServer = 80.19.114.21 151.99.125.1
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programmi\Norton Internet Security\ISSVC.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA...loadManager.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{38EC9D81-1189-45C9-B016-B639DA7238A6}: NameServer = 80.19.114.21 151.99.125.1

quelli sono da buttare.

C:\HP\KBD\KBD.EXE

C:\Programmi\USB Storage RW\shwicon.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Programmi\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - Global Startup: hp center.lnk.disabled

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

questi sono inutili.

;)

wgator

23-05-2005, 18:10

ciao a tutti, sono nuovo del forum,è da un po di gg che succedono cose strane sul mio pc winzozz, siccome sono poco pratico, so solo che inviando un log di HijckThis, potreste aiutarmi a capire cosa non va, ringraziandovi in anticipo porgo un sincero saluto a tutti

Ciao, benvenuto!

Ad un'analisi abbastanza veloce non noto nulla di anomalo. Prova a spiegare cosa ti succede di strano... forse è più facile darti qualche indicazione ;)

YMen

23-05-2005, 19:30

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA...loadManager.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{38EC9D81-1189-45C9-B016-B639DA7238A6}: NameServer = 80.19.114.21 151.99.125.1

quelli sono da buttare.

C:\HP\KBD\KBD.EXE

C:\Programmi\USB Storage RW\shwicon.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Programmi\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - Global Startup: hp center.lnk.disabled

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

questi sono inutili.

;)
Quotone :D

Ad un'analisi abbastanza veloce non noto nulla di anomalo. Prova a spiegare cosa ti succede di strano... forse è più facile darti qualche indicazione
Idem come sopra

wgator

23-05-2005, 20:23

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA...loadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{38EC9D81-1189-45C9-B016-B639DA7238A6}: NameServer = 80.19.114.21 151.99.125.1
C:\HP\KBD\KBD.EXE
C:\Programmi\USB Storage RW\shwicon.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Programmi\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - Global Startup: hp center.lnk.disabled
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Ciao,

si, probabilmente non è roba molto utile, qualche file orfano, alcuni start-up probabilmente inutili e "succhiarisorse" alcune cose che riguardano una stampante HP e qualcosa di una drive pen, ma non mi fanno pensare a spyware o trojan...

Quegli indirizzi IP (80.19.114.21 151.99.125.1 ) sembrerebbero DNS Telecom :confused: Forse Palmall usa anche Linux...

newyorkcity2

23-05-2005, 21:47

x controllare il log di hijackthis potete andare qui:
http://www.ilsoftware.it/hijackthis.asp

CIAUZZZZZZZZZZZZ :)

palmall

24-05-2005, 09:10

ciao ragazzi, ho letto le vs risposte e vi ringrazio..provo a spiegare un po che adccade nel mio pc: sono 10 gg che appare un file in C ....bla.exe e cercando in rete ho visto che c'era un po di confusione sui modi per farlo fuori... chi consiglia il sito della symantec con i tooldi rimozione fatti in provvisoria ( ci ho provato nulla) c'è chi consiglia di creare un file echiamarlo bla.exe metterlo in C in sola lettura,nn ci capisco nulla ma so solo che avendo provato un po tutto questo bla.exe torna come le cambiali nn pagate.....
uso spybot, ad aware professional, spyware blaster ed ho il norton internet security 2005 sulla schiena...penso che come sicurezza dovrei stare tranquillo...voi che ne dite?

wgator

24-05-2005, 10:48

Ciao,

come volevasi dimostrare, quel file dal log di HJT non risulta :p
Quello che ti posso consigliare:

innanzitutto comprimi il file ed invialo ad eraser e a MrOz (trovi gli indirizzi nelle loro signature) così possono controllarlo e verificare di cosa si tratta esattamente.

Dopo averlo inviato, per ucciderlo io proverei così:

- svuota tutte le cartelle temporanee, compresi i temporanei di Internet
- disattiva il ripristino della configurazione di sistema
- tramite "spybot" che ho visto che usi, cancella tutti gli "active x". Quelli che ti servono veramente poi si scaricano da soli in caso di bisogno.
- cancella "bla.exe" (eventualmente da modalità provvisoria)
- scarica spysweeper (http://www.spyware-removal.com/free-spyware-removal.html) in versione Trial (funziona 30 Giorni) aggiorna le firme e fagli fare una scansione completa di tutti i dischi e le cartelle.

Sono convinto che in questo modo quella porcheria muore :D

Tempo fa, sul portatile di un'amica, ho trovato una schifezza con un comportamento simile a "bla.exe" (si chiamava popuper.exe) e l'ho sradicata in questo modo.

EDITO:

dimenticavo, è abbastanza scontato tuttavia ripeterlo non guasta: prima di fare tutte quelle opreazioni, attiva la visualizzazione tutti i file e le cartelle nascoste e di sistema

YMen

24-05-2005, 12:49

Ciao,

come volevasi dimostrare, quel file dal log di HJT non risulta :p
Quello che ti posso consigliare:

innanzitutto comprimi il file ed invialo ad eraser e a MrOz (trovi gli indirizzi nelle loro signature) così possono controllarlo e verificare di cosa si tratta esattamente.

Dopo averlo inviato, per ucciderlo io proverei così:

- svuota tutte le cartelle temporanee, compresi i temporanei di Internet
- disattiva il ripristino della configurazione di sistema
- tramite "spybot" che ho visto che usi, cancella tutti gli "active x". Quelli che ti servono veramente poi si scaricano da soli in caso di bisogno.
- cancella "bla.exe" (eventualmente da modalità provvisoria)
- scarica spysweeper (http://www.spyware-removal.com/free-spyware-removal.html) in versione Trial (funziona 30 Giorni) aggiorna le firme e fagli fare una scansione completa di tutti i dischi e le cartelle.

Sono convinto che in questo modo quella porcheria muore :D

Tempo fa, sul portatile di un'amica, ho trovato una schifezza con un comportamento simile a "bla.exe" (si chiamava popuper.exe) e l'ho sradicata in questo modo.

EDITO:

dimenticavo, è abbastanza scontato tuttavia ripeterlo non guasta: prima di fare tutte quelle opreazioni, attiva la visualizzazione tutti i file e le cartelle nascoste e di sistema
Quotone in più hai detto che hai norton? ti cosiglio di cambiarlo immediatamente :D
In più prova a guardare qui (http://www.hwupgrade.it/forum/showthread.php?t=935985)

palmall

24-05-2005, 14:45

[QUOTE=wgator]Ciao,

come volevasi dimostrare, quel file dal log di HJT non risulta :p
Quello che ti posso consigliare:

innanzitutto comprimi il file ed invialo ad eraser e a MrOz (trovi gli indirizzi nelle loro signature) così possono controllarlo e verificare di cosa si tratta esattamente.

Dopo averlo inviato, per ucciderlo io proverei così:

- svuota tutte le cartelle temporanee, compresi i temporanei di Internet
- disattiva il ripristino della configurazione di sistema
- tramite "spybot" che ho visto che usi, cancella tutti gli "active x". Quelli che ti servono veramente poi si scaricano da soli in caso di bisogno.
- cancella "bla.exe" (eventualmente da modalità provvisoria)

grazie mille davvero, tutte le operazioni da te indicatemi le ho fatte 2 giorni fa prima di iscrivermi sal vs validissimo forum, ma evidentemente sono incapace io :D . Se Dovessi cambiare il NIS 2005 con un altro cosa mi consigliereste? Ho provato avg 6.0, McAfee, ma sinceramente nn mi convincevano al 100%, un amico mi ha parlato del NOD32...cercando in rete ne parlano bene, ma credo che ognuno voglia portare acqua al suo mulino.
Proprio stamattina ho cancellato da provvisoria il file bla.exe e per ora nn è tornato ( speriamo bene) Siete il miglior gruppo di amici virtuali finora incontrati giuro! ;)

YMen

24-05-2005, 18:46

puoi provare avast! o antivir sono validissimi io li ho provati entrambi e mi ci sono trovato benissimo
PS:ora sto usando quest'ultimo

Beppe3000

24-05-2005, 20:54

Se a qualcuno avanzano 5 minuti date un'occhiata pure al mio log:

Logfile of HijackThis v1.99.1
Scan saved at 21.48.59, on 24/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Free Download Manager\fdm.exe
C:\WINDOWS\System32\syst32.exe
C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Varie\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [System Updates Dll] syst32.exe
O4 - HKLM\..\RunServices: [MSN Messenger] IEXPLORE.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [System Updates Dll] syst32.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programmi\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [System Updates Dll] syst32.exe
O4 - HKCU\..\RunServices: [System Updates Dll] syst32.exe
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111058598949
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

E' tutto ok?
O4 - HKLM\..\Run: [System Updates Dll] syst32.exe
O4 - HKLM\..\RunServices: [MSN Messenger] IEXPLORE.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [System Updates Dll] syst32.exe
O4 - HKCU\..\Run: [System Updates Dll] syst32.exe
O4 - HKCU\..\RunServices: [System Updates Dll] syst32.exe

Questi elementi risultano sconosciuti facendo analizzare il log.
Cosa devo eliminare o fixare dai risultati ottenuti?

wgator

24-05-2005, 21:26

Ciao,

dopo aver attivato la visualizzazione di file e cartelle nascoste, svuotato tutte le cartelle temporanee e i temporanei di internet e disattivato il ripristino del sistema, cerca di far fuori questo: C:\WINDOWS\System32\syst32.exe (magari da mod. provvisoria)

Importante: Scaricati anche la trial di Spysweeper (http://www.spyware-removal.com/free-spyware-removal.html) e dai una bella pulita con quello. Fatto tutto questo, posta un nuovo log

palmall

24-05-2005, 22:30

Importante: Scaricati anche la trial di Spysweeper (http://www.spyware-removal.com/free-spyware-removal.html) e dai una bella pulita con quello. Fatto tutto questo, posta un nuovo log[/QUOTE]

riciao a tutti....ho provato a scaricarmi il programma che hai indicato e sinceramente ha trovato dei malware che nn trovava ne il norton ne spybot e ne adaware.... ma il prob e che per pulire da ste schifezze mi dice di comperare il prodotto in questione....credevo che almeno per 30 gg potevo utilizzarlo, mi fa solo fare lo scan del sistema e nient'altro....
( scusate se sto esagerando nel kiedere aiuto.... :rolleyes: )

Beppe3000

24-05-2005, 22:39

Logfile of HijackThis v1.99.1
Scan saved at 23.37.08, on 24/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Free Download Manager\fdm.exe
C:\WINDOWS\System32\syst32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programmi\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Varie\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [System Updates Dll] syst32.exe
O4 - HKLM\..\RunServices: [MSN Messenger] IEXPLORE.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [System Updates Dll] syst32.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programmi\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [System Updates Dll] syst32.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunServices: [System Updates Dll] syst32.exe
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\Software Bluetooth\btsendto_ie.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111058598949
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Software Bluetooth\bin\btwdins.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

ho cancellato file temporanei e temporanei di internet, fatto una bella scansione con Spysweeper, nod32, adaware e Spybot - Search & Destroy ma il log continua a continua a contenere
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [System Updates Dll] syst32.exe

che non mi piacciono per niente....

YMen

25-05-2005, 15:31

non so a che si riferisca syst32.exe ma non mi sembra ci sia niente di anormale

bluepix

25-05-2005, 16:33

Il bastardo è quì: Tutti da fixare
O4 - HKLM\..\Run: [System Updates Dll] syst32.exe
O4 - HKLM\..\RunServices: [MSN messenger] IEXPLORE.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKLM\..\RunServices: [System Updates Dll] syst32.exe

Beppe3000

25-05-2005, 16:41

fixati! :D
Ma di che si trattava?

bluepix

25-05-2005, 17:30

Non lo so Beppe.
Ci sono due ragione perche è un file più che sospetto:

Primo perchè si trova nello startup e nessuno parte con Internet Eplorer aperto allo startup.
Secondo perchè il vero iexplore.exe si trova in c:\programmi\Internet Explorer e non in c:\windows

Il fatto che sia lì è segno che è un malware

naturalmente da cancellare dopo aver disattivato il ripristino di sistema:

c:\windows\iexplore.exe

Beppe3000

26-05-2005, 07:31

da dove si disattiva il ripristino?? :confused:

bluepix

26-05-2005, 07:39

qui spiega come fare:
http://www.sicurezzainrete.com/disa...tem_restore.htm