spyware

[fpinza]

ho un problema con la connessione: quando mi connetto, poco dopo vengo diwsconnesso da un dialer e tenta di riconnettersi ad un numero 899****. vi linko il loglife di hijackthis. potete aiutarmi????


grazie fabrizio



Logfile of HijackThis v1.99.1
Scan saved at 15.53.48, on 19/08/06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\sndman.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\Directory temporanea 3 per hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pacsrv/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] C:\WINDOWS\sndman.exe -i
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BFCD270-43A5-4DB5-8988-781EEDC097CD}: Domain = ibm
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BFCD270-43A5-4DB5-8988-781EEDC097CD}: NameServer = 100.51.1.239,100.34.2.239
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ibm
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ibm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ibm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

[halduemilauno]

butta questo
C:\WINDOWS\sndman.exe
e i 017.

[andorra24]

I log di hijackthis vanno postati nell'apposito thread ufficiale, questo thread te lo chiuderanno sicuramente.

Comunque fixa questa voce:
O4 - HKLM\..\Run: [SoundMan] C:\WINDOWS\sndman.exe -i

e sbarazzati di questo file:
C:\WINDOWS\sndman.exe

[halduemilauno]

per i Mods. mi sa che conviene spostare il thread ufficiale delle letture hijacksthis non sotto forum ma sotto discussione. in evidenza con l'"Importante" e con il titolo ben specifico. se no si continua a non vederlo.
un semplice suggerimento.

[fpinza]

ho seguito i vs suggerimenti ora vediamo cosa succede...

se nn si ripresenta + il problema vi ringrazio molto da subito

altrimenti a presto

[eraser]

Quote:

Originariamente inviato da halduemilauno

per i Mods. mi sa che conviene spostare il thread ufficiale delle letture hijacksthis non sotto forum ma sotto discussione. in evidenza con l'"Importante" e con il titolo ben specifico. se no si continua a non vederlo.
un semplice suggerimento.

sì, qualcosa va fatto

sto finendo di scrivere una guida, poi agisco

[bReAkDoWn]

Quote:

Originariamente inviato da eraser

sì, qualcosa va fatto

sto finendo di scrivere una guida, poi agisco

Allora io approfitto che siamo entrati in argomento per buttare là i miei 2 cents sulla questione
Un unico thread per i log di hijackthis secondo me è un pò scomodo perchè diventa abbastanza confuso, sia che si decida di aiutare nel thread stesso chi posta il log, sia che si inizino discussioni separate con i log postati nel thread specifico per i log. Infatti nel primo caso si mischiano tutte le risposte di aiuto una con l'altra, mentre nel secondo caso, in cui uno inizia una discussione nuova con il suo problema e poi va a postare il log nel thread dei log, può essere scomodo doversi appoggiare a due discussioni per risolvere un solo problema.
Per questo secondo me sarebbe più opportuno che ognuno iniziasse la sua discussione con il suo problema in un thread nuovo e lì dentro venissero postati i vari log pertinenti, considerando anche che adesso ci sono più log, oltre ad hjthis, che sono divenuti indispensabili in alcuni frangenti, vedi gmer e rootkitrevealer.

Detto questo, appoggio PIENAMENTE il principio che prima di chiedere aiuto uno debba leggersi la guida di base, dimostrare perlomeno di aver fatto un minimo di scansioni e magari partire già postando i log adeguati, senza che si debba sempre chiedere espressamente di postare i log.. ecc.ecc.. sìsìsì.. questo è sacrosanto e risparmia un bel pò di post inutili e domande, velocizzando anche i tempi per chi ha bisogno di una mano.

saluti!

[fpinza]

mi potreste dare il link del thread ufficiale perchè avre 1 altro problema da risolvere?

grazie

[halduemilauno]

Quote:

Originariamente inviato da fpinza

mi potreste dare il link del thread ufficiale perchè avre 1 altro problema da risolvere?

grazie

http://www.hwupgrade.it/forum/showthread.php?t=937676

[fpinza]

li non riesco a trovare la soluzione, potreste aiutarmi voi?

quali file devo eliminare e quali bloccare x eliminare il dialer o lo spyware?

Logfile of HijackThis v1.99.0
Scan saved at 12.11.12, on 20/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
C:\Programmi\Network Associates\VirusScan\Mcshield.exe
C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe
C:\Programmi\File comuni\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Documents and Settings\pluto\Dati applicazioni\torafacire\systrvsm.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\pluto\Desktop\antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmi\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmi\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programmi\File comuni\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.softlab.name/conn.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB90BD83-B022-4D9D-8485-2173E57FF0AE}: NameServer = 212.245.255.2 212.141.84.12
O23 - Service: Servizio di framework di McAfee - Network Associates, Inc. - C:\Programmi\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programmi\Network Associates\VirusScan\VsTskMgr.exe

[bReAkDoWn]

posta anche il risultato di rootkitrevealer o di gmer (startup e rootkit), senza fare niente col pc mentre questi programmi fanno la scansione. Ultimamente hijackthis non basta più per alcuni tipi di malware che fanno uso di rootkit..

[fpinza]

purtroppo il pc non qui con me

è a casa di un mio amico...

intanto puoi aiutarmi???

[GmG]

Per la Prossima volta (speriamo di no) c'e' un Thread ufficiale
[Official Thread] HiJackThis - I Vostri LOG qua

Hai usato una versione vecchia di HiJackThis comunque devi fixare sicuramente queste voci

C:\Documents and Settings\pluto\Dati applicazioni\torafacire\systrvsm.exe
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.softlab.name/conn.exe

Ricordati di aggiornare JAVA

[bReAkDoWn]

non posso dirti molto con quel log.
Il processo C:\Documents and Settings\pluto\Dati applicazioni\torafacire\systrvsm.exe mi convince molto poco, ma non si riesce neppure a capire in che modo venga lanciato, quindi per adesso non posso suggerirti molto. Se non cancellare, anzi per sicurezza rinominare, il file in questione dopo aver eliminato il processo con taskmanager (ctrl alt canc), o usando un programma tipo the avenger.