|
|||||||
|
|
|
 |
|
|
Strumenti |
18-02-2008, 17:21
|
#1 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 73
|
[win XP] Come eliminare Trusted zone?
Ciao, spero ke qualcuno possa aiutarmi! L'analisi del log file di hijackthis mi segnala la voce: O15 - Trusted Zone: h**p://www.otherchance.com come sicuramente sospetta ma non riesco ad eliminarla! Ho gia' provato in modalita' provvisoria ma non cambia nulla!
Ultima modifica di Alis77 : 18-02-2008 alle 19:34. |
|
|
|
18-02-2008, 17:24
|
#2 |
|
Senior Member
Iscritto dal: Dec 2006
Città: Cagliari
Messaggi: 682
|
sei sicuramente infetto da qualche cosa se questa voce continua a comparire
ps: edita quel link che potrebbe infettare chi, disattento, o per errore, ci clicca sopra Ti consiglio a tal proposito, di seguire la guida alla disinfezione in rilievo ^^ (questa per intenderci) segui tutti i passi, e posta tutti i log allegandoli su www.fileup.itadib.com |
|
|
|
|
18-02-2008, 17:45
|
#3 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
la prox volta, se hai dubbi su singoli voci di hijackthis, posta nel 3d ufficiale di hijackthis x far analizzare il log:
http://www.hwupgrade.it/forum/showthread.php?t=937676 x il momento, posta il log di hijackthis secondo uno delle seguenti modalità: 1)la funzione allegati, rinominando i log in formato txt 2)caricare il log su FileUp, copiando qui i link x il download esponi i problemi che hai al pc e casomai seguiamo la guida.... |
|
|
|
|
18-02-2008, 17:52
|
#4 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Allega anche un log di questo tool http://noahdfear.geekstogo.com/FindAWF.exe
ti invito anch'io ad editare il link
__________________
Try again and you will be luckier.
|
|
|
|
|
18-02-2008, 17:57
|
#5 | |
|
Senior Member
Iscritto dal: Dec 2006
Città: Cagliari
Messaggi: 682
|
Quote:
 non lo avevo però considerato, in quanto lui ammette di non riuscire ad eliminarla. Mi pareva quindi evidente che, più o meno visibile il problema al pc, ci potesse essere una qualche infezione in corso! E ho consigliato di conseguenza di seguire subito la guida 
|
|
|
|
|
|
18-02-2008, 18:57
|
#6 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 73
|
Ok cerchero' di seguire passo passo la guida e vediamo che ne viene fuori! Scusate l'ignoranza: come faccio ad editare il link? Grazie!
|
|
|
|
|
18-02-2008, 19:03
|
#7 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
 prima di seguire la guida, posta il log di hijackthis e del tool indicato da chill out |
|
|
|
|
|
18-02-2008, 19:39
|
#8 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 73
|
Questo e' il log di hijackthis:
Codice:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.37.15, on 18/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\lvhidsvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\ControlCenter2\brctrcen.exe
C:\Programmi\LifeView TVR\RecSche.exe
C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\QuickTime\qttask.exe
C:\Program Files\D-Link\DSL-200\dslstat.exe
C:\Program Files\D-Link\DSL-200\dslagent.exe
C:\VEXPLITE\MONLITE.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8BD4438C-2511-4B93-AD34-2BDCD0FF78D2} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programmi\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RecSche] "C:\Programmi\LifeView TVR\RecSche.exe"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FILECO~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\D-Link\DSL-200\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\D-Link\DSL-200\dslagent.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmi\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?92634a9b85d542d38b25d4122a1cc946
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?92634a9b85d542d38b25d4122a1cc946
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: http://www.otherchance.com
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD 2002 Ita\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{917934F8-BB49-4716-9269-27D5E0EF52F4}: NameServer = 193.12.150.2 212.247.152.2
O22 - SharedTaskScheduler: epistylar - {917f93bf-6714-4e11-8982-59db2e0f88fc} - (no file)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Remote HID Service (LvHidSvc) - Philips - C:\WINDOWS\system32\lvhidsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe
--
End of file - 8433 bytes
|
|
|
|
|
18-02-2008, 19:56
|
#9 |
|
Senior Member
Iscritto dal: Feb 2002
Città: Discovery
Messaggi: 34710
|
elimina questa
C:\VEXPLITE\MONLITE.EXE e la 22. oltre a quella che hai gia detto.
__________________
Good afternoon, gentlemen, I'm a H.A.L. computer. |
|
|
|
|
18-02-2008, 19:58
|
#10 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
|
|
|
|
|
|
18-02-2008, 20:03
|
#11 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
fixa queste voci:
Quote:
Ultima modifica di murack83pa : 18-02-2008 alle 20:06. |
|
|
|
|
|
19-02-2008, 11:16
|
#12 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 73
|
Ho fixato come suggerito le due voci ma la -015-Trusted zone... ricompare sempre!
Invece FINDAWF mi da il seguente risultato: Codice:
Find AWF report by noahdfear ©2006
Version 1.40
bak folders found
~~~~~~~~~~~
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
end of report
|
|
|
|
|
19-02-2008, 11:23
|
#13 |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
niente di preoccupante, virit ti funziona? nn ha mai trovato nulla?
segui queste istruzioni. 1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera: ● clicca su Risorse del Computer ● clicca su Disco locale C: ● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella) 2-Scarica CCLEANER: DOWNLOAD una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su: ● Impostazioni, e spunta la voce Cancellazione sicura (lenta) poi su: ● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore ● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate ● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione ● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui 3-segui la guida alla disinfezione, esegui tutti i programmi indicati, e poi a fine scansione posta tutti i log NB: il ripristino va tenuto disattivato, è fondamentale questi programmi c permettono di avere uno screen completo dell'infezione del tuo pc (oltre che a debellare molte infezioni), x eventuali dubbi o problemi, chiedi pure |
|
|
|
|
19-02-2008, 11:38
|
#14 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 73
|
Si mi pare che virit funzioni o per lo meno non mi ha segnalato nulla! CCleaner l'avavo gia' scaricato ieri, pomeriggio mi cimento con le cose che mi hai detto e poi posto i log e vediamo! Grazie!
|
|
|
|
|
19-02-2008, 11:44
|
#15 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
piuttosto fai la scansione con i tool che ancora nn hai utilizzato: asquared e gmer |
|
|
|
|
|
19-02-2008, 11:56
|
#16 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 73
|
A conferma del fatto che non ho una grande dimistichezza con queste cose: il ripristino va tenuto disattivato solo quando faccio le scansioni con questi programmi o va lasciato cosi' sempre?
|
|
|
|
|
19-02-2008, 11:58
|
#17 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
|
|
|
|
|
|
19-02-2008, 12:21
|
#18 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 73
|
Va bene allora per il momento lascio disattivato. Purtroppo ho poco tempo ma spero entro oggi di poter fare la scansione con asquared e gmer. Grazie!
|
|
|
|
|
19-02-2008, 12:23
|
#19 | |
|
Bannato
Iscritto dal: Oct 2007
Città: Palermo
Messaggi: 4623
|
Quote:
ciao 
|
|
|
|
|
|
19-02-2008, 17:02
|
#20 |
|
Member
Iscritto dal: Jan 2006
Messaggi: 73
|
Ho appena fatto le scansioni suggerite e ne e' venuto fuori questo:
- per gmer Codice:
GMER 1.0.14.14116 - http://www.gmer.net Rootkit scan 2008-02-19 16:59:38 Windows 5.1.2600 Service Pack 2 ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs avg7rsw.sys (AVG Resident Shield Unload Helper/GRISOFT, s.r.o.) Device \Driver\Tcpip \Device\Ip avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.) Device \Driver\Tcpip \Device\Tcp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.) Device \Driver\Tcpip \Device\Udp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.) Device \Driver\Tcpip \Device\RawIp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.) Device \Driver\Tcpip \Device\IPMULTICAST avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.) AttachedDevice \FileSystem\Fastfat \Fat avg7rsw.sys (AVG Resident Shield Unload Helper/GRISOFT, s.r.o.) ---- EOF - GMER 1.0.14 ---- Codice:
a-squared Free - Version 3.1
Last update: 19/02/2008 17.17.41
Impostazioni scansione:
Oggetti: Memoria, Tracce, Cookies, C:\WINDOWS\, C:\Programmi
Archivio scansioni: On
Scientifico: On
ADS Scan: On
Scansione avviata: 19/02/2008 17.35.51
c:\programmi\helper rilevati: Trace.Directory.I-Spy
Key: HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy__11f*00df*00e4*0006#*00b7*00ba*00c4*00d6`i rilevati: Trace.Registry.CWS.HomeSearch
Key: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\d:\installshield\kazaa rilevati: Trace.Registry.KaZaA
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\control panel\extended properties\{305ca226-d286-468e-b848-2b2e8e697b74} 2 --> %systemroot%\system32\p2p networking v126.cpl rilevati: Trace.Registry.PeerEnabler
Scansionati
Files: 20414
Tracce: 374149
Cookies: 23
Processi: 43
Rilevato
Files: 0
Tracce: 4
Cookies: 0
Processi: 0
Chiavi registro: 0
Fine scansione: 19/02/2008 17.54.42
Tempo scansione: 0:18:51
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:08.
