HARDCORE - che razza di roba è ?

[RenèBascè]

Non so come (nel senso che il notebook "naviga" solo in siti normali ) ma ho beccato sta roba strana ...

Questo è il LOG di HijacThis :

Logfile of HijackThis v1.97.7
Scan saved at 1.30.38, on 04/07/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\shman.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programmi\Palm\HOTSYNC.EXE
C:\Documents and Settings\user\Documenti\Anti Virus Files\stinger.exe
C:\DOCUME~1\user\IMPOST~1\Temp\msmsgra.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Documents and Settings\user\Documenti\Anti Virus Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WheelMouse] C:\E-WHEE~1\wh_exec.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [NAVCheck] C:\WINDOWS\shman.exe /i
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: Manager HotSync.lnk = C:\Programmi\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ConferenceRoom Java Client - http://chat.privatefeeds.com:8000/java/cr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...008.2627430556
O16 - DPF: {AD90E32F-1FE2-11D3-88C8-006008A717FD} (NCSProgressBar Class) - http://www.cartografia.regione.lomba...lugins/ncs.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...64/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{92AEDADE-0954-430D-94B5-627ACB402193}: NameServer = 217.141.104.205 151.99.125.1


E questo è quello di SpyBot S&D :

Dialler: Impostazioni di disinstallazione (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hardcore

Dialler: Impostazioni utente (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-4036164967-4168701361-813958858-1005\Software\Coulomb\Hardcore


--- Spybot - Search && Destroy version: 1.3 ---
2004-06-16 Includes\Cookies.sbi
2004-06-16 Includes\Dialer.sbi
2004-06-17 Includes\Hijackers.sbi
2004-06-16 Includes\Keyloggers.sbi
2004-06-16 Includes\Malware.sbi
2004-06-16 Includes\Revision.sbi
2004-06-16 Includes\Security.sbi
2004-06-16 Includes\Spybots.sbi
2004-06-16 Includes\Trojans.sbi
2004-06-16 Includes\Tracks.uti
2003-11-12 Includes\QA Tests.sbi
2004-05-12 Includes\LSP.sbi

Dialler: Impostazioni di disinstallazione (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hardcore

Dialler: Impostazioni utente (Chiave di registro, nothing done)
HKEY_USERS\S-1-5-21-4036164967-4168701361-813958858-1005\Software\Coulomb\Hardcore


--- Spybot - Search && Destroy version: 1.3 ---
2004-06-16 Includes\Cookies.sbi
2004-06-16 Includes\Dialer.sbi
2004-06-17 Includes\Hijackers.sbi
2004-06-16 Includes\Keyloggers.sbi
2004-06-16 Includes\Malware.sbi
2004-06-16 Includes\Revision.sbi
2004-06-16 Includes\Security.sbi
2004-06-16 Includes\Spybots.sbi
2004-06-16 Includes\Trojans.sbi
2004-06-16 Includes\Tracks.uti
2003-11-12 Includes\QA Tests.sbi
2004-05-12 Includes\LSP.sbi


Ho già provveduto a fare i normali controlli in modalità provvisoria eccetera , ma nulla ! Non riesco a levare sta roba che mi disconnette da ADSL per tentare di connettermi ..

Che posso fare ?

Grazie !

[Bilancino]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hardcore

Questo percorso indica che in installazione e applicazioni ci deve essere la voce hardcore da rimuovere........Ma che è?

Ciao

[netquik]

prova a fixare queste

O4 - HKLM\..\Run: [NAVCheck] C:\WINDOWS\shman.exe /i

e questa a meno che non l'abbia attivata tu
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

e controlla
O16 - DPF: ConferenceRoom Java Client - http://chat.privatefeeds.com:8000/java/cr.cab

la usi tu?


questa è più che sospetta
C:\DOCUME~1\user\IMPOST~1\Temp\msmsgra.exe

quindi da provvisoria (oltre a fare le varie pulizie)
svuota questa cartella Temp

[agentsteel]

Uppo perchè ho lo stesso problema e non so più dove sbattere la testa.

Quando si è presentato il problema - ieri - ho deciso di fare la pulizia
che da tempo avevo in programma...

Allora ho eseguito Stinger e la scansione di Avast in modalità provvisoria, e
ho levato un mucchio di porcherie.

Poi ho levato la roba trovata da SpyBot S&D e AdAware (che indicava
anche un Dialer). Ho controllato con AntiDialer e mi ha trovato della
roba, due file exe e alcuni file. dll della Microsoft..Ho levato solo
i file exe che poi comunque sono tornati.

A questo punto ho seguito il consiglio di cui sopra, e ho disinstallato
"Hardcore" da Installzione applicazioni. Ho riavviato e ho cominciato
a navigare...Dopo poco il problema è tornato.

Compare per un millisecondo una pagina web con una ragazza, poi la
connessione cade e nel box di IE compare un'altra connession (PRPI o qualcosa di simile).
La tolgo, ridisinstallo Hardcore, niente - il problema ritorna.


Sapete dirmi cosa fare per piacere? Non so davvero dove sbattere la
capoccia...Anche perchè sono abbastanza inesperto e il post qui sopra
non l'ho mica capito eheh!

Ciao e grazie!!

[netquik]

scarica HijackThis
http://www.majorgeeks.com/download3155.html


e posta il log

[agentsteel]

Ecco il rapporto di HijackThis

Logfile of HijackThis v1.98.0
Scan saved at 15.04.07, on 06/07/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\runservice.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\PROGRA~1\Avast4\ashmaisv.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\ssvr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\AdsGone\adsgone.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\INTERN~1\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE 4.x-6.x BHO for Internet Download Accelerator - {2A646672-9C3A-4C28-9A7A-1FB0F63F28B6} - C:\Programmi\IDA\idaiehlp.dll
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programmi\NavExcel\NavHelper\v2.0.4c\NHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EB90A4E9] C:\WINDOWS\System32\dcojievjbexypw.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroAutoStartClient] NeroASM.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\RunServices: [62788D45] C:\WINDOWS\System32\dcojievjbexypw.exe
O4 - HKLM\..\RunServices: [NeroAutoStartClient] NeroASM.exe
O4 - HKLM\..\RunOnce: [Hardcore] C:\261639.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Download Accelerator] C:\Programmi\IDA\ida.exe -autorun
O4 - Startup: AdsGone.lnk = C:\Programmi\AdsGone\adsgone.exe
O4 - Global Startup: AdsGone 2004.lnk = C:\Programmi\AdsGone\adsgone.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\Programmi\Trust\Easy Webscan 19200\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Download ALL with IDA - C:\Programmi\IDA\idaieall.htm
O8 - Extra context menu item: Download with IDA - C:\Programmi\IDA\idaie.htm
O9 - Extra button: Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Programmi\IDA\ida.exe
O9 - Extra 'Tools' menuitem: &Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Programmi\IDA\ida.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windo..._5.3.0.228.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab



Provo a fixare intanto quelli che hai detto a Renè

[agentsteel]

Azzo, non avevo visto
O4 - HKLM\..\RunOnce: [Hardcore] C:\261639.bat

L'ho fixato, vediamo se va bene. Grazie per la segnalazione del programma intanto!

Aggiornamento: Niente da fare, il problema si è ripresentato...

[netquik]

mi sembra ci si tanta roba di virus...
non capisco se sasser o WORM_AGOBOT.NF
http://housecall.antivirus.com/

fixa

O4 - HKLM\..\Run: [EB90A4E9] C:\WINDOWS\System32\dcojievjbexypw.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [NeroAutoStartClient] NeroASM.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\RunServices: [62788D45] C:\WINDOWS\System32\dcojievjbexypw.exe
O4 - HKLM\..\RunServices: [NeroAutoStartClient] NeroASM.exe
O4 - HKLM\..\RunOnce: [Hardcore] C:\261639.bat


dovresti comun que affidarti ad un buo antivirus


in provvisoria elimina anche i file citati

[agentsteel]

Ok, fixo quelle voci.

Dici di affidarmi a un buon antivirus...il fatto è che quel log è stato fatto dopo uno scan effettuato da Avast, nonchè da uno di Stinger!

In ogni caso adesso ho messo anche un buon firewall, speriamo...se il problema si ripresenta vediamo che fare.

Grazie mille!

[netquik]

fammi sapere e posta il log fresco dopo le modifiche


nel post su ti ho postato l'indirizzo per lo scan online trendmicro

[agentsteel]

Allora, ho fatto lo scan di Trend Micro e ho dato un'altra ripulita con AdAware e HijackThis.

Ecco il nuovo log di HijackThis

Logfile of HijackThis v1.98.0
Scan saved at 21.38.46, on 06/07/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\PROGRA~1\Avast4\ashmaisv.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\ssvr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Avast4\ashServ.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\runservice.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Winamp\Winamp.exe
C:\Programmi\Trust\Easy Webscan 19200\ScanPanel\ScnPanel.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE 4.x-6.x BHO for Internet Download Accelerator - {2A646672-9C3A-4C28-9A7A-1FB0F63F28B6} - C:\Programmi\IDA\idaiehlp.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Download Accelerator] C:\Programmi\IDA\ida.exe -autorun
O4 - Global Startup: AdsGone 2004.lnk = C:\Programmi\AdsGone\adsgone.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download ALL with IDA - C:\Programmi\IDA\idaieall.htm
O8 - Extra context menu item: Download with IDA - C:\Programmi\IDA\idaie.htm
O9 - Extra button: Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Programmi\IDA\ida.exe
O9 - Extra 'Tools' menuitem: &Internet Download Accelerator - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - C:\Programmi\IDA\ida.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windo..._5.3.0.228.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5824EA7B-B305-441C-9B52-FE6845F80DB4}: NameServer = 80.18.136.22 151.99.125.1


Adesso è da qualche ora che il problema non si ripresenta...Ho passato tutto il pomeriggio a fare tentativi, speriamo sia ok adesso. Tra l'altro ho messo finalmente il Sygate 5.5 Pro. Almeno questo problema mi ha dato l'impulso per mettere un po' di roba per la sicurezza

[netquik]

allora il log di avvio è OK!


però però...

nei processi vedo ancora

C:\WINDOWS\ssvr.exe

quindi o non hai riavviato...

oppure c'è qualcosa che non quadra..


controlla e elimina il file da provvisoria

[netquik]

allora il log di avvio è OK!


però però...

nei processi vedo ancora

C:\WINDOWS\ssvr.exe

quindi o non hai riavviato...

oppure c'è qualcosa che non quadra..


controlla e elimina il file da provvisoria

[Blade667]

anche io ho lo stesso problema...

allego il contenuto del file hijackthis.log:

Quote:

Logfile of HijackThis v1.98.0
Scan saved at 14.59.13, on 09/07/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programmi\Trend Micro\Internet Security\tmproxy.exe
C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programmi\Trend Micro\Internet Security\pccguide.exe
C:\Programmi\Trend Micro\Internet Security\PCClient.exe
C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe
C:\WINDOWS\msocfg.exe
C:\WINDOWS\twain_32\Flatbed\Usb\Detector.exe
C:\Programmi\INTERN~1\iexplore.exe
C:\TempH\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\System32\KCPDRG~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs
O4 - HKLM\..\Run: [navman_20] "C:\windows\sysnav32.exe "
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SysService32] C:\WINDOWS\systask32l.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmi\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\msocfg.exe /i
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Usb\Detector.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it

Cosa c'è che devo fixare...praticamente dopo pochi minuti il pc si disconnette e cerca di connettersi a Hard...

[netquik]

fixa

O2 - BHO: IEHlprObj Class - {01FB9C55-FC66-4476-A199-389241193188} - C:\WINDOWS\System32\KCPDRG~1.DLL
O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs

(questo indica anche un tentativo di modificare il file hosts
quindi assicurati che dopo sia pulito)

O4 - HKLM\..\Run: [navman_20] "C:\windows\sysnav32.exe "
O4 - HKLM\..\Run: [SysService32] C:\WINDOWS\systask32l.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\msocfg.exe /i


comunque tutta sta roba dovrebbe appartenere anche a viruses

quindi pulisci con tutto quello puoi

e usa anche gli scan online

[Blade667]

grazie...proverò! come faccio ad assicurarmi che è pulito?

che cosa mi consigli per lo scan?

GRAZIE

[netquik]

bhè aggiorna Trend Micro (il tuo antivirus?)
e fai uno scan completo

puoi anche provare lo scan online mcafee così come la piccola utility stinger...

ti rimando a questa discussione in rilievo
http://forum.hwupgrade.it/showthread...hreadid=659535


anche adware e spybot e cwsshredder...


dopo la pulizia di pasqua
posta il nuovo log di hijack

ricorda che se fai gli scan in provvisoria avrai più possibilità di eliminare tutto

ciao

[Blade667]

grazie netquik!
Ho aggiornato Trend Micro e fatto lo scan...ecco il nuovo log di HijackThis:

Quote:

Logfile of HijackThis v1.98.0
Scan saved at 14.59.42, on 10/07/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programmi\Trend Micro\Internet Security\tmproxy.exe
C:\Programmi\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\TempH\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programmi\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programmi\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Detector.lnk = C:\WINDOWS\twain_32\Flatbed\Usb\Detector.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0087AF3-299C-40C1-96D5-E432A617D5FB}: NameServer = 212.245.255.2

Tutto sembra andare bene..dopo un'ora di collegamento nessuna disconnessione....
scaricherò mcafee,adware,spybot e cwsshredder e ti farò sapere....GRAZIE ANCORA!

[netquik]

prego...


il log sembra pulitissimo...

in bocca al lupo