|
|||||||
|
|
|
 |
|
|
Strumenti |
13-02-2005, 17:24
|
#1 |
|
Member
Iscritto dal: Nov 2003
Messaggi: 257
|
log di hijack
mi da questo rapporto e mi dice che lo 018 è da fissare cosa che faccio ma poi mi riciccia...or avisto che il pc mi si è rallentato di brutto come posso fare ?
Ho hià fatto una scansione anche con Ad-Aware SE e mi ha dato una bella ripulita.... Logfile of HijackThis v1.99.0 Scan saved at 18.06.40, on 13/02/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programmi\Real\RealPlayer\RealPlay.exe C:\Programmi\Logitech\iTouch\iTouch.exe C:\WINDOWS\System32\rundll32.exe C:\Programmi\Microsoft Office\Office10\msoffice.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Downloads\Antivirus\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - Startup: Barra degli strumenti Microsoft Office.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents...1/imloader.cab O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
|
13-02-2005, 18:54
|
#2 |
|
Senior Member
Iscritto dal: Oct 2004
Messaggi: 893
|
Prova a ripartire in modalità provvisoria e a rifare la scansione, oppure almeno disabilità il ripristino di configurazione di sistema prima di fre la scansione con Hijackthis. Prova magari anche ad eliminarlo a mano per vedere come si comporta.
|
|
|
|
|
14-02-2005, 08:16
|
#3 |
|
Member
Iscritto dal: Nov 2003
Messaggi: 257
|
lo vorrei eliminare ma non lotrovo !!!
provo a rifarlo girare in mod provvisoria... domanda da niubbo: ma perchè dovrei disabilitre il ripristino di configurazione di sistema prima di fre la scansione con Hijackthis ?? grazie |
|
|
|
|
14-02-2005, 08:43
|
#4 | |
|
Senior Member
Iscritto dal: Nov 2004
Città: Modena ©2007 Diritti Riservati Vecchio Nick: Pinhead Vecchi Post: 2204
Messaggi: 584
|
Quote:
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe (non ho la più pallida idea di cosa sia e lo toglierei al volo, cancellando anche fisicamente il files dal disco fisso una volta fixato con Hijackthis) O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll,DllInstall (idem con patate) O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll (mi risulta che sia un hijaker)
__________________
Quant'è bella giovinezza che si fugge tuttavia! Chi vuol esser lieto, sia: di doman non c'è certezza  La croce nel nick non è una T...è proprio una croce... Ultima modifica di Dëck† : 14-02-2005 alle 09:05. |
|
|
|
|
|
14-02-2005, 09:44
|
#5 |
|
Member
Iscritto dal: Nov 2003
Messaggi: 257
|
e se li faccio girare in modalità provvisoria va bene o devo disabilitare il ripristino di configurazione lo stesso ?
appena sono a casa provo a fissare quello che mi consigli.....poi ti dico grazie |
|
|
|
|
14-02-2005, 10:22
|
#6 | |
|
Senior Member
Iscritto dal: Nov 2004
Città: Modena ©2007 Diritti Riservati Vecchio Nick: Pinhead Vecchi Post: 2204
Messaggi: 584
|
Quote:
__________________
Quant'è bella giovinezza che si fugge tuttavia! Chi vuol esser lieto, sia: di doman non c'è certezza La croce nel nick non è una T...è proprio una croce... |
|
|
|
|
|
15-02-2005, 07:37
|
#7 |
|
Member
Iscritto dal: Nov 2003
Messaggi: 257
|
riepilogo la situazione:
ho disattivato il ripristino di configurazione, ho fatto girare CWShredder che quasi subito mi si chiede e chiude tutte le applicazioni aperte, sono andato sul sito (http://www.spywareinfo.com/~merijn/downloads.html) e ho letto questo: There is a variant of the Coolwebsearch trojan spreading that closes several anti-spyware apps when you try to open them. If this is happening to you, download PepiMK's CoolWWWSearch.SmartKiller removal tool first and run it. After it does its job, CWShredder and HijackThis will run properly (as well Spybot S&D, Ad-aware and several anti-spyware forums). l'ho scaricato ma non ha trovato nulla, poi ho riavviato in mod. provvisioria e ho fatto girare adware-se e poi HiJackThis (le ultime versioni), ma non ho risolto nulla.... come pagina iniziale mi carica sempre about:blank e il pc mi sembra rallentato (con i giochi soprattutto). questo è l'ultimo log: Logfile of HijackThis v1.99.0 Scan saved at 0.09.17, on 15/02/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Real\RealPlayer\RealPlay.exe C:\Programmi\Logitech\iTouch\iTouch.exe C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programmi\Microsoft Office\Office10\msoffice.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\System32\rundll32.exe C:\Downloads\Antivirus\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {8FEDFD25-E586-4FEE-AE55-0482CC16013D} - C:\WINDOWS\System32\phemajb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - Startup: Barra degli strumenti Microsoft Office.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents...1/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7B6F96-2E12-48CC-99CA-6F0289C402FA}: NameServer = 62.211.69.150,212.48.4.15 O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll O18 - Filter: text/html - {BEFAC71B-1471-439A-82AA-2475D0472176} - C:\WINDOWS\System32\phemajb.dll O18 - Filter: text/plain - {BEFAC71B-1471-439A-82AA-2475D0472176} - C:\WINDOWS\System32\phemajb.dll O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe li fisso ma mi ritornano tutti (lo 018), ma come li trovo e li cancello definitivamente ? grazie |
|
|
|
|
15-02-2005, 17:01
|
#8 | |
|
Senior Member
Iscritto dal: Nov 2004
Città: Modena ©2007 Diritti Riservati Vecchio Nick: Pinhead Vecchi Post: 2204
Messaggi: 584
|
Quote:
C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe Noto purtroppo l'apparizione di altri strighe sconosciute oltre quelle già citate: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll/sp.html O2 - BHO: (no name) - {8FEDFD25-E586-4FEE-AE55-0482CC16013D} - C:\WINDOWS\System32\phemajb.dll O18 - Filter: text/html - {BEFAC71B-1471-439A-82AA-2475D0472176} - C:\WINDOWS\System32\phemajb.dll O18 - Filter: text/plain - {BEFAC71B-1471-439A-82AA-2475D0472176} - C:\WINDOWS\System32\phemajb.dll
__________________
Quant'è bella giovinezza che si fugge tuttavia! Chi vuol esser lieto, sia: di doman non c'è certezza La croce nel nick non è una T...è proprio una croce... |
|
|
|
|
|
16-02-2005, 03:11
|
#9 |
|
Senior Member
Iscritto dal: Nov 2002
Città: Firenze
Messaggi: 4027
|
...nn so se funziona con IE ma prova...nella barra di navigazione scrivi(senza http.www e niente)
SpHjFix ti si aprirà solo una finestra di download...salva il programmino e avvialo....ti rimuoverà sp.html che è il ricercato in questione. |
|
|
|
|
16-02-2005, 08:30
|
#10 |
|
Member
Iscritto dal: Nov 2003
Messaggi: 257
|
x Dëck†:
io seguo il percorso indicato, ma non li trovo dove dovrebbero essere !?!?  x Ciaba: ci provo e vi aggiorno... se è questo: SP.html Browser-Hijack Fix 1.0.0.7 da 84 kb l'ho scaricato grazie.... Ultima modifica di steghi : 16-02-2005 alle 08:45. |
|
|
|
|
16-02-2005, 09:10
|
#11 |
|
Senior Member
Iscritto dal: Nov 2002
Città: Firenze
Messaggi: 4027
|
...esatto proprio lui...è il tool specifico per rimuovere SP.html che è uno spy molto insidioso.....e ti consiglierei se già nn lo fai di usare Firefox come browser per navigare
|
|
|
|
|
16-02-2005, 10:12
|
#12 |
|
Member
Iscritto dal: Nov 2003
Messaggi: 257
|
grazieCiaba, su firefox ci stavo pensando, ma basta scaricare ed istallare il browser e mi conserva i preferiti che ho ora su i.e. ?
|
|
|
|
|
16-02-2005, 11:25
|
#13 | |
|
Senior Member
Iscritto dal: Nov 2002
Città: Firenze
Messaggi: 4027
|
Quote:
|
|
|
|
|
|
16-02-2005, 23:05
|
#14 |
|
Senior Member
Iscritto dal: Jul 2002
Messaggi: 462
|
ho lo stesso problema......con tutti i programmi che ho usato non mi e' cambiato nulla.....non si puo' rimuovere manualmente?
ciao |
|
|
|
|
17-02-2005, 07:28
|
#15 |
|
Senior Member
Iscritto dal: Nov 2002
Città: Firenze
Messaggi: 4027
|
...credo che ci sia anche una procedura manuale ma nn so proprio dove indirizzarti......ma nenche con SpHjFix sei riuscito a estirparlo?
|
|
|
|
|
17-02-2005, 08:09
|
#16 |
|
Member
Iscritto dal: Nov 2003
Messaggi: 257
|
No, nemmeno con SpHjFix , o meglio, SpHjFix mi dice che ha trovato e eliminato qualcosa (non ho il log sottomano da postare), ma poi la pagina iniziale rimane about blank ..gasp...
E in più se lancio CWShredder appena lanciato mi si chiude e mi chiude tutti i programmi aperti (posta e barra degi strumenti p.e.) sono da capo ..... 
|
|
|
|
|
17-02-2005, 09:28
|
#17 |
|
Senior Member
Iscritto dal: Nov 2002
Città: Firenze
Messaggi: 4027
|
..."chi la dura la vince"...disse un giorno Fabio Volo tentando di schiacciare una noce con le chiappe
 http://www.alground.com/virus/scheda...p?cod_virus=87 |
|
|
|
|
17-02-2005, 09:47
|
#18 |
|
Member
Iscritto dal: Nov 2003
Messaggi: 257
|
ma quante ne sai !?
oggi provo anche questa e poi ti dico cmq i due programmi per la Rimozione con le utility li ho fatti già girare senza esito...gasp |
|
|
|
|
18-02-2005, 07:33
|
#19 |
|
Member
Iscritto dal: Nov 2003
Messaggi: 257
|
ho provato, ma nulla da fare......
 ho provato anche "adware away" che ho letto essere il killer di "about blank"...ma torna e pure questo che vi consiglio fortemente: http://www.microsoft.com/downloads/d...n&Hash=JMBRPKC che in effetti sembrava lo limitasse, ma dopo un po' ritorna, nel senso che rimane nel sistema...provatelo e ditemi.... vi riposto il log di Hijackthis: Logfile of HijackThis v1.99.0 Scan saved at 22.01.05, on 17/02/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\downlo~1\9fub9qt\s42xrr.exe C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programmi\Real\RealPlayer\RealPlay.exe C:\Programmi\Logitech\iTouch\iTouch.exe C:\WINDOWS\System32\rundll32.exe C:\Programmi\Microsoft AntiSpyware\gcasServ.exe C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe C:\Programmi\Microsoft Office\Office10\msoffice.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\HijackThis.exe C:\Programmi\IncrediMail\bin\IncMail.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.it R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.it R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.it R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.it R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {8FEDFD25-E586-4FEE-AE55-0482CC16013D} - C:\WINDOWS\System32\phemajb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Stefano\IMPOST~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - Startup: Barra degli strumenti Microsoft Office.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents...1/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7B6F96-2E12-48CC-99CA-6F0289C402FA}: NameServer = 62.211.69.150,212.48.4.15 O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll O18 - Filter: text/html - {B96778C4-4689-41D4-9CCC-9E3E918FA010} - C:\WINDOWS\System32\phemajb.dll O18 - Filter: text/plain - {B96778C4-4689-41D4-9CCC-9E3E918FA010} - C:\WINDOWS\System32\phemajb.dll O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe gasp 
|
|
|
|
|
18-02-2005, 08:13
|
#20 |
|
Senior Member
Iscritto dal: Nov 2002
Città: Firenze
Messaggi: 4027
|
...nn è che hai il ripristino configurazione di sistema attivato??
p.s il log lo puoi analizzare anche da solo a questo indirizzo... http://hijackthis.de/index.php?langselect=italian Ultima modifica di Ciaba : 18-02-2005 alle 08:15. |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:57.
