eliminazione con hijackthis.......

roby59 · 08-08-2005, 18:06

ciao ragazzi chiedo un aiutino..ho fatto la scansione con hijackthis e mi ha trovato questo:

Logfile of HijackThis v1.99.1
Scan saved at 18.55.31, on 08/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\The Cleaner\tca.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\The Cleaner\tcm.exe
C:\Programmi\Microsoft Money\System\Money Express.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Programmi\SpeedFan\speedfan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\SpeedFan\speedfan.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [tcactive] C:\Programmi\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programmi\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Programmi\Microsoft Money\System\Money Express.exe"
O4 - Startup: desktop(2)(3).ini
O4 - Startup: desktop(2).ini
O4 - Startup: deskto
O4 - Startup: desktop(2)(2)(2).ini
O4 - Startup: desktop(2)(2).inip(3)(2).ini
O4 - Startup: desktop(3).ini
O4 - Startup: desktop(4).ini
O4 - Startup: LooknStop.lnk = C:\Program Files\Soft4Ever\looknstop\looknstop.exe
O4 - Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: desktop(2)(2)(2).ini
O4 - Global Startup: desktop(2)(2).ini
O4 - Global Startup: desktop(2)(3).ini
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: desktop(3)(2).ini
O4 - Global Startup: desktop(3).ini
O4 - Global Startup: desktop(4).ini
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115914368889
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.stampafotodigitali.it/XUpload.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe

ora vi chiedo come faccio a tofliere questo (a me sembrano fotocopie) :
O4 - Startup: desktop(2)(3).ini
O4 - Startup: desktop(2).ini
O4 - Startup: deskto
O4 - Startup: desktop(2)(2)(2).ini
O4 - Startup: desktop(2)(2).inip(3)(2).ini
O4 - Startup: desktop(3).ini
O4 - Startup: desktop(4).ini

e

O4 - Global Startup: desktop(2)(2)(2).ini
O4 - Global Startup: desktop(2)(2).ini
O4 - Global Startup: desktop(2)(3).ini
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: desktop(3)(2).ini
O4 - Global Startup: desktop(3).ini
O4 - Global Startup: desktop(4).ini

visto che mi dice di non poter eliminare i file perchè potrebbero essere in esecuzione mi dice poi di usare task manager per terminare il programma riavviare hijackthis e cancellare il file........
Non so proprio cosa fare e dove andare a guardare in task manager......
Qualcuno di voi potrebbe darmi una mano?
ciao e ringraziamenti.

juninho85 · 08-08-2005, 23:19

guarda un poco quante voci hai su msconfig

roby59 · 09-08-2005, 00:19

effettivamente è vero.....
su msconfig alla voce avvio ho tutte queste voci.......che non trovo nell'indirizzo specificato....??????
come faccio ad eliminarle???

juninho85 · 09-08-2005, 07:35

Quote:

Originariamente inviato da roby59

effettivamente è vero.....
su msconfig alla voce avvio ho tutte queste voci.......che non trovo nell'indirizzo specificato....??????
come faccio ad eliminarle???

per adesso accontentati di togliere la spunta,come torno a casa ti passo l'indirizzo di registro da cui puoi eliminare quelle stringhe,se qualcuno non te lo avrà già detto

fester40 · 09-08-2005, 08:30

Se hai Spybot, puoi cancellare quelle voci da Utilità>Esecuzione automatica. Se non hai Spybot ti consiglio di installarlo; è un'utilità indispensabile.

roby59 · 09-08-2005, 10:55

Grazie mille ragazzi...... un ringraziamento particolare a fester40 il cui consiglio è stato ...illuminante!!!!! Spybot poi è grandissimo......
tutto risolto...
le voci sono state eliminate al primo colpo ed io ho imparato un'altra cosa.
ciao !!!

fester40 · 09-08-2005, 14:11

08-08-2005, 18:06	#1
roby59 Senior Member Iscritto dal: Nov 2003 Messaggi: 518	eliminazione con hijackthis....... ciao ragazzi chiedo un aiutino..ho fatto la scansione con hijackthis e mi ha trovato questo: Logfile of HijackThis v1.99.1 Scan saved at 18.55.31, on 08/08/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\carpserv.exe C:\Programmi\The Cleaner\tca.exe C:\Programmi\Logitech\MouseWare\system\em_exec.exe C:\Programmi\The Cleaner\tcm.exe C:\Programmi\Microsoft Money\System\Money Express.exe C:\Program Files\Soft4Ever\looknstop\looknstop.exe C:\Programmi\SpeedFan\speedfan.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Raxco\PerfectDisk\PDSched.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\SpeedFan\speedfan.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [tcactive] C:\Programmi\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programmi\The Cleaner\tcm.exe O4 - HKCU\..\Run: [MoneyAgent] "C:\Programmi\Microsoft Money\System\Money Express.exe" O4 - Startup: desktop(2)(3).ini O4 - Startup: desktop(2).ini O4 - Startup: deskto O4 - Startup: desktop(2)(2)(2).ini O4 - Startup: desktop(2)(2).inip(3)(2).ini O4 - Startup: desktop(3).ini O4 - Startup: desktop(4).ini O4 - Startup: LooknStop.lnk = C:\Program Files\Soft4Ever\looknstop\looknstop.exe O4 - Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: desktop(2)(2)(2).ini O4 - Global Startup: desktop(2)(2).ini O4 - Global Startup: desktop(2)(3).ini O4 - Global Startup: desktop(2).ini O4 - Global Startup: desktop(3)(2).ini O4 - Global Startup: desktop(3).ini O4 - Global Startup: desktop(4).ini O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115914368889 O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.stampafotodigitali.it/XUpload.ocx O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe ora vi chiedo come faccio a tofliere questo (a me sembrano fotocopie) : O4 - Startup: desktop(2)(3).ini O4 - Startup: desktop(2).ini O4 - Startup: deskto O4 - Startup: desktop(2)(2)(2).ini O4 - Startup: desktop(2)(2).inip(3)(2).ini O4 - Startup: desktop(3).ini O4 - Startup: desktop(4).ini e O4 - Global Startup: desktop(2)(2)(2).ini O4 - Global Startup: desktop(2)(2).ini O4 - Global Startup: desktop(2)(3).ini O4 - Global Startup: desktop(2).ini O4 - Global Startup: desktop(3)(2).ini O4 - Global Startup: desktop(3).ini O4 - Global Startup: desktop(4).ini visto che mi dice di non poter eliminare i file perchè potrebbero essere in esecuzione mi dice poi di usare task manager per terminare il programma riavviare hijackthis e cancellare il file........ Non so proprio cosa fare e dove andare a guardare in task manager...... Qualcuno di voi potrebbe darmi una mano? ciao e ringraziamenti. __________________ Case Middle Tower Colors-IT 8001 C45/43 450W - MB S939 GIGABYTE GA-K8NXP-9 NFORCE4 ultra PCI-E - CPU AMD Athlon 64bit Winchester 3200+@2000 BOX 512KB - Cooler Thermaltake silence TR2-M6 - RAM DDR PC400 Twinmos 2 x 512MB dual channel - HD 120 GB HITACHI/MAXTOR 7200 RPM serial ata - Cooler per HD Titan TTC-HD11 - SK Video NVIDIA GeForce 6600 256MB DDR2 PCI-E - Modem ADSL US Robotics Wireless Maxg ADSL2+ Gateway 9108 - Masterizzatore DVD Pioneer DVR 109 16X DL - Monitor Samsung SyncMaster 730BF

09-08-2005, 00:19	#3
roby59 Senior Member Iscritto dal: Nov 2003 Messaggi: 518	effettivamente è vero..... su msconfig alla voce avvio ho tutte queste voci.......che non trovo nell'indirizzo specificato....?????? come faccio ad eliminarle??? __________________ Case Middle Tower Colors-IT 8001 C45/43 450W - MB S939 GIGABYTE GA-K8NXP-9 NFORCE4 ultra PCI-E - CPU AMD Athlon 64bit Winchester 3200+@2000 BOX 512KB - Cooler Thermaltake silence TR2-M6 - RAM DDR PC400 Twinmos 2 x 512MB dual channel - HD 120 GB HITACHI/MAXTOR 7200 RPM serial ata - Cooler per HD Titan TTC-HD11 - SK Video NVIDIA GeForce 6600 256MB DDR2 PCI-E - Modem ADSL US Robotics Wireless Maxg ADSL2+ Gateway 9108 - Masterizzatore DVD Pioneer DVR 109 16X DL - Monitor Samsung SyncMaster 730BF

09-08-2005, 10:55	#6
roby59 Senior Member Iscritto dal: Nov 2003 Messaggi: 518	Grazie mille ragazzi...... un ringraziamento particolare a fester40 il cui consiglio è stato ...illuminante!!!!! Spybot poi è grandissimo...... tutto risolto... le voci sono state eliminate al primo colpo ed io ho imparato un'altra cosa. ciao !!! __________________ Case Middle Tower Colors-IT 8001 C45/43 450W - MB S939 GIGABYTE GA-K8NXP-9 NFORCE4 ultra PCI-E - CPU AMD Athlon 64bit Winchester 3200+@2000 BOX 512KB - Cooler Thermaltake silence TR2-M6 - RAM DDR PC400 Twinmos 2 x 512MB dual channel - HD 120 GB HITACHI/MAXTOR 7200 RPM serial ata - Cooler per HD Titan TTC-HD11 - SK Video NVIDIA GeForce 6600 256MB DDR2 PCI-E - Modem ADSL US Robotics Wireless Maxg ADSL2+ Gateway 9108 - Masterizzatore DVD Pioneer DVR 109 16X DL - Monitor Samsung SyncMaster 730BF

08-08-2005, 23:19	#2
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28978	guarda un poco quante voci hai su msconfig

09-08-2005, 08:30	#5
fester40 Senior Member Iscritto dal: Mar 2005 Città: West Liguria Messaggi: 2330	Se hai Spybot, puoi cancellare quelle voci da Utilità>Esecuzione automatica. Se non hai Spybot ti consiglio di installarlo; è un'utilità indispensabile.

09-08-2005, 14:11	#7
fester40 Senior Member Iscritto dal: Mar 2005 Città: West Liguria Messaggi: 2330

Strumenti
Mostra una versione stampabile Invia questa pagina per email