HiJackThis - Analisi Log - leggere Regole di Sezione

[juninho85]

Quote:

Originariamente inviato da windir

.

che problemi c'ha?

[windir]

gli si aprono pagine pubblicitarie ma i soliti controlli di rito non hanno riportato nulla.

hai qualche suggerimento sul log?

[juninho85]

Quote:

Originariamente inviato da windir

gli si aprono pagine pubblicitarie ma i soliti controlli di rito non hanno riportato nulla.

hai qualche suggerimento sul log?

il log è pulito,ma il problema è dovuto al fatto che non ha service packs installati,di conseguenza ancora ha il servizio messenger attivo

[windir]

Quote:

Originariamente inviato da juninho85

il log è pulito,ma il problema è dovuto al fatto che non ha service packs installati,di conseguenza ancora ha il servizio messenger attivo

grazie.

intanto provo a suggerirgli questa cosa.
tu intendi che le pagine si aprono per il fatto che ha il servizio messenger attivo?
perchè comunque non gli si apre una pagina relativa a messenger, ma questo sito:
(http://) it.winantivirus.com/download/...ed1&lid=thread

[juninho85]

Quote:

Originariamente inviato da windir

grazie.

intanto provo a suggerirgli questa cosa.
tu intendi che le pagine si aprono per il fatto che ha il servizio messenger attivo?
perchè comunque non gli si apre una pagina relativa a messenger, ma questo sito:
(http://) it.winantivirus.com/download/...ed1&lid=thread

il servizio messenger non ha nulla a che vedere col programma di messagistica istantanea,perciò quella finestra è imputabile al servizio abilitato

[windir]

ah, ti ringrazio.
provo allora a fargli installare i Sp.

ciao

[boletusatanas]

salve raga....
ho bisogno di una mano...è ormai una settimana che combatto con questo trojan...
premetto che non sono espertissimo, ma su internet ho trovato poco, cmq antivir mi segnala circa ogni 10 minuti la presenza di questo file e altri con dicitura molto simile, spesso cambiano i numeri nella dicitura, oppure mi segnala un altro troyan tipo '32exmodul... .exe'.
mi aiutate? avete già trovato qualcosa di simile???


Logfile of HijackThis v1.99.1
Scan saved at 8.07.03, on 15/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Logitech\MediaLife\MediaLifeService.exe
C:\Programmi\File comuni\TerraTec\Remote\TTTVRC.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe
C:\PROGRA~1\FILECO~1\TerraTec\SCHEDU~1\TTTimer.exe
C:\Programmi\ObjectDock\ObjectDock.exe
C:\Programmi\UberIcon\UberIcon Manager.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmi\File comuni\Logitech\KHAL\KHALMNPR.EXE
C:\Programmi\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmi\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\METALS~1\IMPOST~1\Temp\11exinjs.i.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\Program\System\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [MediaLifeService] "C:\Programmi\Logitech\MediaLife\MediaLifeService.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programmi\File comuni\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmi\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\FILECO~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [ObjectDock] C:\Programmi\ObjectDock\ObjectDock.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programmi\UberIcon\UberIcon Manager.exe"
O4 - Startup: Collegamento a SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Programmi\ScanSoft\PDF Professional 3.0\IEShellExt.dll /100
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/active...free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

[juninho85]

Quote:

Originariamente inviato da boletusatanas

C:\DOCUME~1\METALS~1\IMPOST~1\Temp\11exinjs.i.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

elimina

[Myers]

Ciao.
Quando apro una specifica pagina web il mio antivirus rileva questo:
File:
http : //deposito.easyaccesssite com/10243-23.exe
Virus:
variante modificata di Win32/Diamin cavallo di troia

Aiutatemi perche ho quasi provato tutte le scansioni possibili, ma nutro ancora una forte speranza in qualcuno di voi.


Logfile of HijackThis v1.99.1
Scan saved at 19.03.39, on 15/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ARESCOM\Modem Telindus Arescom ND220b\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\ROBERTO\Desktop\hijackthis1991\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AtiPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programmi\RivaTuner v2.0 RC 16\RivaTuner.exe" /S
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [TrojanShield Protector] C:\Programmi\TrojanShield\Port.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {6C42BC59-0D10-4798-863A-52B296946130} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.98.46.120/activex/AxisCamControl.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{29541B37-4445-46AE-B3FA-4811DE072188}: NameServer = 85.37.17.51 85.38.28.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{29541B37-4445-46AE-B3FA-4811DE072188}: NameServer = 85.37.17.51 85.38.28.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[lognomo33]

Quote:

Originariamente inviato da Myers

O17 - HKLM\System\CCS\Services\Tcpip\..\{29541B37-4445-46AE-B3FA-4811DE072188}: NameServer = 85.37.17.51 85.38.28.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{29541B37-4445-46AE-B3FA-4811DE072188}: NameServer = 85.37.17.51 85.38.28.97

Conosci questi 2 indirizzi ip?

[Myers]

No non li conosco

[lognomo33]

Quote:

Originariamente inviato da Myers

No non li conosco

Accertatene..e in caso non siano ne del tuo provider ne della tua rete fixali.

[juninho85]

sei pulito

[Myers]

Se sono pulito allora non capisco cosa sia questa specie di trojan.
Cmq non si potrebbe cercare di rimuoverlo manualmente visto che tutti i tentativi di rimozioni dei diversi antivirus che ho provato non sono andati a buon fine.??

[juninho85]

Quote:

Originariamente inviato da Myers

Se sono pulito allora non capisco cosa sia questa specie di trojan.
Cmq non si potrebbe cercare di rimuoverlo manualmente visto che tutti i tentativi di rimozioni dei diversi antivirus che ho provato non sono andati a buon fine.??

prova da modalità provvisoria

[Myers]

Ho gia provato con la modalità provvisoria
Vorrei proprio capire dove si è insediato il .exe sul mio hardisk

[boletusatanas]

Quote:

Originariamente inviato da juninho85

Quote:
Originariamente inviato da boletusatanas
C:\DOCUME~1\METALS~1\IMPOST~1\Temp\11exinjs.i.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

elimina
__________________

ma devo eliminare i file di quelle directory? quello in temp lo elimino, ma si crea sempre...li conosci questi file??

[juninho85]

Quote:

Originariamente inviato da boletusatanas

ma devo eliminare i file di quelle directory? quello in temp lo elimino, ma si crea sempre...li conosci questi file??

devi selezionare fix checked items

[boletusatanas]

ora ho capito, eliminarle tramite sempre hijackthis...cmq siccome avevo risolto con bit defender, ma il pc mi si rallentava troppo perche mi faceva la scansione su qualsiasi cosa, ho preferito tornare al mio vecchio SYGATE, che avevo eliminato perche i miei pc sono in una rete con router e rispettivo firewall.....
ora non si ha piu traccia di quei files...grazie....

[boletusatanas]

scusate la ripetizione, ho avuto un problema istantaneo con il browser...
cmq ringrazio juninho85