HiJackThis - Analisi Log - leggere Regole di Sezione

[BranMakMorn]

Quote:

Originariamente inviato da giannola

5 con hijack visto che hai già elencato Avast, Virit, AdAware e SuperAntispyware.


Guarda io nn sono uso a propagandare antivirus ma vista la tua situazione per questa volta ti consiglio di andare sul sito di avg e scaricarti la versione 30gg di avg internet suite e di usarla in modalità provvisoria dopo averla aggiornata.

Capisco la tua situazione ma a questo punto si può solo andare per tentativi e nn credo che formattare entrambi rappresenti un'opzione accettabile al momento.

Grazie Già. L'AVG sembra aver risolto il problema con una bella scansione in modalità provvisoria da 5 ore e mezzo

[messi83]

Quote:

Originariamente inviato da juninho85

che messaggio di errore ottieni?

Nessuno, semplicemente esce indirizzo non trovato, in pratica è come provare ad andare in rete senza essere collegato!

[juninho85]

Quote:

Originariamente inviato da messi83

Nessuno, semplicemente esce indirizzo non trovato, in pratica è come provare ad andare in rete senza essere collegato!

ripristina il backup,elimina le stesse stringhe che hai eliminato prima a eccezzione di

Quote:

O17 - HKLM\System\CCS\Services\Tcpip\..\{4D292182-88BE-49AE-A906-501BC10A5EE3}: NameServer = 80.118.192.111

O17 - HKLM\System\CCS\Services\Tcpip\..\{54B35849-DAB5-40E3-B813-1227D8E45747}: NameServer = 80.118.192.111

O17 - HKLM\System\CCS\Services\Tcpip\..\{9ACD2C3A-38AF-4851-92F6-5D519E45BAA4}: NameServer = 80.118.192.111

O17 - HKLM\System\CCS\Services\Tcpip\..\{B41155DB-99BF-480C-BB6F-F40A3DD9418C}: NameServer = 80.118.192.111

[messi83]

Perdona l'ignoranza ma nn ho idea di come si faccia....

[juninho85]

Quote:

Originariamente inviato da messi83

Perdona l'ignoranza ma nn ho idea di come si faccia....

ora non ho il programma a portata di mano,ravana un pochino tra le opzioni,cerca misc.tools poi backup

[messi83]

Ma sempre con hjackthis!! Io chissà che pensavo! Ok ho fatto ora provo a riavviare e incrocio le dita...

[messi83]

Niente da fare...è tutto come prima

[juninho85]

sicuro che sia la connessione a non andare a buon fine e non i siti a non venire caricati?

[messi83]

Risolto! Ho spento e riacceso il pc e posso di nuovo accedere a internet...ora però ho di nuovo un problema con NT Authority System

[giannola]

Quote:

Originariamente inviato da messi83

Risolto! Ho spento e riacceso il pc e posso di nuovo accedere a internet...ora però ho di nuovo un problema con NT Authority System

ariposta un nuovo log

[giannola]

Quote:

Originariamente inviato da BranMakMorn

Grazie Già. L'AVG sembra aver risolto il problema con una bella scansione in modalità provvisoria da 5 ore e mezzo

mi sfotti ?

5 ore e mezza ?
ma quanti giga ha dovuto macinare ?

[messi83]

Eccolo....

Logfile of HijackThis v1.99.1
Scan saved at 14.15.59, on 30/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Prevx1\PXAgent.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\WINDOWS\2kadiras.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe
C:\Programmi\SPYWAREfighter\spftray.exe
C:\VEXPLITE\MONLITE.EXE
C:\Programmi\Prevx1\PXConsole.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\SPYWAREfighter\spfprc.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\SEC\Natural Color\NaturalColorLoad.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\Documents and Settings\Work\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programmi\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "C:\Documents and Settings\Work\Desktop\gommone.exe" -scan
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D292182-88BE-49AE-A906-501BC10A5EE3}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{54B35849-DAB5-40E3-B813-1227D8E45747}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ACD2C3A-38AF-4851-92F6-5D519E45BAA4}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{B41155DB-99BF-480C-BB6F-F40A3DD9418C}: NameServer = 80.118.192.111
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programmi\SPYWAREfighter\spfprc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - C:\VEXPLITE\viritsvc.exe

[giannola]

Quote:

Originariamente inviato da messi83

Eccolo....

fixa questi:

O17 - HKLM\System\CCS\Services\Tcpip\..\{4D292182-88BE-49AE-A906-501BC10A5EE3}: NameServer = 80.118.192.111

O17 - HKLM\System\CCS\Services\Tcpip\..\{54B35849-DAB5-40E3-B813-1227D8E45747}: NameServer = 80.118.192.111

O17 - HKLM\System\CCS\Services\Tcpip\..\{9ACD2C3A-38AF-4851-92F6-5D519E45BAA4}: NameServer = 80.118.192.111

O17 - HKLM\System\CCS\Services\Tcpip\..\{B41155DB-99BF-480C-BB6F-F40A3DD9418C}: NameServer = 80.118.192.111

per il resto nn ho trovato nulla, fai una scansione.

[messi83]

Quelli che hai evidenziato tu dovrebbero avere un legame con il router dal quale prendo la connessione ad internet (infatti prima togliendoli ho perso internet) che scansione mi consigli di fare? con avg o virit?

[messi83]

Se puo aiutare il messaggio è tipo cosi: C://WINDOWS//System32/services.exe si è chiuso in modo improvviso errore 1073741819............piu o meno è questo il senso, anche se una volta l'errore era 204

[giannola]

Quote:

Originariamente inviato da messi83

Quelli che hai evidenziato tu dovrebbero avere un legame con il router dal quale prendo la connessione ad internet (infatti prima togliendoli ho perso internet) che scansione mi consigli di fare? con avg o virit?

quelli che ho evidenziato sono degli indirizzi che fanno capo a:
neuf telecom, Immeuble Quai Ouest, 40-42 Quai du point du jour, 92659 Boulogne Billancourt, France
dubito fortemente che tu abbia un router in francia.

ti consiglio 3 procedure da seguire tutte (l'ordine nn è importante)

1. scansiona con un av online

2. scansiona con un antispyware

3. scansiona con un antirootkit.

[Peppe15]

Quote:

Originariamente inviato da giannola

fai una bella scansione con av e antispyware
se sono veramente sospetti elimnali e vedi se si ricreano.

Ho provato a fare una scansione con spybot s&d, mi trova ed elimina altri problemi ma i due amministratori rimangono sempre. E se cercassi solamente di rimuovere questi due amministratori sospetti?

[messi83]

Ok provo a fare così....pero sai dirmi perche fixando quello che mi hai evidenziato non andava piu internet? mi consigli di fixarli di nuovo?

[giannola]

come supponevo, probabilmente tu hai un rootkit sysbus32

usa rootkit revealer per vedere se lo trova

[giannola]

Quote:

Originariamente inviato da Peppe15

Ho provato a fare una scansione con spybot s&d, mi trova ed elimina altri problemi ma i due amministratori rimangono sempre. E se cercassi solamente di rimuovere questi due amministratori sospetti?

prova ad usare rootkit revealer anche tu