HiJackThis - Analisi Log - leggere Regole di Sezione

[lackyluc]

Salve a tutti. Ho un problema. Dal log di Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 14.47.33, on 22/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\sysmon.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Opera\Opera.exe
C:\Programmi\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?301
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmi\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1132435449327
O17 - HKLM\System\CCS\Services\Tcpip\..\{4103392C-3168-40F1-AC77-AAAB09979636}: NameServer = 85.37.17.46 151.99.125.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programmi\Spyware Doctor\sdhelp.exe

Non riesco a risolvere

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?301

Ho provato in modalità provvisoria reimpostando la pagina iniziale su google, poi settando tutti i controlli su "alto", ma riavviando ritorna tutto come prima, e si reinstalla sul desktop un collegamento ad archiviosex.net. Anche i tre O15 sono stati fixati in modalità provvisoria ma ricompaiono....cosa devo fare su questi problemi? Ne vedete altri dal log?
Grazie a tutti

[juninho85]

Quote:

Originariamente inviato da lackyluc

C:\WINDOWS\System32\sysmon.exe
C:\WINDOWS\System32\wpabaln.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?301{B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\sysmon.exell
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz

ora non ricordo se spyware doctor era o meno nella blacklist degli antispyware....comunque rimuovi queste voci,esegui ewido e installati il service pack 2

[BravoGT83]

wpabaln.exe non è da fixare

si tratta di un exe che avvisa della licenza del XP

[BravoGT83]

mettiti subito anche Service Pack 2

[lackyluc]

Grazie ragazzi, due cose:
Prima di tutto, siete sicuri di Sysmon...dal sito CastleCops risulta che potrebbe essere anche un file che gestisce la CPU...cioè due varianti di questo file risultano buone...l'altra no...e non so come considerare la mia.
Secondo, ho già provato a eliminare i tre O15 e l'R0, ma non vanno via...neanche da modalità provvisoria...quindi o c'è una procedura particolare e precisa...o le cose fattibili le ho già fatte.
Grazie ciao

[juninho85]

prova con ewido(dopo averlo aggiornato):te lo scarichi,lo aggiorni e fai uno scan completo

[BravoGT83]

Quote:

Originariamente inviato da lackyluc

Grazie ragazzi, due cose:
Prima di tutto, siete sicuri di Sysmon...dal sito CastleCops risulta che potrebbe essere anche un file che gestisce la CPU...cioè due varianti di questo file risultano buone...l'altra no...e non so come considerare la mia.
Secondo, ho già provato a eliminare i tre O15 e l'R0, ma non vanno via...neanche da modalità provvisoria...quindi o c'è una procedura particolare e precisa...o le cose fattibili le ho già fatte.
Grazie ciao

hai disabilitato il ripristino di sistema?

[andorra24]

Quote:

Originariamente inviato da lackyluc

Prima di tutto, siete sicuri di Sysmon...dal sito CastleCops risulta che potrebbe essere anche un file che gestisce la CPU...cioè due varianti di questo file risultano buone...l'altra no...e non so come considerare la mia.

Per tagliare la testa al toro scansiona il tuo sysmon.exe su jotti per vedere se e' pulito o infetto: http://virusscan.jotti.org/

[BravoGT83]

Quote:

Originariamente inviato da Emjay

Grazie

installati anche Service Pack 2

[lackyluc]

Quote:

Originariamente inviato da BravoGT83

hai disabilitato il ripristino di sistema?

Si l'ho fatto...ora provo con questo ewido...è tipo registry mechanic?

[juninho85]

Quote:

Originariamente inviato da lackyluc

Si l'ho fatto...ora provo con questo ewido...è tipo registry mechanic?

no,si tratta un programma che rimuove malware,uno dei migliori secondo e disponibili sul mercato(contando che è free per 15 giorni)

[lackyluc]

Quote:

Originariamente inviato da juninho85

no,si tratta un programma che rimuove malware,uno dei migliori secondo e disponibili sul mercato(contando che è free per 15 giorni)

Quindi tipo ad-aware e spyware doctor...li ho ma forse non li uso bene...ora tra l'altro, ho fatto analizzare il mio sysmon dal sito che mi avete consigliato, e guarda un po è affetto da troiaN...il bello è che antivir non lo vede...forse è perchè non gli ho fatto analizzare tutto il disco (cosa fatta decine di volte negli ultimi giorni, da quando ho l'ADSL), ma ho fatto un trascina del file dentro antivir...lo vede, lo analizza, ma non trova niente...cmq ora che so che è malato riprovo con hijack...

[bonannogiovanni]

Salve ecco la mia configurazione: XP SP2, Microsoft Antispyware, Sygate e AVG free. Da alcune settimane mi si aprono finestre da sole, si avvia la calcolatrice, nei word processor si scrivono caratteri da soli, e l'altoparlante del PC emmette in continuazioend dei beep. Vi mando il log di hijack sperando che mi possiate aiutare ve ne sarei molto grato.


Logfile of HijackThis v1.99.1
Scan saved at 17.27.12, on 22/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trust\CnxDslTb.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\calc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Lissy\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Trust\CnxDslTb.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQ5\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmesit.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQ5\ICQLite.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1114129520526
O17 - HKLM\System\CCS\Services\Tcpip\..\{64DA85CC-6512-42EC-B977-9A5BE833EB59}: NameServer = 85.37.17.17 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

[juninho85]

Quote:

Originariamente inviato da lackyluc

Quindi tipo ad-aware e spyware doctor...li ho ma forse non li uso bene...ora tra l'altro, ho fatto analizzare il mio sysmon dal sito che mi avete consigliato, e guarda un po è affetto da troiaN...il bello è che antivir non lo vede...forse è perchè non gli ho fatto analizzare tutto il disco (cosa fatta decine di volte negli ultimi giorni, da quando ho l'ADSL), ma ho fatto un trascina del file dentro antivir...lo vede, lo analizza, ma non trova niente...cmq ora che so che è malato riprovo con hijack...

dammi retta,ewido non è neanche paragonabile a ad-aware e spyware doctor,provare per credere

[lackyluc]

Quote:

Originariamente inviato da juninho85

dammi retta,ewido non è neanche paragonabile a ad-aware e spyware doctor,provare per credere

ok ti ringrazio per il consiglio...ora lo provo

[§ur√i√or]

Quote:

Originariamente inviato da andorra24

Fixa questa:
O2 - BHO: IEWebCatcher Class - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Programmi\DNS\Catcher.dll

G R A Z I E!!!
[avevo anche io dei sospetti su tale BHO]
..rimane il fatto che non posso piu' accedere al regedit [alla pagina tradizionale
mi compare una finestra nera di windows\system32\regedit.com
a scomparsa immediata....bho!!]

[juninho85]

ahia.....prova a ripristinare il backup di hiajckthis

[andorra24]

Quote:

Originariamente inviato da §ur√i√or

G R A Z I E!!!
[avevo anche io dei sospetti su tale BHO]
..rimane il fatto che non posso piu' accedere al regedit [alla pagina tradizionale
mi compare una finestra nera di windows\system32\regedit.com
a scomparsa immediata....bho!!]

Questo mi pare strano. Il bho che hai fixato era da eliminare e lo dice anche qua:
http://castlecops.com/tk3857-Catcher_dll.html
Prova a ripristinare il backup e vedi se regedit funziona.

[halduemilauno]

Quote:

Originariamente inviato da juninho85

dammi retta,ewido non è neanche paragonabile a ad-aware e spyware doctor,provare per credere

forse era meglio dire che sono gli altri due programmi ad essere non paragonabili ad ewido.

[BravoGT83]

Quote:

Originariamente inviato da juninho85

no,si tratta un programma che rimuove malware,uno dei migliori secondo e disponibili sul mercato(contando che è free per 15 giorni)

e dopo 15 giorni rimane free per le scansioni On Demand