HiJackThis - Analisi Log - leggere Regole di Sezione

[swannypep]

ciao raga non riesco a capire se sono infetto!da ieri leggo come un pazzo tutte le sezioni,tutti i post precedenti ma...niente!vi allego il file...confido in voi...questo è il log

[Mazda RX8]

Quote:

Originariamente inviato da uniposca

visto che non cè verso di accedere al forum.. cè qualche metodo alternativo per accedere alle stesse risorse?? il guaio è che nelle guide sono riportati link che se stampo la guida logicamente non si 'evidenziano' .. avevo pensato tipo ad un salvataggio della pagina web da inviarmi via mail al pc di casa.. si accettano consigli.. intanto allego il log di hjt che esce dopo le modifiche segnalatemi in precedenza..

OT: prova questo tool: http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

[Mazda RX8]

Quote:

Originariamente inviato da swannypep

ciao raga non riesco a capire se sono infetto!da ieri leggo come un pazzo tutte le sezioni,tutti i post precedenti ma...niente!vi allego il file...confido in voi...questo è il log

cosa noti di strano?

[swannypep]

non riesco a capire il passo 013 che mi dite?
grazie

[Mazda RX8]

Quote:

Originariamente inviato da swannypep

non riesco a capire il passo 013 che mi dite?
grazie

è attendibile...

[swannypep]

grazieeee!io cmq continuo a flasharmi un pò...

[Big Lebowski]

Salve ragazzi!!!

Sono nuovo e vi faccio subito subito i complimenti per il vostro sito e per il vostro servizio agli utenti.

Da "neofita" ho provato a seguire le guide per disinfezione di infetti postate sul forum dopo che il mio pc è stato infettato da un trojan tramite chiavetta usb(almeno credo).

Ho fatto scansioni in sequenza con Avast ( 2 files infetti, cancellati), Spybot (0 problemi), Kasperski Remove Tool (1 file infetto, cancellato) ed infine una scansione on line con Bitdefender (0 problemi), oltre ad operazione di pulizia con Atf.cleaner .

Adesso vorrei che mi deste una occhiata al log di Hijackthis... e magari suggerirmi cos'altro fare per stare sicuro.

Grazie mille a tutti

[Mazda RX8]

Quote:

Originariamente inviato da Big Lebowski

Salve ragazzi!!!

Sono nuovo e vi faccio subito subito i complimenti per il vostro sito e per il vostro servizio agli utenti.

Da "neofita" ho provato a seguire le guide per disinfezione di infetti postate sul forum dopo che il mio pc è stato infettato da un trojan tramite chiavetta usb(almeno credo).

Ho fatto scansioni in sequenza con Avast ( 2 files infetti, cancellati), Spybot (0 problemi), Kasperski Remove Tool (1 file infetto, cancellato) ed infine una scansione on line con Bitdefender (0 problemi), oltre ad operazione di pulizia con Atf.cleaner .

Adesso vorrei che mi deste una occhiata al log di Hijackthis... e magari suggerirmi cos'altro fare per stare sicuro.

Grazie mille a tutti

controlla se conosci questo sito web:

O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - http://falchi.mine.nu/LNetCam.cab

fixa:

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

[Big Lebowski]

Quote:

Originariamente inviato da Mazda RX8

controlla se conosci questo sito web:

O16 - DPF: {5DA9D8E0-5A57-11CF-9E36-00C0930198C0} (Pegasus ImagN' 32-bit (Windowed) ActiveX Control v4.00) - http://falchi.mine.nu/LNetCam.cab

fixa:

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

Allora... il sito in questione non mi dice nulla...cioè non lo conosco... non credo che l'abbia mai visitato... cosa dovrei fare?

Scusa l'ignoranza ... per "fixa" intendi aprire Hijackthis, fare lo scan, spuntare la stringa che mi hai suggerito e premere il tasto "fix checked", vero???

grazie per l'aiuto!!!

[wjmat]

Quote:

Originariamente inviato da Big Lebowski

Allora... il sito in questione non mi dice nulla...cioè non lo conosco... non credo che l'abbia mai visitato... cosa dovrei fare?

Scusa l'ignoranza ... per "fixa" intendi aprire Hijackthis, fare lo scan, spuntare la stringa che mi hai suggerito e premere il tasto "fix checked", vero???

grazie per l'aiuto!!!

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalate → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

Dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti
Da cui:
aggiornare Java
rimuovere avast in favore dell'ottimo antivir

[Big Lebowski]

Quote:

Originariamente inviato da wjmat

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalate → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log

Dai un'occhiata al trattamento di prevenzione / post disinfezione, ti aiuta a verificare la configurazione di sicurezza del tuo pc, aggiornare programmi vulnerabili obsoleti
Da cui:
aggiornare Java
rimuovere avast in favore dell'ottimo antivir

Allora vi posto il nuovo log dopo il fixaggio delle due righe ed il riavvia del PC come suggerito...

tuttavia ho provato a fare una scansione con prevxcsi e mi ha trovato un "cloaked malware" nella cartella System32 di Windows. Il nome del file è " fool0.dll ". Il programma nella versione senza licenza non mi permette il "cleanup" del file... come dovrei muovermi adesso?

Thanks...

[xcdegasp]

Quote:

Originariamente inviato da Big Lebowski

Allora vi posto il nuovo log dopo il fixaggio delle due righe ed il riavvia del PC come suggerito...

tuttavia ho provato a fare una scansione con prevxcsi e mi ha trovato un "cloaked malware" nella cartella System32 di Windows. Il nome del file è " fool0.dll ". Il programma nella versione senza licenza non mi permette il "cleanup" del file... come dovrei muovermi adesso?

Thanks...

fixa:

Codice:

O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O4 - HKLM\..\Run: [Setup] C:\Programmi\Setup\Setup.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"

per quanto riguarda ilmalware prova a fare le scansioni della Guida alla Disinfezione per Infetti perchè con hijackthis non si cancella nulla materialmente ma si disabilita solamente lo startup o servizio

[paolo-fcb]

Ho 1 piccolo ma fastidioso problema, quando navigo mi si aprono altre pagine assolutamente indesiderate solitamente di pubblicità o similia, ho installato firefox 3 e non è cambiato nulla, posto il log così per vedere se magari c'è qualcosa qui......

http://www.zshare.net/download/138771643d01192f/

[wjmat]

Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O4 - HKCU\..\Run: [nooooow] c:\documents and settings\paolo\impostazioni locali\dati applicazioni\nooooow.exe nooooow
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} - http://zone.msn.com/bingame/zpagames/zpa_hrtz.cab70018.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab

al riavvio carca ed elimina
c:\documents and settings\paolo\impostazioni locali\dati applicazioni\nooooow.exe
provando ad attivare la visualizzazione dei files nascosti se non lo vedi

[naruto1982]

ciao a tutti
sto cercando qlc che possa aiutarmi a capire che cosa ho.
vi spiego..
tutto è iniziato qnd per caso nella cronologia ho trovato un www.download787.com.. cercando si internet sono arrivato da voi.. come veniva detto da francizio, se non ricordo male, ho scaricato FINDAWF, lanciandolo mi dava qst log


Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report

ah aggiungo che non ho problemi di connessione e la bollette non è ancpra arrivata qnd non so se sto chiamando qlc zoccola in thailandia

cosi sono andato alla guida per disinfezione e ho fatto un controllo con hijackthis. ho provcato anche con PREVCSI che mi ha trovato qst threat(non so cosa voglia dire):
c:\WINDOWS\SYSTEM32\windrv.sys ma non avendo la licenza non lo toglie..
cosa faccio provo a cancellarlo io? ho paura di fare qlc minch.. e fare piu danni che altro.
qst è il log di hijack

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 17.14.58, on 23/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\nod32\nod32krn.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\nod32\nod32kui.exe
C:\Programmi\File comuni\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\AcrobatReader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ioloDelayModule] C:\Programmi\System Mechanic Professional 6\delay.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Speed racer] C:\Programmi\Creative\SBLive2k\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SNM] C:\Programmi\SpyNoMore\SNM.exe /startup
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programmi\File comuni\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Nikon Monitor.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\AcrobatReader 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://diego-zaffaroni.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://diego-zaffaroni.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D946185-2638-4FCB-8E93-00D9D17B5DE9}: NameServer = 193.12.150.2 212.247.152.2
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Programmi\System Mechanic Professional 6\IoloSGCtrl.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\nod32\nod32krn.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

ho provato ad allegarlo ma dice "invalid file"..
qlc può aiutarmi?
attendo risposte.
ciao e grazie in anticipo

[wjmat]

La tua versione di Hijackthis non è aggiornata....scarica da qui l'ultima versione di Hijackthis e mettila in una sua cartella dedicata, rifai la scansione e carica il nuovo log secondo le modalità

[Hitman47]

Un mio amico ha un problema da un po': quando tenta di accedere a Internet tramite IE7, gli appare una finestra d'avviso simil-windows che gli dice che il pc non è protetto da virus e malvare e che deve scaricare un fantomatico antivirus...anche se prova a cliccare su No, viene comunque rediretto su un'altra pagina con download di questo "antivirus"

Ecco il log di HijackThis:

hijackthis.log - 0.01MB

[xcdegasp]

evitiamo zshare quando possibile visto che obbliga l'attesa di minuti mentre altri server non richiedono queste attese
io non lo riesco a scaricare, saràcolpa di questa linea ma veramente non riesco ad avere il txt

[wjmat]

Quote:

Originariamente inviato da Hitman47

Un mio amico ha un problema da un po': quando tenta di accedere a Internet tramite IE7, gli appare una finestra d'avviso simil-windows che gli dice che il pc non è protetto da virus e malvare e che deve scaricare un fantomatico antivirus...anche se prova a cliccare su No, viene comunque rediretto su un'altra pagina con download di questo "antivirus"

Ecco il log di HijackThis:

hijackthis.log - 0.01MB

Ciao benvenuto nel pronto soccorso di HU.
Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O2 - BHO: BHO - {2FF811E6-8925-4084-A649-C159955E67E8} - C:\WINDOWS\system32\opus16.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Ti consiglio di aprire una nuova discussione tutta tua, in cui descrivi brevemente il problema, leggi le regole di sezione e poi segui la guida alla disinfezione per infetti ed esegui tutte le scansioni nell'ordine indicato, caricando poi i log di ogni scansione nelle modalità indicate nelle regole di sezione.

[naruto1982]

prima cosa grazie per la pronta risposta.
questo è il log di hijack ultima versione.

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.55.01, on 23/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\nod32\nod32krn.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\nod32\nod32kui.exe
C:\Programmi\File comuni\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmi\File comuni\Nikon\Monitor\NkMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRAMMI\WINRAR\WinRAR.exe
C:\DOCUME~1\pippo\IMPOST~1\Temp\Rar$EX00.326\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\AcrobatReader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ioloDelayModule] C:\Programmi\System Mechanic Professional 6\delay.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Speed racer] C:\Programmi\Creative\SBLive2k\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SNM] C:\Programmi\SpyNoMore\SNM.exe /startup
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programmi\File comuni\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Nikon Monitor.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\AcrobatReader 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://diego-zaffaroni.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://diego-zaffaroni.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D946185-2638-4FCB-8E93-00D9D17B5DE9}: NameServer = 193.12.150.2 212.247.152.2
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Programmi\System Mechanic Professional 6\IoloSGCtrl.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmi\nod32\nod32krn.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6541 bytes

grazie ancora