HiJackThis - Analisi Log - leggere Regole di Sezione

[andorra24]

Quote:

Originariamente inviato da §ur√i√or

niente da fare
anche con il backup
il regedit...non funzia
Qualke tempo fa avevo trovato con ewido altra roba

ewido security suite - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 23.39.11, 03/11/2005
+ Report-Checksum: 1E062431

+ Risultati scansione:

HKU\S-1-5-21-1220945662-1993962763-1060284298-1004\Software\DNS -> Adware.Shorty : Pulito con Backup
C:\Documents and Settings\user\Desktop\di T U T T O e di P I ù\bdevil40.RB0/anukers/icmpw.exe -> Not-A-Virus.Monitor.ICMP_Watch : Pulito con Backup
C:\Documents and Settings\user\Shared\AUTOROUTE ITALIANO.EXE -> Spyware.Hijacker.Generic : Pulito con Backup


::Fine Rapporto
_____________________________________________________________
....ora cmq va molto meglio a parte l'avvio resta il fatto
che senza il regedit il pc lo sento piu vulnerabile

che dite formatto?

Fai un tentativo di ripristino di sistema. Se non ti riesce neanche quello allora forse e' il caso di formattare cosi te ne esci.

[BravoGT83]

Quote:

Originariamente inviato da §ur√i√or

Logfile of HijackThis v1.99.1
Scan saved at 16.33.00, on 23/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Compaq\Easy Access Button Support\StartEAK.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\DU Meter\DUMeter.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Microsoft Office\Office\EXCEL.EXE
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
C:\Programmi\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINDOWS\system32\mspaint.exe
C:\Programmi\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\mspaint.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\user\IMPOST~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\Programmi\Copernic 2000\Search Bar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {C12B4EC1-1F65-11D3-91CA-00104B9C4765} - C:\Programmi\Copernic 2000\CopernicFind.dll
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programmi\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmi\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programmi\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [RAMBooster.Net] C:\Programmi\RAMBooster.Net\RAMBooster.exe -m
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Ricerca utilizzando Copernic - file://C:\Programmi\Copernic 2000\Search Extension.htm
O8 - Extra context menu item: Search Using Copernic Agent - res://C:\Programmi\Copernic Agent\CopernicAgentExt.dll/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115194644286
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...24/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEA98187-261A-4944-B06D-F4676C019EC2}: NameServer = 83.224.65.134
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

BHO!!

che problemi hai???

[andorra24]

X §ur√i√or

Fixa:
C:\WINDOWS\system32\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

[§ur√i√or]

Quote:

Originariamente inviato da andorra24

X §ur√i√or

Fixa:
C:\WINDOWS\system32\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
fixato ..niente

C:\WINDOWS\system32\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
come li fixo...non mi compaiono nel log

fra l 'altro sul desktop del log salvato ...ho due copie
hijackthis.log primo 4.txt
e un'altra copia
~$jackthis.log primo 4.txt

.....di sicuro il malware e' ancora attivo

[BravoGT83]

ma usi un Antivirus , Antispyware % firewall???

dal log non mi sembra

installati Antivir Ewido e Zone Alarm o Sygate

[andorra24]

Quote:

Originariamente inviato da §ur√i√or

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
fixato ..niente

C:\WINDOWS\system32\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
come li fixo...non mi compaiono nel log

fra l 'altro sul desktop del log salvato ...ho due copie
hijackthis.log primo 4.txt
e un'altra copia
~$jackthis.log primo 4.txt

.....di sicuro il malware e' ancora attivo

Fai qualche altra scansione antispyware e naviga con firefox altrimenti ti becchi chissa' quante altre cose. Disattiva sempre il ripristino di sistema ed esegui le scansioni in safe mode.

[raffa55]

Help! Mi compare continuamente un box del servizio di messaggistica immediata....
Messaggio da system alert stop! windows required immediate attention
e mi dice di collegarmi a un sito per scaricare un programma per riparare il registro...che si deve fare?

[andorra24]

Quote:

Originariamente inviato da raffa55

Help! Mi compare continuamente un box del servizio di messaggistica immediata....
Messaggio da system alert stop! windows required immediate attention
e mi dice di collegarmi a un sito per scaricare un programma per riparare il registro...che si deve fare?

Per disattivare il servizio di messaggistica immediata fai cosi:
- Apri il pannello di controllo
- Doppio click su "Strumenti di Amministrazione"
- Doppio click sull'icona "Servizi"
- Scorri la lista fino a trovare "Messenger"
- Tasto destro su "Messenger" e scegli "Proprietà dal menù
- Dalla finestra che appare sotto "Tipo di Avvio" seleziona "Disabilitato" e premi Ok.

Fatti una scansione con ewido: http://download.ewido.net/ewido-setup.exe

[§ur√i√or]

il ripristino di config. risulta il 3 novembre [il solo attivo ]
dopo ewido/scan

Quote:

Originariamente inviato da BravoGT83

ma usi un Antivirus , Antispyware % firewall???

dal log non mi sembra

installati Antivir Ewido e Zone Alarm o Sygate

Ewido[non piu' attivabile]
ad/aware
Spybot - Search & Destroy
avast [disattivato]
kaspersky
firewall di windows

[juninho85]

Quote:

Originariamente inviato da §ur√i√or

C:\WINDOWS\system32\osk.exe

questo?

[juninho85]

Quote:

Originariamente inviato da §ur√i√or

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
fixato ..niente

C:\WINDOWS\system32\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
come li fixo...non mi compaiono nel log

fra l 'altro sul desktop del log salvato ...ho due copie
hijackthis.log primo 4.txt
e un'altra copia
~$jackthis.log primo 4.txt

.....di sicuro il malware e' ancora attivo

la prima chiave puoi anche lasciarla,non è nula di grave....quel file li potrebbe essere temporaneo

[§ur√i√or]

Quote:

Originariamente inviato da juninho85

questo?

osk e' la tastiera sullo schermo !

ops
dimenticavo quella alfabetica non accentata funzia
insieme ai segni d'interpunzione no!

stramaledi......ne d' un accidenti a sta sottospecie che va da Bill....a Bushhh...

me tocca upformat

[andorra24]

Quote:

Originariamente inviato da §ur√i√or

osk e' la tastiera sullo schermo !

osk.exe e' anche uno spyware:
http://www.processlibrary.com/directory/files/osk/
http://www.liutilities.com/products/...sslibrary/osk/
http://securityresponse.symantec.com...dwhatever.html

[bonannogiovanni]

Quote:

Originariamente inviato da juninho85

allora si spiega tutto....se ne hai modo prova a utilizzare mouse e tastiera con fili

Ho provato con i fili e in effetti nessun sintomo riscontrato, incredibile, un errato collegamento rf mi ha fatto temere il peggio, grazie a voi ho risolto, ciao e al prossimo problema

[raffa55]

Quote:

Originariamente inviato da andorra24

Fatti una scansione con ewido: http://download.ewido.net/ewido-setup.exe

Ok! grazie mille....un'ottima medicina ewido

[lackyluc]

Ragazzi aiuto. Non so se il mio problema è direttamente riferibile alle discussioni di questo thread...ma ci provo...aiutatemi come potete. Ho scaricato la demo di Acronis true image 9, +/- tutto bene finchè, quasi alla fine dell'istallazione mi compare un messaggio del genere impossibile scrivere *** nella chiave \software\microsoft\windows\current version\run. Metto gli asterischi perchè nel caso di true image non ricordo quali file tentasse di scrivere...ma le chiavi a cui non ho accesso erano due. Ignorandole il programma interrompeva l'istallazione. Ho desistito ma oggi, tentando di istallare la demo di nero 7, il problema si è ripresentato, è in questo caso o scritto il nome del file:nerofiltercheck. Che cosa significa??? se avete bisogno di sapere che file richiama acronis, ritento l' istallazione e ve lo dico...Help
Vi pasto il log di Hikack...a me sembra pulito...ma non sono ferrato!!!

Logfile of HijackThis v1.99.1
Scan saved at 1.14.00, on 27/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programmi\Opera\Opera.exe
C:\Programmi\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programmi\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [GhostSecuritySuite] "C:\Programmi\GhostSecuritySuite\gss.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1132435449327
O17 - HKLM\System\CCS\Services\Tcpip\..\{4103392C-3168-40F1-AC77-AAAB09979636}: NameServer = 85.37.17.46 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[andorra24]

Il log e' pulito. Ma per caso hai toccato il registro?

[lackyluc]

Quote:

Originariamente inviato da andorra24

Il log e' pulito. Ma per caso hai toccato il registro?

Non personalmente, ma magari con qualche programma alla registry cleaner, o altri che ho è sto sperimentando...come poteri risolvere???!!!

[BravoGT83]

Quote:

Originariamente inviato da lackyluc

Non personalmente, ma magari con qualche programma alla registry cleaner, o altri che ho è sto sperimentando...come poteri risolvere???!!!

Spero che almeno hai fatto i back up

[lognomo33]

Quote:

Originariamente inviato da lackyluc

Non personalmente, ma magari con qualche programma alla registry cleaner, o altri che ho è sto sperimentando...come poteri risolvere???!!!

hai fatto il backup di quello che hai tolto?