[risolto][WinXP] Infettato da win32 Small-IBP. Aiuto!

[juninho85]

rinominalo

[Gle89]

Non ti apre il link o il programma?

Per il link E' impossibile ho provato 4 volte e me lo apre normalmente. Comunque clicca qui

Se per il programma cambia il nome al programma invece di HIJACKTHIS.EXE ---> CIAO.EXE

[Nuz]

Probabilmente devi togliere la / alla fine.

http://www.trendsecure.com/portal/en...JTInstall.exe/

Questo dovrebbe funzionare:

http://www.trendsecure.com/portal/en...HJTInstall.exe

Edit: Comunque va bene anche quello su filehippo.

[kaste]

ok ora funge.....



ecco il log file

Codice:

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.55.40, on 14/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\ASUS\ASUS Live Update\ALU.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\Programmi\Asus\ASUS Hotkey\Hotkey.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Documents and Settings\Asus\Menu Avvio\Programmi\Esecuzione automatica\rhuk.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\CCleaner\CCleaner.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programmi\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Lwinst Run Profiler] .\Lwtest.exe /detect /quiet /launch ".\Lwpevntm.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: rhuk.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programmi\Asus\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/24642cdfb45eef2aaf16/netzip/RdxIE601_it.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/oneclick/ConnessioneTiscali.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O24 - Desktop Component 0: (no name) - file:///C:/Documents%20and%20Settings/Asus/Desktop/img/Bjork2.gif

--
End of file - 7289 bytes

[Gle89]

Ma hai una copia originale di XP?

Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.

ecco le voci:

Quote:

O4 - HKLM\..\Run: [Lwinst Run Profiler] .\Lwtest.exe /detect /quiet /launch ".\Lwpevntm.exe"
O4 - Startup: rhuk.exe
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/o...oneTiscali.cab
O24 - Desktop Component 0: (no name) - file:///C:/Documents%20and%20Settings/Asus/Desktop/img/Bjork2.gif

Scarica l’ultima versione di VirIt:clicca qui per il download.
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)

[Nuz]

Manca questa:

O4 - Startup: rhuk.exe

P.S. Kaste è importantissimo che tu quando il problema sarà risolto installi il Service Pack 2 e aggiorni Internet Explorer alla versione 7.

[Gle89]

Quote:

Originariamente inviato da Nuz

Manca questa:

O4 - Startup: rhuk.exe

vero infatti se ci fai caso avevo copiato 2 volte la stessa voce invece di mettere quella da te segnalata... ora ho modificato

Quote:

P.S. Kaste è importantissimo che tu quando il problema sarà risolto installi il Service Pack 2 e aggiorni Internet Explorer alla versione 7.

il problema è se ha un xp originale, per quello gli ho posto la domanda!

[mark566]

ciao a tutti... da nuovo arrivato ne approfitto subito....

(rimosso il log inutile duplicato e nonm conforme)

che faccio?????

[Riverside]

Quote:

Originariamente inviato da mark566

che faccio?

Leggi il Regolamento di Sezione

[Chill-Out]

Se XP non è licenziato e quindi impossibilitato ad installare SP2 e relativa valanga di aggiornamenti è solo accanimento terapeutico

[Gle89]

Quote:

Originariamente inviato da mark566

ciao a tutti... da nuovo arrivato ne approfitto subito....

Infatti ne approfitti male. Da nuovo arrivato DEVI leggere le REGOLE DI SEZIONE e seguirle ne hai infrante un bel po.

1)non hai letto le regole di sezione
2)hai messo un log senza tag CODE o non l 'hai allegato
3)non hai spiegato se hai lo stesso virus
4)se non hai lo stesso virus non dovevi postare in questa discussione e darne una descrizione
5)insieme alle regole di sezione sono descritte alcune scansione da fare prima di postare, cosa che tu mi sa non hai fatto.
6)se volevi solo farti analizzare il log, dovevi postare nel thread di ANALISI LOG HJT.

Quindi LEGGI LE REGOLE e mettiti in pari

[kaste]

eccoci

Codice:

 VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
OK
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
14/11/2007 - 19:12:45

[SCANSIONE DEL REGISTRO]
OK

[F:]
BOOT SECTOR: OK
 
 
Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 0.
Files Totali: 0.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.
 
[SCANSIONE DELLA MEMORIA]
OK
--------------------------------------------------------
14/11/2007 - 19:16:12

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK
 
C:\Documents and Settings\Asus\Impostazioni locali\Temp\pcggaa.exe Infetto da Trojan.Win32.Dialer.IH
 * * *  RIMOSSO  * * *
C:\Programmi\Alwil Software\Avast4\DATA\moved\BTS2.tmp.vir Infetto da Trojan.Win32.Agent.AUF
 * * *  RIMOSSO  * * *
 
Chiavi Registro infette: 0.
Files Infetti: 2.
Files Sospetti: 0.
Files Analizzati: 34308.
Files Totali: 34308.
Chiavi Registro rimosse: 0.
Virus Rimossi: 2.

[Gle89]

kaste quali sono ora i tuoi problemi?

non hai risposto alla mia domanda hai un XP ORIGINALE?

Ora procedi con questo ASQUARED FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

alla fine riavvia il pc e rifai un altro log di HJT e allegalo qui. grazie

[kaste]

Quote:

Originariamente inviato da Nuz

Manca questa:

O4 - Startup: rhuk.exe

P.S. Kaste è importantissimo che tu quando il problema sarà risolto installi il Service Pack 2 e aggiorni Internet Explorer alla versione 7.

quella non la trovo più ora !!

il p.s. non l'ho capito bene....ma se è importantissimo
service pack 2 lo installerò e aggiorno ie 7

[Gle89]

kaste leggi il mio ultimo post sopra e rispondi alla mia domanda e intanto fai quella scansione. Grazie

[kaste]

Quote:

Originariamente inviato da Gle89

kaste quali sono ora i tuoi problemi?

non hai risposto alla mia domanda hai un XP ORIGINALE?

Ora procedi con questo ASQUARED FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

alla fine riavvia il pc e rifai un altro log di HJT e allegalo qui. grazie

beh ora di problemi non ne evidenzia...
nel senso che disattivando avast non mi appare più il segnale del cavallo di troia... ( e anche un pò figlio )
mi ha trovato ed eliminato quei due file infetti e........

beh comunque proseguo con quello che mi hai detto?
ASQUARED FREE etc etc

[Nuz]

No kaste lascia stare per adesso ie 7 e Service pack 2 e segui le istruzioni di Gle89.

[kaste]

si si XP è originale...

[Riverside]

Quote:

Originariamente inviato da Gle89

alla fine riavvia il pc e rifai un altro log di HJT e allegalo qui. grazie

Glenda, viste le condizioni in cui si trova, dovrebbe, almeno, sostituire l'antivirus ed installare Java.

[Gle89]

Quote:

Originariamente inviato da kaste

si si XP è originale...

ok allora segui le mie istruzioni quando avremo finito con la disinfestazione, solo DOPO dovrai aggiornare al service pack 2 e aggiornare Internet Explorer 7