VIRUS: log di HijackThis

amicofragile29 · 06-01-2007, 14:33

Scusate ragazzi non riesco (seguite le varie procedure consigliate) a togliere un maledetto trojan.
Vi posto il log che ho appena fatto di HijackThis, riuscite ad aiutarmi a scovare cosa non va??

Grazie mille in anticipo!

Logfile of HijackThis v1.99.1
Scan saved at 14.33.02, on 06/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Trust\Sight Fighter Digital Plus\Gwactive.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\svchost.exe
E:\eMule\emule.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\AntiVir PersonalEdition Classic\avscan.exe
C:\Documents and Settings\Giorgio\Desktop\HijackThis.exe
C:\Programmi\Outlook Express\msimn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: eMule Turbo Accelerator.lnk = E:\eMule\eMule Turbo Accelerator\eMule Turbo Accelerator.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Sight Fighter Digital Plus.lnk = C:\Programmi\Trust\Sight Fighter Digital Plus\Gwactive.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://amicofragile29.spaces.live.co...d/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1149355245500
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FE79238-870F-429F-AE0A-7D4B49E7FF7C}: NameServer = 85.37.17.15 85.38.28.74
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

wizard1993 · 06-01-2007, 15:13

è pulito

amicofragile29 · 06-01-2007, 15:42

Quote:

Originariamente inviato da wizard1993

è pulito

Davvero?
Eppure continua ad uscirmi un virus trojan..
Dici che devo rifare lo scan con HujackThis quando mi esce?

Grazie

amicofragile29 · 06-01-2007, 15:42

Quote:

Originariamente inviato da wizard1993

è pulito

Davvero?
Eppure continua ad uscirmi un virus trojan..
Dici che devo rifare lo scan con HijackThis quando mi esce?

Grazie

FOXYLADY · 06-01-2007, 16:10

Ma questo eMule Turbo Accelerator lo hai installato tu?
Io è la prima volta che lo sento, tu sai di cosa si tratta?
Se si tratta di una mod di emule occhio che spesso contengono appunto trojan e spyware.

amicofragile29 · 06-01-2007, 16:36

Quote:

Originariamente inviato da FOXYLADY

Ma questo eMule Turbo Accelerator lo hai installato tu?
Io è la prima volta che lo sento, tu sai di cosa si tratta?
Se si tratta di una mod di emule occhio che spesso contengono appunto trojan e spyware.

Mmm ma sai che quando ho visto di cosa si trattava ho interrotto l'installazione?? Dici che me l'ha installato lo stesso??

Perdonate le mie domande da super neofito ma come avrete ben capito sono "leggermente" ignorante in materia...

amicofragile29 · 06-01-2007, 16:39

Quote:

Originariamente inviato da wizard1993

è pulito

Il virus si chiama "WORM/Bagle.GY.1"

Ho provato a rifare lo scan con HijackThis quando mi è uscito l'alert dell'antivirus.
Ve lo riporto qui sotto.

Logfile of HijackThis v1.99.1
Scan saved at 16.33.37, on 06/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\Trust\Sight Fighter Digital Plus\Gwactive.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\svchost.exe
E:\eMule\emule.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Documents and Settings\Giorgio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: eMule Turbo Accelerator.lnk = E:\eMule\eMule Turbo Accelerator\eMule Turbo Accelerator.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Sight Fighter Digital Plus.lnk = C:\Programmi\Trust\Sight Fighter Digital Plus\Gwactive.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://amicofragile29.spaces.live.co...d/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1149355245500
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FE79238-870F-429F-AE0A-7D4B49E7FF7C}: NameServer = 85.37.17.15 85.38.28.74
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

Grazie ancora a tutti!

FOXYLADY · 06-01-2007, 17:11

Spunta la casellina a fianco di questa voce e premi il pulsante fix
O4 - Startup: eMule Turbo Accelerator.lnk = E:\eMule\eMule Turbo Accelerator\eMule Turbo Accelerator.exe
Poi apri esplora risorse e portati qui
E:\eMule\eMule Turbo Accelerator\eMule Turbo Accelerator.exe
ed elimina manualmente il file emule turbo accelerator.exe.

Fai anche un controllo con questi
http://www.sophos.com/products/free-...i-rootkit.html
http://www.f-secure.com/blacklight/

amicofragile29 · 06-01-2007, 17:37

Quote:

Originariamente inviato da FOXYLADY

Spunta la casellina a fianco di questa voce e premi il pulsante fix
O4 - Startup: eMule Turbo Accelerator.lnk = E:\eMule\eMule Turbo Accelerator\eMule Turbo Accelerator.exe
Poi apri esplora risorse e portati qui
E:\eMule\eMule Turbo Accelerator\eMule Turbo Accelerator.exe
ed elimina manualmente il file emule turbo accelerator.exe.

Fai anche un controllo con questi
http://www.sophos.com/products/free-...i-rootkit.html
http://www.f-secure.com/blacklight/

L'accelerator l'ho disinstallato quindi non compare + per fortuna..

Dici che il resto è tutto ok?

Cheppizza dev'essere un virus del c...o ma non riesco a levarlo.

Provo con gli altri due che mi hai consigliato... a cosa servono?

Thanks

FOXYLADY · 06-01-2007, 17:43

Quote:

Originariamente inviato da amicofragile29

Dici che il resto è tutto ok?

Il resto del log si

Quote:

Originariamente inviato da amicofragile29

Cheppizza dev'essere un virus del c...o ma non riesco a levarlo.

Provo con gli altri due che mi hai consigliato... a cosa servono?

Thanks

Gli altri due servono a rilevare eventuali rootkit, poi fai anche una pulizia di tutti i file temporanei con atf cleaner
http://www.atribune.org/content/view/19/2/

amicofragile29 · 06-01-2007, 19:26

oddio quante cose...

tra l'altro l'ultimo che mi hai consigliato non me lo fa nemmeno scaricare dal sito linkato..

FOXYLADY · 06-01-2007, 19:31

Ma dopo l'eliminazione di quell'accelerator l'antivirus ti segnala ancora qualcosa?

atf cleaner scaricalo da qui
http://www.majorgeeks.com/ATF_Cleaner_d4949.html

amicofragile29 · 06-01-2007, 20:31

Quote:

Originariamente inviato da FOXYLADY

Ma dopo l'eliminazione di quell'accelerator l'antivirus ti segnala ancora qualcosa?

Si, lo stesso di prima...

Tra l'altro ho notato che il virus "esce" quando non sto usando il pc da un po'... è sintomatico di qualcosa?

amicofragile29 · 06-01-2007, 20:33

Quote:

Originariamente inviato da FOXYLADY

atf cleaner scaricalo da qui
http://www.majorgeeks.com/ATF_Cleaner_d4949.html

Fatto!
Quali file devo "deletare"?

FOXYLADY · 06-01-2007, 20:36

Select all, poi clicchi su empty selected

amicofragile29 · 06-01-2007, 21:39

Fatto

ma è tipo una pulitura disco?

FOXYLADY · 06-01-2007, 21:42

Esattamente, un pò più approfondita.
Non hai risposto alla mia precedente domanda e cioè se l'antivirus ti segnala ancora la presenza di quel worm.

amicofragile29 · 06-01-2007, 21:53

Quote:

Originariamente inviato da FOXYLADY

Non hai risposto alla mia precedente domanda e cioè se l'antivirus ti segnala ancora la presenza di quel worm.

Purtroppo si. Sempre lo stesso

e poi come ti dicevo prima esce sempre quando non sto facendo niente al pc... dici che è significativa la cosa?

FOXYLADY · 06-01-2007, 22:10

Quote:

Originariamente inviato da amicofragile29

e poi come ti dicevo prima esce sempre quando non sto facendo niente al pc... dici che è significativa la cosa?

Su questo non saprei...
Hai fatto le scansioni con i due software che ti ho indicato?
http://www.sophos.com/products/free...ti-rootkit.html
http://www.f-secure.com/blacklight/

Se vuoi puoi provare a postare anche un log di gmer qui
http://www.hwupgrade.it/forum/showthread.php?t=1372589

amicofragile29 · 06-01-2007, 22:41

Cacchio è anche un periodo in cui sono sommerso di studio mannaggia...
domani appena mi ritaglio un attimo di tempo faccio tutti i vari tentativi che mi hai suggerito.

Intanto grazie ancora e buona serata!

06-01-2007, 14:33	#1
amicofragile29 Senior Member Iscritto dal: Jul 2006 Città: Monza Messaggi: 724	VIRUS: log di HijackThis Scusate ragazzi non riesco (seguite le varie procedure consigliate) a togliere un maledetto trojan. Vi posto il log che ho appena fatto di HijackThis, riuscite ad aiutarmi a scovare cosa non va?? Grazie mille in anticipo! Logfile of HijackThis v1.99.1 Scan saved at 14.33.02, on 06/01/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Analog Devices\SoundMAX\SMTray.exe C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe C:\Programmi\MessengerPlus! 3\MsgPlus.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programmi\Messenger\msmsgs.exe C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programmi\Trust\Sight Fighter Digital Plus\Gwactive.exe C:\Programmi\VIA\RAID\raid_tool.exe C:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe C:\Programmi\Alice ti aiuta\bin\mpbtn.exe C:\Programmi\AntiVir PersonalEdition Classic\sched.exe C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\system32\slserv.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe C:\WINDOWS\system32\svchost.exe E:\eMule\emule.exe C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\AntiVir PersonalEdition Classic\avscan.exe C:\Documents and Settings\Giorgio\Desktop\HijackThis.exe C:\Programmi\Outlook Express\msimn.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [BitTorrent] "C:\Programmi\BitTorrent\bittorrent.exe" --force_start_minimized O4 - Startup: eMule Turbo Accelerator.lnk = E:\eMule\eMule Turbo Accelerator\eMule Turbo Accelerator.exe O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe O4 - Global Startup: Sight Fighter Digital Plus.lnk = C:\Programmi\Trust\Sight Fighter Digital Plus\Gwactive.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://amicofragile29.spaces.live.co...d/MsnPUpld.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1149355245500 O17 - HKLM\System\CCS\Services\Tcpip\..\{0FE79238-870F-429F-AE0A-7D4B49E7FF7C}: NameServer = 85.37.17.15 85.38.28.74 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

06-01-2007, 15:13	#2
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	è pulito __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

06-01-2007, 16:10	#5
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Ma questo eMule Turbo Accelerator lo hai installato tu? Io è la prima volta che lo sento, tu sai di cosa si tratta? Se si tratta di una mod di emule occhio che spesso contengono appunto trojan e spyware. __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

06-01-2007, 17:11	#8
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Spunta la casellina a fianco di questa voce e premi il pulsante fix O4 - Startup: eMule Turbo Accelerator.lnk = E:\eMule\eMule Turbo Accelerator\eMule Turbo Accelerator.exe Poi apri esplora risorse e portati qui E:\eMule\eMule Turbo Accelerator\eMule Turbo Accelerator.exe ed elimina manualmente il file emule turbo accelerator.exe. Fai anche un controllo con questi http://www.sophos.com/products/free-...i-rootkit.html http://www.f-secure.com/blacklight/ __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci Ultima modifica di FOXYLADY : 06-01-2007 alle 17:20.

06-01-2007, 19:31	#12
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Ma dopo l'eliminazione di quell'accelerator l'antivirus ti segnala ancora qualcosa? atf cleaner scaricalo da qui http://www.majorgeeks.com/ATF_Cleaner_d4949.html __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

06-01-2007, 19:26	#11
amicofragile29 Senior Member Iscritto dal: Jul 2006 Città: Monza Messaggi: 724	oddio quante cose... tra l'altro l'ultimo che mi hai consigliato non me lo fa nemmeno scaricare dal sito linkato..

06-01-2007, 20:36	#15
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Select all, poi clicchi su empty selected __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

06-01-2007, 21:39	#16
amicofragile29 Senior Member Iscritto dal: Jul 2006 Città: Monza Messaggi: 724	Fatto ma è tipo una pulitura disco?

06-01-2007, 21:42	#17
FOXYLADY Senior Member Iscritto dal: Oct 2004 Città: Milano Messaggi: 2641	Esattamente, un pò più approfondita. Non hai risposto alla mia precedente domanda e cioè se l'antivirus ti segnala ancora la presenza di quel worm. __________________ FOXYLADY è un MASCHIO!! Un amico è una persona che sa tutto di te e nonostante questo gli piaci

06-01-2007, 22:41	#20
amicofragile29 Senior Member Iscritto dal: Jul 2006 Città: Monza Messaggi: 724	Cacchio è anche un periodo in cui sono sommerso di studio mannaggia... domani appena mi ritaglio un attimo di tempo faccio tutti i vari tentativi che mi hai suggerito. Intanto grazie ancora e buona serata!

Strumenti
Mostra una versione stampabile Invia questa pagina per email