problema sysfind.exe. dubbi log Hijackthis WinME

[bladegpa]

ogni tanto all'avvio....appare un errore relativo a un fantomatico file sysfind.exe e la pagina principale d explorer m riporta ad un link scrauso
allora prima di postare ho provato già un pò di "rimedi" fatti in casa...
il pc è una vecchia macchina con windows ME....
dopo aver ripulito x bene il log di hijackthis...
è questo quello che è rimasto

Logfile of HijackThis v1.99.1
Scan saved at 14.23.34, on 04/02/2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\VIRUS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\SVCHOST2.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://fax.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = tin.it
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.216.112.112

ho dei dubbi sulle parti in grassetto...ah ho una connessione Tiscali ADSL...
il mio problema è che pensavo avessi preso un rootkit
o meglio il famigerato linkoptimizer...
per questo ho provato ad utilizzare i fix presenti in rete sotto modalità provvisoria...e esattamente
Trojan.Linkoptimizer Removal Tool
http://www.symantec.com/smb/security...092316-4153-99
e il
sophos anti rootkit (questo NON in modalità provvisoria..xkè sò che da lì non funge..)
http://www.sophos.it/products/free-t...tkit/download/

cmq morale della favola..non funziona nessuno dei 2....
il primo m riconduce ad un errore relativo alla libreria netapi32.dll e il secondo un errore kernel32 con coinvolta il sar2.dll

come faccio a pulire stò dannato pc?!?
basta fixare quelle voci da me segnate in grassetto?
e su WinME..che antivirus o anti spybot posso mettere?
l'ultima versione dell'AVG Free
http://free.grisoft.com/doc/1
và bene x winME?!
e cmq...mi conviene disinstallare quel vecchio norton presente in macchina giusto?
help è una makkina da lavoro

[wearethechampions]

Quote:

Originariamente inviato da bladegpa

ogni tanto all'avvio....appare un errore relativo a un fantomatico file sysfind.exe e la pagina principale d explorer m riporta ad un link scrauso
allora prima di postare ho provato già un pò di "rimedi" fatti in casa...
il pc è una vecchia macchina con windows ME....
dopo aver ripulito x bene il log di hijackthis...
è questo quello che è rimasto

Logfile of HijackThis v1.99.1
Scan saved at 14.23.34, on 04/02/2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\VIRUS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\SVCHOST2.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://fax.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/z...ylomloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = tin.it
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.216.112.112

ho dei dubbi sulle parti in grassetto...ah ho una connessione Tiscali ADSL...
il mio problema è che pensavo avessi preso un rootkit
o meglio il famigerato linkoptimizer...
per questo ho provato ad utilizzare i fix presenti in rete sotto modalità provvisoria...e esattamente
Trojan.Linkoptimizer Removal Tool
http://www.symantec.com/smb/security...092316-4153-99
e il
sophos anti rootkit (questo NON in modalità provvisoria..xkè sò che da lì non funge..)
http://www.sophos.it/products/free-t...tkit/download/

cmq morale della favola..non funziona nessuno dei 2....
il primo m riconduce ad un errore relativo alla libreria netapi32.dll e il secondo un errore kernel32 con coinvolta il sar2.dll

come faccio a pulire stò dannato pc?!?
basta fixare quelle voci da me segnate in grassetto?
e su WinME..che antivirus o anti spybot posso mettere?
l'ultima versione dell'AVG Free
http://free.grisoft.com/doc/1
và bene x winME?!
e cmq...mi conviene disinstallare quel vecchio norton presente in macchina giusto?
help è una makkina da lavoro

sembrerebbe il dialer sfonditalia:
http://www.megalab.it/articoli.php?id=690
xò nn ne sono sicuro dato ke su sysmon.exe ho trovato anke questo:
http://www.processlibrary.com/direct...ID=27132&dir=s
e questo
http://www.processlibrary.com/direct...ID=24962&dir=s

[wearethechampions]

Quote:

Originariamente inviato da wearethechampions

sembrerebbe il dialer sfonditalia:
http://www.megalab.it/articoli.php?id=690
xò nn ne sono sicuro dato ke su sysmon.exe ho trovato anke questo:
http://www.processlibrary.com/direct...ID=27132&dir=s
e questo
http://www.processlibrary.com/direct...ID=24962&dir=s

prova uno scan online cn kaspersky e birdefender

[giannola]

Quote:

Originariamente inviato da bladegpa

ogni tanto all'avvio....appare un errore relativo a un fantomatico file sysfind.exe e la pagina principale d explorer m riporta ad un link scrauso
allora prima di postare ho provato già un pò di "rimedi" fatti in casa...
il pc è una vecchia macchina con windows ME....
dopo aver ripulito x bene il log di hijackthis...

cmq morale della favola..non funziona nessuno dei 2....
il primo m riconduce ad un errore relativo alla libreria netapi32.dll e il secondo un errore kernel32 con coinvolta il sar2.dll

come faccio a pulire stò dannato pc?!?
basta fixare quelle voci da me segnate in grassetto?
e su WinME..che antivirus o anti spybot posso mettere?
l'ultima versione dell'AVG Free
http://free.grisoft.com/doc/1
và bene x winME?!
e cmq...mi conviene disinstallare quel vecchio norton presente in macchina giusto?
help è una makkina da lavoro

avg va bene perfino su win98.

cmq assolutamente da fixare:

O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINDOWS\SVCHOST2.DLL (file missing)

O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe

O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://fax.tiscali.it/netphone/ocx/mosquito.cab


se la connessione avviente con tiscali è inutile tenere ancora questi:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = tin.it


e aggiorna IE almeno alla versione 6
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.216.112.112

[giannola]

Quote:

Originariamente inviato da wearethechampions

sembrerebbe il dialer sfonditalia:
http://www.megalab.it/articoli.php?id=690
xò nn ne sono sicuro dato ke su sysmon.exe ho trovato anke questo:
http://www.processlibrary.com/direct...ID=27132&dir=s
e questo
http://www.processlibrary.com/direct...ID=24962&dir=s

sysmon.exe è proprio il trojan perchè come puoi verificare dal secondo link è proprio su system.

d'altronde se fosse un file della mobo andrebbe in c:\Aopen

[wearethechampions]

cmq la prox volta posta il log nel 3d ufficiale di Hijackthis, questa volta abbiamo voluto fare un eccezione

[bladegpa]

Quote:

Originariamente inviato da wearethechampions

cmq la prox volta posta il log nel 3d ufficiale di Hijackthis, questa volta abbiamo voluto fare un eccezione

sorry...è che pensavo di aver già capito quale fosse il problema....
ho postato xkè avevo un problema coi fix del linkoptimizer...ma visto che mi dite che essenzialmente non sono i fix x il trojan giusto... cambio strategia
xciò..fixando quelle voci dovrebbe risolversi in parte il problema giusto?
oggi provo...
explorer aggiornato?no grazie...il pc non è mio ma liobbligherò a mettere firefox dalla prox volta
grazie cmq a TUTTI x le risposte

[giannola]

Quote:

Originariamente inviato da bladegpa

li obbligherò a mettere firefox dalla prox volta

ecco meglio ancora