Sono infetto ecco il mio hijackthis

Guru04 · 03-03-2007, 14:25

Ciao a tutti. grazie innanzitutto per tutti i post utilissimi, sono infetto
vi posto di seguito il mio hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 15.12.29, on 02/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmi\USB ADSL\CnxDslTb.exe
C:\Programmi\InCD\InCD.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\elena\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\USB ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [InCD] C:\Programmi\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F40AB014-97DE-43D2-BB46-3D80A4EAA9DE}: NameServer = 62.211.69.150 212.48.4.15
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

grazie di qualsiasi suggerimento

KingOfTheDark · 03-03-2007, 14:33

Fixa:
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Questo invece dice ke il file manca ma è di kaspersky qndi non so...
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

Comunque queste voci non dovrebbero avere niente a ke far con un virus... hai fatto una scansione con antivirus e antispyware?
cosa ha detto?

wizard1993 · 03-03-2007, 15:02

ok che i file missing sono per lo più inutili, ma quest log è più pulito del mio

FOXYLADY · 03-03-2007, 15:02

Quote:

Originariamente inviato da KingOfTheDark

Fixa:
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Queste voci sono OK, è per via di un bug di hijackthis che vengono indicate come file missing

Quote:

Originariamente inviato da KingOfTheDark

Questo invece dice ke il file manca ma è di kaspersky qndi non so...
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

Anche questa potrebbe essere idem come sopra.

Quote:

Originariamente inviato da KingOfTheDark

Comunque queste voci non dovrebbero avere niente a ke far con un virus... hai fatto una scansione con antivirus e antispyware?
cosa ha detto?

In effetti il log appare pulito...
@guru04
che problemi riscontri esattamente????

Guru04 · 05-03-2007, 09:26

scusate il ritardo nel rispondere a tutti ,
innanzitutto grazie, vi dico che problema ho:
apro il pc e una volta che ha caricato le impostazioni personali, mi appare una comunicazione che dice che non sono in linea, come se in automatico si dovesse aprire qualcosa con explorer e mi dice che non lo può fare.
infatti mi connetto e il messaggio se chiuso non ritorna; o è come detto sopra o è una impostazione di IE7;
una volta connesso apro IE7 e il KAV 6.0 sistematicamente mi tova i seguenti Trojan:Ad-ware.Win32.virtumonde.ft,Ad-aware.Win32.Agent.at e ultimamente anche un tale Trojan.Win32.BHO...
con Kav gli nego l'accesso e non gli posso eliminare.
successivamente la navigazione è lenta e mi si aprono in continuo (più o meno)pagine Web in genere le solite tre o quattro e messaggi in cui è scitto che ho visuitato siti per adult e che sarebbe poortuno ripulire la cronologia di IE7 (ciò che comunque ogni tanto faccio)
grazie a tutti per i consigli dati e per quelli che mi darete.

wizard1993 · 05-03-2007, 10:47

disattivo il ripristino di configurazione di sistema

Guru04 · 06-03-2007, 07:58

Disattivo il ripristino di sistema e riavvio?

juninho85 · 06-03-2007, 08:06

Quote:

Originariamente inviato da Guru04

O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe

fallo analizzare qui

Guru04 · 06-03-2007, 08:42

grazie juninho85 ma non ha rilevato niente su quel file

Utonto\Bis · 06-03-2007, 21:22

credo che widard ti abbia detto di fare cosi perchè kav come lo usi te magari li elimina ma si riattivano dal ripristino di sistema quindi... disattivalo entra in mod prov fai uno scan con avg anty spyware poi visto che alcuni servizi del kav in provvisoria sono disabilitati entra in mod normale... magari non collegarti se puoi .... fai fare un giro a kav usa CWSHREDER e poi prova a connetterti...ciao

Guru04 · 06-03-2007, 22:41

Ragazzi grazie a tutti ho risolto il problema

ho fatto come mi avete detto e in modalità provvisoria ho dato una pulita con Virit e ccleaner e via i problemi

03-03-2007, 14:25	#1
Guru04 Junior Member Iscritto dal: Feb 2007 Città: Firenze Messaggi: 7	Sono infetto ecco il mio hijackthis Ciao a tutti. grazie innanzitutto per tutti i post utilissimi, sono infetto vi posto di seguito il mio hijackthis Logfile of HijackThis v1.99.1 Scan saved at 15.12.29, on 02/03/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\InCD\InCDsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programmi\USB ADSL\CnxDslTb.exe C:\Programmi\InCD\InCD.exe C:\Programmi\File comuni\Real\Update_OB\realsched.exe C:\Programmi\iTunes\iTunesHelper.exe C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe C:\Programmi\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\elena\Impostazioni locali\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\USB ADSL\CnxDslTb.exe" O4 - HKLM\..\Run: [InCD] C:\Programmi\InCD\InCD.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [kav] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programmi\Ray Adams\ATI Tray Tools\atitray.exe" O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F40AB014-97DE-43D2-BB46-3D80A4EAA9DE}: NameServer = 62.211.69.150 212.48.4.15 O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\InCD\InCDsrv.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe grazie di qualsiasi suggerimento

03-03-2007, 14:33	#2
KingOfTheDark Member Iscritto dal: Mar 2007 Città: Bari... Messaggi: 129	Fixa: O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) Questo invece dice ke il file manca ma è di kaspersky qndi non so... O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) Comunque queste voci non dovrebbero avere niente a ke far con un virus... hai fatto una scansione con antivirus e antispyware? cosa ha detto? __________________ Maybe I'm nobody...but nobody is like me

03-03-2007, 15:02	#3
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	ok che i file missing sono per lo più inutili, ma quest log è più pulito del mio __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

05-03-2007, 10:47	#6
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	disattivo il ripristino di configurazione di sistema __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

06-03-2007, 21:22	#10
Utonto\Bis Senior Member $L'Avatar di Utonto\Bis$ Iscritto dal: Oct 2005 Città: In quel di Imperia Messaggi: 719	credo che widard ti abbia detto di fare cosi perchè kav come lo usi te magari li elimina ma si riattivano dal ripristino di sistema quindi... disattivalo entra in mod prov fai uno scan con avg anty spyware poi visto che alcuni servizi del kav in provvisoria sono disabilitati entra in mod normale... magari non collegarti se puoi .... fai fare un giro a kav usa CWSHREDER e poi prova a connetterti...ciao __________________ *TransIberica'09 -* Video
$Utonto\Bis è offline$

05-03-2007, 09:26	#5
Guru04 Junior Member Iscritto dal: Feb 2007 Città: Firenze Messaggi: 7	scusate il ritardo nel rispondere a tutti , innanzitutto grazie, vi dico che problema ho: apro il pc e una volta che ha caricato le impostazioni personali, mi appare una comunicazione che dice che non sono in linea, come se in automatico si dovesse aprire qualcosa con explorer e mi dice che non lo può fare. infatti mi connetto e il messaggio se chiuso non ritorna; o è come detto sopra o è una impostazione di IE7; una volta connesso apro IE7 e il KAV 6.0 sistematicamente mi tova i seguenti Trojan:Ad-ware.Win32.virtumonde.ft,Ad-aware.Win32.Agent.at e ultimamente anche un tale Trojan.Win32.BHO... con Kav gli nego l'accesso e non gli posso eliminare. successivamente la navigazione è lenta e mi si aprono in continuo (più o meno)pagine Web in genere le solite tre o quattro e messaggi in cui è scitto che ho visuitato siti per adult e che sarebbe poortuno ripulire la cronologia di IE7 (ciò che comunque ogni tanto faccio) grazie a tutti per i consigli dati e per quelli che mi darete.

06-03-2007, 07:58	#7
Guru04 Junior Member Iscritto dal: Feb 2007 Città: Firenze Messaggi: 7	Disattivo il ripristino di sistema e riavvio?

06-03-2007, 08:42	#9
Guru04 Junior Member Iscritto dal: Feb 2007 Città: Firenze Messaggi: 7	grazie juninho85 ma non ha rilevato niente su quel file

06-03-2007, 22:41	#11
Guru04 Junior Member Iscritto dal: Feb 2007 Città: Firenze Messaggi: 7	Ragazzi grazie a tutti ho risolto il problema ho fatto come mi avete detto e in modalità provvisoria ho dato una pulita con Virit e ccleaner e via i problemi

Strumenti
Mostra una versione stampabile Invia questa pagina per email