|
|||||||
|
|
|
 |
|
|
Strumenti |
01-06-2007, 11:44
|
#1 |
|
Member
Iscritto dal: Dec 2005
Messaggi: 159
|
bulj.exe e 1180679509.dat.exe
task manager windows mi indica questi due processi, dopo una ricerca con google risultata infruttuosa
 mi rivolgo a questo meraviglioso forum che già altre volte mi ha aiutato a risolvere diverse problematiche.Non so se dipende da questi due processi, ma già due volte in meno di un'ora la connessione si interrompe da sola e la prima volta c'è stato un tentativo automatico di connessione a connect (sarà un dialer?). Grazie a chiunque voglia rispondermi. Ciao
__________________
MARIO 
|
|
|
|
01-06-2007, 12:31
|
#2 |
|
Member
Iscritto dal: May 2007
Messaggi: 40
|
posta un logfile di hijackthis.
|
|
|
|
|
01-06-2007, 14:31
|
#3 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
posta nella sezione delle infezioni con un bel log di HT.
Spero per te che non siano rootkit che contengono funzioni di dialer.
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 04-06-2007 alle 00:52. |
|
|
|
|
01-06-2007, 14:53
|
#4 |
|
Member
Iscritto dal: Dec 2005
Messaggi: 159
|
Logfile of HijackThis v1.99.1
Scan saved at 15.32.35, on 01/06/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\Programmi\Comodo\Firewall\cmdagent.exe C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ssoftsrv.exe C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\PSDrvCheck.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\Comodo\Firewall\CPF.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\Digisoft AntiDialer\AntiDialer.exe C:\Programmi\CountDown\CountDown.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\ZJN4ZD5P\HijackThis[2].exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programmi\a-squared Anti-Dialer\a2adguard.exe" O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: vkfhq.exe O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O15 - Trusted Zone: *.whataboutadog.com O15 - Trusted Zone: *.whataboutarabit.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/16.43/uploader2.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{CDCEE584-6E7E-4F3F-A5A8-10177EC4AE62}: NameServer = 62.211.69.150 212.48.4.15 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe Ecco, qua' , utilizzando l'analizzatore http://www.hijackthis.de/it#anl compare solo una X (SOSPETTO), naturalmente è la mia prima volta e non saprei cosa fare di preciso e quindi anora una volta vi chiedo aiuto Grazie, poi mi spiegate come spostare l'intero thread nella giusta sezione? Ciao
__________________
MARIO
|
|
|
|
|
01-06-2007, 15:40
|
#5 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
quella X che vedi è relativa ad un qualcosa di poco pericoloso, una specie di spyware che registra le abitudini dell'utente utilizzatore della scheda audio realtek a scopi di marketing.
direi che puoi anche fixarlo. piuttosto molto strana è questa voce: vkfhq.exe (ha il classico nome generato "random" per non permetetre il riconoscimento specifico di che malware si tratta). altra cosa strana che ti ritrovi è: O15 - Trusted Zone: *.whataboutadog.com O15 - Trusted Zone: *.whataboutarabit.com anche questo mi sembra sospetto: C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\ZJN4ZD5P\HijackThis[2].exe (un pò strana la directory dove si trova !!!) in base ad una prima occhiatina probabilmente ti sei beccato un rootkit da uno dei siti civetta che se ne trovano a bizzeffe su google e ti ha messo nella lista dei siti "affidabili" quei siti che probabilmente sono i domini da cui hai preso il rootkit. probabile gromozon o fratelli. posta nella sezione delle infezioni: http://www.hwupgrade.it/forum/forumdisplay.php?f=125
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 01-06-2007 alle 16:43. |
|
|
|
|
01-06-2007, 16:03
|
#6 |
|
Member
Iscritto dal: Dec 2005
Messaggi: 159
|
Grazie per la risposta, possibili rimedi?
__________________
MARIO
|
|
|
|
|
01-06-2007, 16:26
|
#7 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Spira, Zanarkand
Messaggi: 394
|
Fixa subito questi:
O4 - Startup: vkfhq.exe O15 - Trusted Zone: *.whataboutadog.com O15 - Trusted Zone: *.whataboutarabit.com e vedi se non si ricreano... poi fai una scan con gmer e vedi se ti dà voci in rosso. |
|
|
|
|
01-06-2007, 17:23
|
#8 | |
|
Member
Iscritto dal: Dec 2005
Messaggi: 159
|
Quote:
non ci sono pericoli fixando quello che mi hai indicato? ciao 
__________________
MARIO
|
|
|
|
|
|
01-06-2007, 17:56
|
#9 |
|
Member
Iscritto dal: May 2007
Messaggi: 40
|
fixa questo di sicuro: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
sospetti: O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install fai ricerche su internet che trovi qualcosa.anche io ho cercato,ma poco tu invece cerca di piu,ciao!!! |
|
|
|
|
01-06-2007, 18:58
|
#10 |
|
Member
Iscritto dal: Dec 2005
Messaggi: 159
|
1180698915.dat.exe mi risulta essere un dialer,ora spero bloccato.
e' avvenuta una nuova connessione non autorizzata con INSTANTACCESS la telefonata non è partita grazie alla disabilitazione dei numeri più costosi. A-squared antidialer si era disabilitato da solo, ora ho provveduto al ripristino. che stranezze.....
__________________
MARIO
|
|
|
|
|
01-06-2007, 21:22
|
#11 |
|
Senior Member
Iscritto dal: Feb 2007
Città: Spira, Zanarkand
Messaggi: 394
|
Quelli che ha detto texilranger non fixarli, fixa se vuoi solo ALCMTR.exe che è uno spyware dei driver realtek ma dopo forse non funzionano... se vuoi provare prova, se poi l'audio non funziona reinstalla i driver.
Le mie voci invece non c'è danno a fixarle. Disabilita prima però il system restore. E poi riavvia il pc, rifai lo scan controllando che le voci non sono ricomparse. |
|
|
|
|
02-06-2007, 13:09
|
#12 |
|
Member
Iscritto dal: May 2007
Messaggi: 40
|
non ho detto che deve fixarle tutte e tre!!!
ho detto solo che e sospetto e che faceva una ricerca per assicurarsene.eh,ma prima di rispondere,leggete.
|
|
|
|
|
03-06-2007, 15:01
|
#13 | |
|
Member
Iscritto dal: Dec 2005
Messaggi: 159
|
Quote:
per cui ho provveduto a rinstallare i driver. O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - Startup: vkfhq.exe O15 - Trusted Zone: *.whataboutadog.com O15 - Trusted Zone: *.whataboutarabit.com pare tutto ok. grazie
__________________
MARIO
|
|
|
|
|
|
03-06-2007, 20:44
|
#14 | |
|
Senior Member
Iscritto dal: Aug 2005
Città: Genova
Messaggi: 3397
|
Quote:
__________________
Rimozione Worm/Rootkit Bagle - Rimozione Trojan Vundo - Rimozione virus MSN Messenger -Rimozione virus su chiavetta o errori di file mancante all'apertura del disco fisso - NT AUTHORITY SYSTEM spegne il pc ad ogni avvio. Cosa fare?(worm sasser/blaster/rustock) - Thread Ufficiale firewall software |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 22:01.
