Problemino assai strano sul mio pc: ho un virus?

galaga · 25-08-2004, 14:32

Ciao a tutti, vorrei avere il vostro parere sul comportamento assai anomalo del mio pc negli ultimi giorni. Da alcuni giorni il pc ha iniziato a riavviarsi da solo senza motivo...inizialmente ho pensato a problemi di temperatura della cpu (AMD 2200+), poi, lasciando aperto e ventilato il pc ho capito che il problema non era quello. Ho pensato ad un conflitto sw e quindi, visto che ormai i tempi erano maturi, ho deciso per un bel formattone, tanto i dati li tengo su di una partizione separata. Formatto, reinstallo xp e subito dopo nav 2004. Riavviando vedo che non si avvia il security agent e mi insospettisco, vado sopra all'icona nel tray e questa scompare....mah! Riavvio e dopo un pò mi compare per alcuni secondi un messaggio di norton che dice che il file del security agent (mi sembra si chiami così) è infettato da un virus che si chiama "Grosky" o qualcosa di simile (non ho fatto in tempo a segnarlo perchè è scomparso subito). Disinstallo norton e iniziano a comparirmi altri messaggi di errore tra cui uno relativo alla mancata installazione di un runtime script (???) sul pc......con conseguente riavvio FORZATO dal sistema. Mi sa che mi tocca reinstallare XP...voi che ne pensate?

w.tommasi · 25-08-2004, 15:12

uhmmmm mi sembra strano ke tu abbia problemi già su un sistema quasi totalmente pulito ...

Hai navigato prima d installare NAV ?
Hai fattu il Windows Update ?
Hai aggiornato il NAV ?

galaga · 25-08-2004, 16:12

no, ho solo attivato xp ed aggiornato subito nav. Non ho fatto in tempo a aggiornare xp.
che il virus sia nelle altre partizioni?

w.tommasi · 25-08-2004, 16:51

Potrebbe .... non hai mai scansionato le partizioni su cui tieni la roba appoggiata prima del formattone ?

Ormai perso x perso lo puoi fare anke on line sul sito della symantec, visto ke il NAV installato ormai mi sembra andato ...

galaga · 25-08-2004, 17:02

avevo scansionato il tutto senza ricevere messaggi di errore....mah? riprovo ad installare il tutto e poi vedo......

w.tommasi · 25-08-2004, 18:29

Fammi sapere ...

wgator · 25-08-2004, 19:13

ciao,

... so di essere palloso ma ricordati di attivare un qualche firewall (anche ICF) prima di fare qualsiasi connessione. Tempo medio di sporavvivenza senza patch e senza firewall 15 minuti, anche meno!

Windows xp SP1 senza patch è il + grande colabrodo che ci sia sulla terra!

w.tommasi · 25-08-2004, 22:22

e già ... prima di effettuare la prima connessione su un sistema "pulito" è obbligatorio essere SUPER BLINDATI !!

nemo75 · 25-08-2004, 23:43

concordo sulla necessità del firewall. molti virus, come ad es blaster, entrano nel pc dalle backdoor e l'AV non può fermarli!
Se non hai già in firewall puoi usare Sygate Personal Firewall, è gratuito. Lo trovo buono

galaga · 26-08-2004, 09:36

ciao....sono riuscito a reinstallare nav, firewall e update di xp dalla microsoft....il problema però è ricomparso dopo alcune ore....sospetto della sporcizia sul processore....non so cos'altro pensare a questo punto!!!
Tra l'altro non riesco più ad aggiornare nav col live update....impossibile connettersi (ho la fibra). Anche col browser mozilla non riesco più ad accedere al sito symantec (connection refused)....secondo voi perchè?

wgator · 26-08-2004, 10:48

Quote:

Originariamente inviato da galaga
ciao....sono riuscito a reinstallare nav, firewall e update di xp dalla microsoft....il problema però è ricomparso dopo alcune ore....sospetto della sporcizia sul processore....non so cos'altro pensare a questo punto!!!
Tra l'altro non riesco più ad aggiornare nav col live update....impossibile connettersi (ho la fibra). Anche col browser mozilla non riesco più ad accedere al sito symantec (connection refused)....secondo voi perchè?

Ciao,

cosa intendi con "sporcizia sul processore"?

Forse conviene che scarichi hijackthis e posti un log. Io penso si tratti semplicemente di worm

Dai anche un'occhiata al file HOSTS, cercalo e aprilo col notepad. Al suo interno non devono esserci riferimenti a siti come per esempio www.symantec.com

nemo75 · 26-08-2004, 10:53

il riavvio improvviso del pc può esser causato da un problema sw ma anche hw.
Hai provato a staccare qualche periferica?
Dovresti anche controllare i fili dell'alimentazione: staccali e vedi che siano ok, ad esempio che non si sia sciolta la guaina di qualche filo; ciò creerebbe qualche corto temporaneo...
se l'hw è ok allora concentrati sul sw e se non riesci a risolvere prendi in considerazione l'ipotesi di reinstallare il sistema oltre che av e firewall.

galaga · 26-08-2004, 12:48

innanzitutto grazie per le risposte, ragazzi!!
Per sporcizia intendo polvere....mi è già capitato qualche mese fa di dover sparare un pò d'aria compressa sulla ventola per ripulirla dalla polvere, il pc si impiantava spesso, specie d'estate! Da quel momento ho sostituito la ventola con una più potente....ma chi può dirlo???
Forse è un problema hw, la cosa strana è che il pc va bene per alcune ore (circa 3), poi inizia a far casino e riavviarsi da solo: surriscaldamento degli HDD? Può dipendere dall'impostazione SMART degli hdd?
Cmq proverò anche con hijackthis.
ciao

wgator · 26-08-2004, 13:04

Ciao,

...

sospetto worm & c. perchè dici di aver problemi con il sito symantec.

Per il riavvio casuale dopo alcune ore di funzionamento, potrebbe anche essere dovuto al surriscaldamento del processore (per gli HD e lo SMART non credo)

Non riesci a rimediare uno di quei programmini per il controllo della temperatura della mobo e del procio?

w.tommasi · 26-08-2004, 13:43

Se la mobo è asus t consiglio Asus Probe.

galaga · 26-08-2004, 14:27

al momento del riavvio "spontaneo" la temperatura della cpu era 49° (amd 2200+)...non mi sembra così elevata....
La mobo è una epox k7t (se ricordo bene...)
Controllerò i worm, ma per il sito symantec suppongo sia un problema di ban del mio nat fastweb...proverò a collegarmi con un ip pubblico....
Purtroppo adesso sono in ufficio e non posso sistemare ste cose...mannaggia!!!

wgator · 26-08-2004, 14:58

Quote:

Originariamente inviato da galaga
al momento del riavvio "spontaneo" la temperatura della cpu era 49° (amd 2200

niente surriscaldamento...

sono curioso di vedere il log di hijackthis

Ciaba · 26-08-2004, 15:45

...nn vorrei dire le stesse cose e risultare OOlloso....ma il NAV fa veramente pena...quello i virus te li chiama nel Pc. Nella sezione programmi free e open source ne trovi un paio molto validi...altro che NAV. E come ti ha già detto qualcuno,...fai un paio di scansioni online(Es.McAfee e TrendMicro).

galaga · 26-08-2004, 19:34

questo è il risultato della scansione con SpyBot.....suggerimenti?

Alexa Related: Collegamento (Sostituisci file, nothing done)
C:\WINDOWS\Web\related.htm

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-21-1004336348-484763869-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-08-20 Includes\Dialer.sbi
2004-08-20 Includes\Hijackers.sbi
2004-08-20 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-08-20 Includes\Malware.sbi
2004-08-11 Includes\plugin-ignore.ini
2004-08-12 Includes\Revision.sbi
2004-08-11 Includes\Security.sbi
2004-08-20 Includes\Spybots.sbi
2004-08-12 Includes\Tracks.uti
2004-08-20 Includes\Trojans.sbi

galaga · 26-08-2004, 19:38

questo invece è il log di hijackthis.....

StartupList report, 26/08/2004, 19.35.48
StartupList version: 1.52.2
Started from : C:\Documents and Settings\xxxx\Impostazioni locali\Temp\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\D-Tools\daemon.exe
C:\WINDOWS\System32\NortonAV.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\WF2K.EXE
C:\Programmi\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
C:\Programmi\shutdown.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\xxxxx\Impostazioni locali\Temp\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\xxxx\Menu Avvio\Programmi\Esecuzione automatica]
e-Backup 1.4 Scheduler.lnk = ?

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica]
Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
Shutdown Auto.lnk = C:\Programmi\shutdown.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

DAEMON Tools-1033 = "C:\Programmi\D-Tools\daemon.exe" -lang 1033
NAV = NortonAV.exe
ccApp = "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
WinFast_2K = C:\WINDOWS\System32\WF2K.EXE
WinFast2KLoadDefault = rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

NAV = NortonAV.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MSMSGS = "C:\Programmi\Messenger\msmsgs.exe" /background
PeerGuardian = C:\Programmi\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
Web assistant - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}
NAV Helper - C:\Programmi\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.co...?1093455273719

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.379 bytes
Report generated in 0,101 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

25-08-2004, 14:32	#1
galaga Senior Member Iscritto dal: Sep 2001 Città: Milano Messaggi: 3722	Problemino assai strano sul mio pc: ho un virus? Ciao a tutti, vorrei avere il vostro parere sul comportamento assai anomalo del mio pc negli ultimi giorni. Da alcuni giorni il pc ha iniziato a riavviarsi da solo senza motivo...inizialmente ho pensato a problemi di temperatura della cpu (AMD 2200+), poi, lasciando aperto e ventilato il pc ho capito che il problema non era quello. Ho pensato ad un conflitto sw e quindi, visto che ormai i tempi erano maturi, ho deciso per un bel formattone, tanto i dati li tengo su di una partizione separata. Formatto, reinstallo xp e subito dopo nav 2004. Riavviando vedo che non si avvia il security agent e mi insospettisco, vado sopra all'icona nel tray e questa scompare....mah! Riavvio e dopo un pò mi compare per alcuni secondi un messaggio di norton che dice che il file del security agent (mi sembra si chiami così) è infettato da un virus che si chiama "Grosky" o qualcosa di simile (non ho fatto in tempo a segnarlo perchè è scomparso subito). Disinstallo norton e iniziano a comparirmi altri messaggi di errore tra cui uno relativo alla mancata installazione di un runtime script (???) sul pc......con conseguente riavvio FORZATO dal sistema. Mi sa che mi tocca reinstallare XP...voi che ne pensate?

25-08-2004, 15:12	#2
w.tommasi Senior Member Iscritto dal: Sep 2000 Città: CaPuT MuNdI Messaggi: 2112	uhmmmm mi sembra strano ke tu abbia problemi già su un sistema quasi totalmente pulito ... Hai navigato prima d installare NAV ? Hai fattu il Windows Update ? Hai aggiornato il NAV ? __________________ E che il Signore ce la mandi buona ... e di facili costumi !

25-08-2004, 16:51	#4
w.tommasi Senior Member Iscritto dal: Sep 2000 Città: CaPuT MuNdI Messaggi: 2112	Potrebbe .... non hai mai scansionato le partizioni su cui tieni la roba appoggiata prima del formattone ? Ormai perso x perso lo puoi fare anke on line sul sito della symantec, visto ke il NAV installato ormai mi sembra andato ... __________________ E che il Signore ce la mandi buona ... e di facili costumi !

25-08-2004, 18:29	#6
w.tommasi Senior Member Iscritto dal: Sep 2000 Città: CaPuT MuNdI Messaggi: 2112	Fammi sapere ... __________________ E che il Signore ce la mandi buona ... e di facili costumi !

25-08-2004, 19:13	#7
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	ciao, ... so di essere palloso ma ricordati di attivare un qualche firewall (anche ICF) prima di fare qualsiasi connessione. Tempo medio di sporavvivenza senza patch e senza firewall 15 minuti, anche meno! Windows xp SP1 senza patch è il + grande colabrodo che ci sia sulla terra! __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

25-08-2004, 16:12	#3
galaga Senior Member Iscritto dal: Sep 2001 Città: Milano Messaggi: 3722	no, ho solo attivato xp ed aggiornato subito nav. Non ho fatto in tempo a aggiornare xp. che il virus sia nelle altre partizioni?

25-08-2004, 17:02	#5
galaga Senior Member Iscritto dal: Sep 2001 Città: Milano Messaggi: 3722	avevo scansionato il tutto senza ricevere messaggi di errore....mah? riprovo ad installare il tutto e poi vedo......

25-08-2004, 22:22	#8
w.tommasi Senior Member Iscritto dal: Sep 2000 Città: CaPuT MuNdI Messaggi: 2112	e già ... prima di effettuare la prima connessione su un sistema "pulito" è obbligatorio essere SUPER BLINDATI !! __________________ E che il Signore ce la mandi buona ... e di facili costumi !

25-08-2004, 23:43	#9
nemo75 Senior Member Iscritto dal: Apr 2003 Città: Lecce Messaggi: 344	concordo sulla necessità del firewall. molti virus, come ad es blaster, entrano nel pc dalle backdoor e l'AV non può fermarli! Se non hai già in firewall puoi usare Sygate Personal Firewall, è gratuito. Lo trovo buono

26-08-2004, 09:36	#10
galaga Senior Member Iscritto dal: Sep 2001 Città: Milano Messaggi: 3722	ciao....sono riuscito a reinstallare nav, firewall e update di xp dalla microsoft....il problema però è ricomparso dopo alcune ore....sospetto della sporcizia sul processore....non so cos'altro pensare a questo punto!!! Tra l'altro non riesco più ad aggiornare nav col live update....impossibile connettersi (ho la fibra). Anche col browser mozilla non riesco più ad accedere al sito symantec (connection refused)....secondo voi perchè?

26-08-2004, 10:53	#12
nemo75 Senior Member Iscritto dal: Apr 2003 Città: Lecce Messaggi: 344	il riavvio improvviso del pc può esser causato da un problema sw ma anche hw. Hai provato a staccare qualche periferica? Dovresti anche controllare i fili dell'alimentazione: staccali e vedi che siano ok, ad esempio che non si sia sciolta la guaina di qualche filo; ciò creerebbe qualche corto temporaneo... se l'hw è ok allora concentrati sul sw e se non riesci a risolvere prendi in considerazione l'ipotesi di reinstallare il sistema oltre che av e firewall.

26-08-2004, 12:48	#13
galaga Senior Member Iscritto dal: Sep 2001 Città: Milano Messaggi: 3722	innanzitutto grazie per le risposte, ragazzi!! Per sporcizia intendo polvere....mi è già capitato qualche mese fa di dover sparare un pò d'aria compressa sulla ventola per ripulirla dalla polvere, il pc si impiantava spesso, specie d'estate! Da quel momento ho sostituito la ventola con una più potente....ma chi può dirlo??? Forse è un problema hw, la cosa strana è che il pc va bene per alcune ore (circa 3), poi inizia a far casino e riavviarsi da solo: surriscaldamento degli HDD? Può dipendere dall'impostazione SMART degli hdd? Cmq proverò anche con hijackthis. ciao

26-08-2004, 13:04	#14
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, ... sospetto worm & c. perchè dici di aver problemi con il sito symantec. Per il riavvio casuale dopo alcune ore di funzionamento, potrebbe anche essere dovuto al surriscaldamento del processore (per gli HD e lo SMART non credo) Non riesci a rimediare uno di quei programmini per il controllo della temperatura della mobo e del procio? __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

26-08-2004, 13:43	#15
w.tommasi Senior Member Iscritto dal: Sep 2000 Città: CaPuT MuNdI Messaggi: 2112	Se la mobo è asus t consiglio Asus Probe. __________________ E che il Signore ce la mandi buona ... e di facili costumi !

26-08-2004, 14:27	#16
galaga Senior Member Iscritto dal: Sep 2001 Città: Milano Messaggi: 3722	al momento del riavvio "spontaneo" la temperatura della cpu era 49° (amd 2200+)...non mi sembra così elevata.... La mobo è una epox k7t (se ricordo bene...) Controllerò i worm, ma per il sito symantec suppongo sia un problema di ban del mio nat fastweb...proverò a collegarmi con un ip pubblico.... Purtroppo adesso sono in ufficio e non posso sistemare ste cose...mannaggia!!!

26-08-2004, 15:45	#18
Ciaba Senior Member Iscritto dal: Nov 2002 Città: Firenze Messaggi: 4027	...nn vorrei dire le stesse cose e risultare OOlloso....ma il NAV fa veramente pena...quello i virus te li chiama nel Pc. Nella sezione programmi free e open source ne trovi un paio molto validi...altro che NAV. E come ti ha già detto qualcuno,...fai un paio di scansioni online(Es.McAfee e TrendMicro). __________________ I soliti case ti hanno stancato? Passa all'UnCase Listen With Headphones

26-08-2004, 19:34	#19
galaga Senior Member Iscritto dal: Sep 2001 Città: Milano Messaggi: 3722	questo è il risultato della scansione con SpyBot.....suggerimenti? Alexa Related: Collegamento (Sostituisci file, nothing done) C:\WINDOWS\Web\related.htm DSO Exploit: Data source object exploit (Modifica al registro, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Modifica al registro, nothing done) HKEY_USERS\S-1-5-21-1004336348-484763869-854245398-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Modifica al registro, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Modifica al registro, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Modifica al registro, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 --- Spybot - Search && Destroy version: 1.3 --- 2004-08-11 Includes\Cookies.sbi 2004-08-20 Includes\Dialer.sbi 2004-08-20 Includes\Hijackers.sbi 2004-08-20 Includes\Keyloggers.sbi 2004-05-12 Includes\LSP.sbi 2004-08-20 Includes\Malware.sbi 2004-08-11 Includes\plugin-ignore.ini 2004-08-12 Includes\Revision.sbi 2004-08-11 Includes\Security.sbi 2004-08-20 Includes\Spybots.sbi 2004-08-12 Includes\Tracks.uti 2004-08-20 Includes\Trojans.sbi

26-08-2004, 19:38	#20
galaga Senior Member Iscritto dal: Sep 2001 Città: Milano Messaggi: 3722	questo invece è il log di hijackthis..... StartupList report, 26/08/2004, 19.35.48 StartupList version: 1.52.2 Started from : C:\Documents and Settings\xxxx\Impostazioni locali\Temp\HijackThis.EXE Detected: Windows XP (WinNT 5.01.2600) Detected: Internet Explorer v6.00 (6.00.2600.0000) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\D-Tools\daemon.exe C:\WINDOWS\System32\NortonAV.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\WINDOWS\System32\WF2K.EXE C:\Programmi\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe C:\Programmi\shutdown.exe C:\Programmi\File comuni\Symantec Shared\ccProxy.exe C:\Programmi\Executive Software\Diskeeper\DkService.exe C:\Programmi\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe C:\Programmi\Norton AntiVirus\SAVScan.exe C:\PROGRA~1\MOZILL~2\FIREFOX.EXE C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Documents and Settings\xxxxx\Impostazioni locali\Temp\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Documents and Settings\xxxx\Menu Avvio\Programmi\Esecuzione automatica] e-Backup 1.4 Scheduler.lnk = ? Shell folders Common Startup: [C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica] Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE Shutdown Auto.lnk = C:\Programmi\shutdown.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run DAEMON Tools-1033 = "C:\Programmi\D-Tools\daemon.exe" -lang 1033 NAV = NortonAV.exe ccApp = "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize WinFast_2K = C:\WINDOWS\System32\WF2K.EXE WinFast2KLoadDefault = rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices NAV = NortonAV.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run MSMSGS = "C:\Programmi\Messenger\msmsgs.exe" /background PeerGuardian = C:\Programmi\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=INI section not found SCRNSAVE.EXE=INI section not found drivers=INI section not found Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=Registry value not found Policies Shell key: HKCU\..\Policies: Shell=Registry key not found HKLM\..\Policies: Shell=Registry value not found -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} Web assistant - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} NAV Helper - C:\Programmi\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} -------------------------------------------------- Enumerating Task Scheduler jobs: Symantec NetDetect.job -------------------------------------------------- Enumerating Download Program Files: [WUWebControl Class] InProcServer32 = C:\WINDOWS\System32\wuweb.dll CODEBASE = http://v5.windowsupdate.microsoft.co...?1093455273719 -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 5.379 bytes Report generated in 0,101 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only

Strumenti
Mostra una versione stampabile Invia questa pagina per email