Credo di avere il pc incasinato..

Umibio · 29-01-2005, 13:48

Salve a tutti.. ho deciso di aprire un topic dopo 1 ora di smanettamenti tra antivirus e spyware. Vi prego di darmi una mano a ripulire dall'eventuale immondizia il mio pc. Vi incollo il logfile ottenuto con hijackthis .

EDIT : ho dimenticato di aggiungere che all'avvio di Windows si esegue nei processi un file chiamato "rasautou.exe" dal quale dipendono le richieste di connessione da parte di siti assurdi che mi si aprono all'avvio, ma che scompaiono dopo aver terminato l'operazione 3-4 volte...

Grazie anticipatamente

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\kxmixer.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Francesco\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - C:\Programmi\Systran\4_0\Premium\IEPlugIn.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\System32\kxmixer.exe --startup
O4 - HKLM\..\Run: [dfix] explorer.exe
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [Yahoo Updater] Messenger.exe
O4 - HKLM\..\RunServices: [MSN Messenger] tvxvqrw.exe
O4 - HKLM\..\RunServices: [EnableDCOM] N
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [MS] win.exe
O4 - HKLM\..\RunServices: [Win32 Network Driver] crss.exe
O4 - HKLM\..\RunServices: [dfix] explorer.exe
O4 - HKLM\..\RunServices: [Windows Media Player 3.6] wmpa36.exe
O4 - HKLM\..\RunServices: [Yahoo Updater] Messenger.exe
O4 - HKLM\..\RunServices: [LsasS] Sygate.exe
O4 - HKLM\..\RunOnce: [Yahoo Updater] Messenger.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo Updater] Messenger.exe
O4 - HKCU\..\RunServices: [MSN Messenger] tvxvqrw.exe
O4 - HKCU\..\RunServices: [dfix] explorer.exe
O4 - HKCU\..\RunOnce: [Yahoo Updater] Messenger.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_07\bin\npjpi141_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_07\bin\npjpi141_07.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//chxzlyk//qj...::/painter.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...eed591071fa5ae
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {CAFEEFAC-0014-0001-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_03) -
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/1,0,...ccesMembre.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{542C9607-FD97-4B30-8EB5-3B9398B47C15}: NameServer = 85.37.17.9 151.99.125.1
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Umibio · 29-01-2005, 17:36

Nessuno mi da una mano?

ercolino · 29-01-2005, 20:54

Incolla tutto qui

http://hijackthis.de/index.php?langselect=italian

Ciaba · 29-01-2005, 23:49

...bella questa ercolino....grande dritta, credo che sarà utile a molti

Umibio · 30-01-2005, 17:04

Ok grazie mille..

L'unica cosa è che mi da parecchie applicazioni come sconosciute e non so come comportarmi...

MCA · 30-01-2005, 18:47

Quote:

Originariamente inviato da ercolino
Incolla tutto qui

http://hijackthis.de/index.php?langselect=italian

Grazie per la dritta!

Ciaba · 30-01-2005, 20:26

Quote:

Originariamente inviato da Umibio
Ok grazie mille..

L'unica cosa è che mi da parecchie applicazioni come sconosciute e non so come comportarmi...

...ma farsi una ricerchina in rete no??
-sysentry32.exe è un worm
-win.exe è un trojan
-crss.exe è un virus-trojan
-ecc...ecc.....potrei continuare ma il risultato è questo: sei pieno.
Quindi o navighi senza protezioni o le protezioni che hai sono bucate o nn le hai configurate a modo.
Ovviamente se navighi con IE, fai uso massiccio di messenger e compagnia bella è una cosa normale...ma imparerai ci siamo passati più o meno tutti.
Nel tread in rilievo c'è una guida su cosa fare in caso di infezione...seguila e facci sapere i progressi che se hai difficoltà nel dettaglio ti possiamo aiutare....ma lì devi fare una pulizia modello "primavera"(o Giuditta

)

Umibio · 30-01-2005, 23:01

Sono pieno.

Format c:

Ciaba · 31-01-2005, 11:39

..mah...per me è un errore...è un'occasione per imparare a capire come funzionano molte cose di un Pc....cmq degustibus...

29-01-2005, 13:48	#1
Umibio Member Iscritto dal: Dec 2002 Messaggi: 59	Credo di avere il pc incasinato.. Salve a tutti.. ho deciso di aprire un topic dopo 1 ora di smanettamenti tra antivirus e spyware. Vi prego di darmi una mano a ripulire dall'eventuale immondizia il mio pc. Vi incollo il logfile ottenuto con hijackthis . EDIT : ho dimenticato di aggiungere che all'avvio di Windows si esegue nei processi un file chiamato "rasautou.exe" dal quale dipendono le richieste di connessione da parte di siti assurdi che mi si aprono all'avvio, ma che scompaiono dopo aver terminato l'operazione 3-4 volte... Grazie anticipatamente Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\kxmixer.exe C:\Programmi\Eset\nod32kui.exe C:\WINDOWS\System32\ctfmon.exe C:\Programmi\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Francesco\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/index.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Systran40premi.IEPlugIn - {D3919E1A-D6A5-11D6-AC3E-00B0D094B576} - C:\Programmi\Systran\4_0\Premium\IEPlugIn.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\System32\kxmixer.exe --startup O4 - HKLM\..\Run: [dfix] explorer.exe O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE O4 - HKLM\..\Run: [Yahoo Updater] Messenger.exe O4 - HKLM\..\RunServices: [MSN Messenger] tvxvqrw.exe O4 - HKLM\..\RunServices: [EnableDCOM] N O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe O4 - HKLM\..\RunServices: [MS] win.exe O4 - HKLM\..\RunServices: [Win32 Network Driver] crss.exe O4 - HKLM\..\RunServices: [dfix] explorer.exe O4 - HKLM\..\RunServices: [Windows Media Player 3.6] wmpa36.exe O4 - HKLM\..\RunServices: [Yahoo Updater] Messenger.exe O4 - HKLM\..\RunServices: [LsasS] Sygate.exe O4 - HKLM\..\RunOnce: [Yahoo Updater] Messenger.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo Updater] Messenger.exe O4 - HKCU\..\RunServices: [MSN Messenger] tvxvqrw.exe O4 - HKCU\..\RunServices: [dfix] explorer.exe O4 - HKCU\..\RunOnce: [Yahoo Updater] Messenger.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_07\bin\npjpi141_07.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.1_07\bin\npjpi141_07.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {15320607-1001-1831-1000-118599957123} - ms-its:mhtml:file://C:\PATH.MHT!http://195.225.176.5//d//chxzlyk//qj...::/painter.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...eed591071fa5ae O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {CAFEEFAC-0014-0001-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_03) - O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/1,0,...ccesMembre.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{542C9607-FD97-4B30-8EB5-3B9398B47C15}: NameServer = 85.37.17.9 151.99.125.1 O23 - Service: NOD32 Kernel Service - Unknown - C:\Programmi\Eset\nod32krn.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Ultima modifica di Umibio : 29-01-2005 alle 15:58.

29-01-2005, 23:49	#4
Ciaba Senior Member Iscritto dal: Nov 2002 Città: Firenze Messaggi: 4027	...bella questa ercolino....grande dritta, credo che sarà utile a molti __________________ I soliti case ti hanno stancato? Passa all'UnCase Listen With Headphones

31-01-2005, 11:39	#9
Ciaba Senior Member Iscritto dal: Nov 2002 Città: Firenze Messaggi: 4027	..mah...per me è un errore...è un'occasione per imparare a capire come funzionano molte cose di un Pc....cmq degustibus... __________________ I soliti case ti hanno stancato? Passa all'UnCase Listen With Headphones

29-01-2005, 17:36	#2
Umibio Member Iscritto dal: Dec 2002 Messaggi: 59	Nessuno mi da una mano?

29-01-2005, 20:54	#3
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3710	Incolla tutto qui http://hijackthis.de/index.php?langselect=italian

30-01-2005, 17:04	#5
Umibio Member Iscritto dal: Dec 2002 Messaggi: 59	Ok grazie mille.. L'unica cosa è che mi da parecchie applicazioni come sconosciute e non so come comportarmi...

30-01-2005, 23:01	#8
Umibio Member Iscritto dal: Dec 2002 Messaggi: 59	Sono pieno. Format c:

Strumenti
Mostra una versione stampabile Invia questa pagina per email