[AIUTO DISPERATO] [LOG Di HijackThis] Non riesco a risolvere il problema!!!

deggial · 30-04-2005, 17:58

Un saluto a tutti.
Sto cercando di sistemare un pc quasi sicuramente affetto da spyware o simili.
I sintomi sono questi: quando mi collego con il modem (56k) la connessione va lentissima, e nello stato della connessione noto che invio moltissimi bytes senza motivo.
In più, una volta disconnesso, si apre la classica finestra che dice "sono state richieste informazioni dal sito pincopallino.com - connettersi?"

Ho provato a fare diverse scansioni con ad-aware e norton (in modalità provvisoria e togliendo il ripristino automatico di sistema) ma non risolvo nulla: non trovo mai nulla di strano.

Quindi come da vostri consigli vi posto il log di HijackThis sperando che qualcuno mi possa aiutare.

LOG:

Logfile of HijackThis v1.99.1
Scan saved at 18.43.45, on 30/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\sscs.exe
C:\WINDOWS\System32\sscs.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

BravoGT83 · 30-04-2005, 18:22

dovresti mettere su Sp2 con tutti gli aggiornamenti

adesso guardo il log

Jaguar64bit · 30-04-2005, 18:24

andando su questo sito http://www.ilsoftware.it/ , c'è l'analizzatore del log di hijackthis...ho controllato il tuo log è sei abbastanza impestato..

BravoGT83 · 30-04-2005, 18:26

C:\WINDOWS\System32\MSAOL32.exe

C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

è un backdoor da cancellare manualmente

C:\WINDOWS\System32\sscs.exe

worm cancella tutti i file riferiti a quel file

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

sospetto

BravoGT83 · 30-04-2005, 18:27

Quote:

Originariamente inviato da Jaguar64bit

andando su questo sito http://www.ilsoftware.it/ , c'è l'analizzatore del log di hijackthis...ho controllato il tuo log è sei abbastanza impestato..

ce un worm e un backdoor

Jaguar64bit · 30-04-2005, 18:28

Cancella :

C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

e ripeti per i file doppi/uguali.

Jaguar64bit · 30-04-2005, 18:28

Quote:

Originariamente inviato da BravoGT83

ce un worm e un backdoor

Ho visto

BravoGT83 · 30-04-2005, 18:29

Quote:

Originariamente inviato da Jaguar64bit

Ho visto

eggià e poi manca SP2

Jaguar64bit · 30-04-2005, 18:30

Quote:

Originariamente inviato da BravoGT83

C:\WINDOWS\System32\MSAOL32.exe

C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

è un backdoor da cancellare manualmente

C:\WINDOWS\System32\sscs.exe

worm cancella tutti i file riferiti a quel file

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

sospetto

Bravo sei stato preciso.

Jaguar64bit · 30-04-2005, 18:32

Quote:

Originariamente inviato da BravoGT83

eggià e poi manca SP2

Vero

BravoGT83 · 30-04-2005, 19:02

Quote:

Originariamente inviato da Jaguar64bit

Bravo sei stato preciso.

grazie

BravoGT83 · 30-04-2005, 19:02

Quote:

Originariamente inviato da Jaguar64bit

Vero

ormai oggi è fondamentale...

deggial · 30-04-2005, 20:04

Quote:

Originariamente inviato da Jaguar64bit

Cancella :

C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

e ripeti per i file doppi/uguali.

li cancello così brutalmente?
comunque grazie a tutti.
sapete anche perchè non li ho trovati con le scansioni?

PS: cos'è un backdoor?

lord2 · 30-04-2005, 20:30

vorrai dire UNA backdoor

UNA backdoor è un software in grado di aprire una porta di comunicazione verso l’esterno all’insaputa dell’amministratore del sistema(in questao caso tu). A tale porta si collegherà l’attaccante ottenendo pieno controllo del sistema colpito,quindi in poche parole una backdoor è un grosso buco dal quale può entrare chiunque a romperti le palle e farti grossi danni pensa alle tue password ai tuoi dati sensibili se ne hai inoltre può renderti inaccessibile al sistema operativo del TUO PC hehehe

bluepix · 30-04-2005, 22:22

Non lanciare Hijackthis dal desktop.
Mettilo in una directory propria così puoi beckuppare le voci che fixerai.

Vanno fixate le seguenti linee:
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

deggial · 01-05-2005, 00:04

forse ho risolto.
per ora ringrazio tutti, domani mattina farò pove più accurate.

deggial · 01-05-2005, 00:50

noto che per i miei gusti ho ancora troppi byte inviati. qualcuno sarebbe così gentile da controllarmi il nuovo log?

Logfile of HijackThis v1.99.1
Scan saved at 1.44.32, on 01/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Driver e programmi\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

BravoGT83 · 01-05-2005, 07:34

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150

l'unico sospetto.....non riesco a trovare nient'altro

cmq i byte mandati ci sono sempre

deggial · 01-05-2005, 09:11

Quote:

Originariamente inviato da BravoGT83

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150

l'unico sospetto.....non riesco a trovare nient'altro

cmq i byte mandati ci sono sempre

provo a togliere anche quello.

cmq hai visto che ora c'è il sp2? in realtà non l'avevo messo perchè avevo il cd in casa ma non lo trovavo, ieri ho smontato la stanza per cercarlo!

BravoGT83 · 01-05-2005, 09:15

si l'ho visto cosi sei + protetto

30-04-2005, 17:58	#1
deggial Senior Member Iscritto dal: Mar 2003 Città: tra Borgo Ticino e Milano Messaggi: 6050	[AIUTO DISPERATO] [LOG Di HijackThis] Non riesco a risolvere il problema!!! Un saluto a tutti. Sto cercando di sistemare un pc quasi sicuramente affetto da spyware o simili. I sintomi sono questi: quando mi collego con il modem (56k) la connessione va lentissima, e nello stato della connessione noto che invio moltissimi bytes senza motivo. In più, una volta disconnesso, si apre la classica finestra che dice "sono state richieste informazioni dal sito pincopallino.com - connettersi?" Ho provato a fare diverse scansioni con ad-aware e norton (in modalità provvisoria e togliendo il ripristino automatico di sistema) ma non risolvo nulla: non trovo mai nulla di strano. Quindi come da vostri consigli vi posto il log di HijackThis sperando che qualcuno mi possa aiutare. LOG: Logfile of HijackThis v1.99.1 Scan saved at 18.43.45, on 30/04/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe C:\Programmi\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\srvany.exe C:\WINDOWS\system32\resetservice.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\userinit32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programmi\Analog Devices\SoundMAX\SMTray.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\MSAOL32.exe C:\WINDOWS\System32\sscs.exe C:\WINDOWS\System32\sscs.exe C:\WINDOWS\System32\MSAOL32.exe C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Documents and Settings\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe __________________ firma in progress

01-05-2005, 00:04	#16
deggial Senior Member Iscritto dal: Mar 2003 Città: tra Borgo Ticino e Milano Messaggi: 6050	forse ho risolto. per ora ringrazio tutti, domani mattina farò pove più accurate. __________________ firma in progress

01-05-2005, 00:50	#17
deggial Senior Member Iscritto dal: Mar 2003 Città: tra Borgo Ticino e Milano Messaggi: 6050	noto che per i miei gusti ho ancora troppi byte inviati. qualcuno sarebbe così gentile da controllarmi il nuovo log? Logfile of HijackThis v1.99.1 Scan saved at 1.44.32, on 01/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe C:\Programmi\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programmi\Analog Devices\SoundMAX\SMTray.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Internet Explorer\iexplore.exe C:\Driver e programmi\Sicurezza\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe __________________ firma in progress

30-04-2005, 18:22	#2
BravoGT83 Senior Member Iscritto dal: Sep 2004 Messaggi: 6387	dovresti mettere su Sp2 con tutti gli aggiornamenti adesso guardo il log

30-04-2005, 18:24	#3
Jaguar64bit Senior Member Iscritto dal: Oct 2002 Città: Mi Messaggi: 8048	andando su questo sito http://www.ilsoftware.it/ , c'è l'analizzatore del log di hijackthis...ho controllato il tuo log è sei abbastanza impestato..

30-04-2005, 18:26	#4
BravoGT83 Senior Member Iscritto dal: Sep 2004 Messaggi: 6387	C:\WINDOWS\System32\MSAOL32.exe C:\WINDOWS\System32\MSAOL32.exe O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe è un backdoor da cancellare manualmente C:\WINDOWS\System32\sscs.exe worm cancella tutti i file riferiti a quel file O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone sospetto

30-04-2005, 18:28	#6
Jaguar64bit Senior Member Iscritto dal: Oct 2002 Città: Mi Messaggi: 8048	Cancella : C:\WINDOWS\System32\MSAOL32.exe O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe e ripeti per i file doppi/uguali.

30-04-2005, 20:30	#14
lord2 Senior Member Iscritto dal: May 2002 Messaggi: 3126	vorrai dire UNA backdoor UNA backdoor è un software in grado di aprire una porta di comunicazione verso l’esterno all’insaputa dell’amministratore del sistema(in questao caso tu). A tale porta si collegherà l’attaccante ottenendo pieno controllo del sistema colpito,quindi in poche parole una backdoor è un grosso buco dal quale può entrare chiunque a romperti le palle e farti grossi danni pensa alle tue password ai tuoi dati sensibili se ne hai inoltre può renderti inaccessibile al sistema operativo del TUO PC hehehe

30-04-2005, 22:22	#15
bluepix Senior Member Iscritto dal: Dec 2004 Città: Magenta(MI) Messaggi: 1513	Non lanciare Hijackthis dal desktop. Mettilo in una directory propria così puoi beckuppare le voci che fixerai. Vanno fixate le seguenti linee: F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

01-05-2005, 07:34	#18
BravoGT83 Senior Member Iscritto dal: Sep 2004 Messaggi: 6387	O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150 l'unico sospetto.....non riesco a trovare nient'altro cmq i byte mandati ci sono sempre

01-05-2005, 09:15	#20
BravoGT83 Senior Member Iscritto dal: Sep 2004 Messaggi: 6387	si l'ho visto cosi sei + protetto

Strumenti
Mostra una versione stampabile Invia questa pagina per email