[AIUTO DISPERATO] [LOG Di HijackThis] Non riesco a risolvere il problema!!!

[deggial]

Un saluto a tutti.
Sto cercando di sistemare un pc quasi sicuramente affetto da spyware o simili.
I sintomi sono questi: quando mi collego con il modem (56k) la connessione va lentissima, e nello stato della connessione noto che invio moltissimi bytes senza motivo.
In più, una volta disconnesso, si apre la classica finestra che dice "sono state richieste informazioni dal sito pincopallino.com - connettersi?"

Ho provato a fare diverse scansioni con ad-aware e norton (in modalità provvisoria e togliendo il ripristino automatico di sistema) ma non risolvo nulla: non trovo mai nulla di strano.

Quindi come da vostri consigli vi posto il log di HijackThis sperando che qualcuno mi possa aiutare.



LOG:

Logfile of HijackThis v1.99.1
Scan saved at 18.43.45, on 30/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\sscs.exe
C:\WINDOWS\System32\sscs.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[BravoGT83]

dovresti mettere su Sp2 con tutti gli aggiornamenti

adesso guardo il log

[Jaguar64bit]

andando su questo sito http://www.ilsoftware.it/ , c'è l'analizzatore del log di hijackthis...ho controllato il tuo log è sei abbastanza impestato..

[BravoGT83]

C:\WINDOWS\System32\MSAOL32.exe

C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

è un backdoor da cancellare manualmente



C:\WINDOWS\System32\sscs.exe

worm cancella tutti i file riferiti a quel file

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone


sospetto

[BravoGT83]

Quote:

Originariamente inviato da Jaguar64bit

andando su questo sito http://www.ilsoftware.it/ , c'è l'analizzatore del log di hijackthis...ho controllato il tuo log è sei abbastanza impestato..

ce un worm e un backdoor

[Jaguar64bit]

Cancella :


C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe


e ripeti per i file doppi/uguali.

[Jaguar64bit]

Quote:

Originariamente inviato da BravoGT83

ce un worm e un backdoor

Ho visto

[BravoGT83]

Quote:

Originariamente inviato da Jaguar64bit

Ho visto

eggià e poi manca SP2

[Jaguar64bit]

Quote:

Originariamente inviato da BravoGT83

C:\WINDOWS\System32\MSAOL32.exe

C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

è un backdoor da cancellare manualmente



C:\WINDOWS\System32\sscs.exe

worm cancella tutti i file riferiti a quel file

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone


sospetto

Bravo sei stato preciso.

[Jaguar64bit]

Quote:

Originariamente inviato da BravoGT83

eggià e poi manca SP2

Vero

[BravoGT83]

Quote:

Originariamente inviato da Jaguar64bit

Bravo sei stato preciso.

grazie

[BravoGT83]

Quote:

Originariamente inviato da Jaguar64bit

Vero

ormai oggi è fondamentale...

[deggial]

Quote:

Originariamente inviato da Jaguar64bit

Cancella :


C:\WINDOWS\System32\MSAOL32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe


e ripeti per i file doppi/uguali.

li cancello così brutalmente?
comunque grazie a tutti.
sapete anche perchè non li ho trovati con le scansioni?

PS: cos'è un backdoor?

[lord2]

vorrai dire UNA backdoor

UNA backdoor è un software in grado di aprire una porta di comunicazione verso l’esterno all’insaputa dell’amministratore del sistema(in questao caso tu). A tale porta si collegherà l’attaccante ottenendo pieno controllo del sistema colpito,quindi in poche parole una backdoor è un grosso buco dal quale può entrare chiunque a romperti le palle e farti grossi danni pensa alle tue password ai tuoi dati sensibili se ne hai inoltre può renderti inaccessibile al sistema operativo del TUO PC hehehe

[bluepix]

Non lanciare Hijackthis dal desktop.
Mettilo in una directory propria così puoi beckuppare le voci che fixerai.

Vanno fixate le seguenti linee:
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Media Software UPdater] sscs.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Media Software UPdater] sscs.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

[deggial]

forse ho risolto.
per ora ringrazio tutti, domani mattina farò pove più accurate.

[deggial]

noto che per i miei gusti ho ancora troppi byte inviati. qualcuno sarebbe così gentile da controllarmi il nuovo log?

Logfile of HijackThis v1.99.1
Scan saved at 1.44.32, on 01/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Driver e programmi\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[BravoGT83]

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150

l'unico sospetto.....non riesco a trovare nient'altro


cmq i byte mandati ci sono sempre

[deggial]

Quote:

Originariamente inviato da BravoGT83

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F951F91-571F-408B-BC59-3A9515C7366C}: NameServer = 212.48.4.15 62.211.69.150

l'unico sospetto.....non riesco a trovare nient'altro


cmq i byte mandati ci sono sempre

provo a togliere anche quello.

cmq hai visto che ora c'è il sp2? in realtà non l'avevo messo perchè avevo il cd in casa ma non lo trovavo, ieri ho smontato la stanza per cercarlo!

[BravoGT83]

si l'ho visto cosi sei + protetto