E' forse un hijacker?

[fester40]

Ciao, nel tentativo di scaricare mobmeter da una strano sito è successo qualcosa di anomalo; in effetti il file compresso si è aperto da solo ed è partito l'avviso di Spybot S&D Resident che mi segnalava un tentativo di modifica del registro con questa chiave:

{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}" (new data: "") aggiunto in User-specific browser toolbar!

Io ho negato la modifica, ma ogni tanto riappare l'avviso, segno che il bastardo sotto sotto lavora. Ecco il log, che mi pare peraltro pulito (a parte forse, la voce 016)

Logfile of HijackThis v1.99.1
Scan saved at 21.16.31, on 20/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\NetVeda\Safety.Net\ipcsvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\NetVeda\Safety.Net\ipcTray.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\LetterBox\LetterBox.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Lou\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SafetyNet] "C:\Programmi\NetVeda\Safety.Net\ipcTray.exe"
O4 - HKLM\..\Run: [SafetyNet_Notifier] "C:\Programmi\NetVeda\Safety.Net\ipcLn.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: LetterBox.lnk = C:\Programmi\LetterBox\LetterBox.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1117743258661
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NetVeda Safety.Net (ipcSvc) - NetVeda LLC - C:\Programmi\NetVeda\Safety.Net\ipcsvc.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

Ho anche provato a cancellare manualmente la chiave di cui sopra, ma non è servito a nulla. Non vedo gli effetti del bastardo perché ho Mozilla

Ho fatto scansioni con Spybot, AdAware e Avast con esito negativo.
Cosa ne pensate? Grazie.

[YMen]

Fixa queste righe:
O23 - Service: NetVeda Safety.Net (ipcSvc) - NetVeda LLC - C:\Programmi\NetVeda\Safety.Net\ipcsvc.exe

O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

[fester40]

Net.Veda è il mio firewall e RadClock fa parte degli Omegadrivers della scheda video

[kim1010]

Quote:

Originariamente inviato da YMen

Fixa queste righe:
O23 - Service: NetVeda Safety.Net (ipcSvc) - NetVeda LLC - C:\Programmi\NetVeda\Safety.Net\ipcsvc.exe

O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

Invece di fare il SAPIENTONE e dire sempre di fixare perche' non gli dici che esiste una pagina internet dove il LOG lo si puo' analizzare da soli?????????

http://www.hijackthis.de/it

Fester prendi nota sia tu che tutti quelli che hanno bisogno.

Vai a quella pagina come ha fatto il grande "automatik YMEN" e vedi che il programma ti suggerisce di fixare proprio quello che ti ha suggerito il mitico YMEN

ciao

[fester40]

Una piccola aggiunta, non appena clicco su Cerca per trovare il bastardo, (non trovo nulla) mi parte l'avviso di Spybot S&D Resident che blocca la modifica del registro con la chiave suddetta Sembra che la funzione Cerca, lo preoccupi alquanto.

[KenMasters]

Quote:

Originariamente inviato da kim1010

Invece di fare il SAPIENTONE e dire sempre di fixare perche' non gli dici che esiste una pagina internet dove il LOG lo si puo' analizzare da soli?????????

http://www.hijackthis.de/it

Fester prendi nota sia tu che tutti quelli che hanno bisogno.

Vai a quella pagina come ha fatto il grande "automatik YMEN" e vedi che il programma ti suggerisce di fixare proprio quello che ti ha suggerito il mitico YMEN

ciao

davvero una forza della natura questo ymen!

[YMen]

Quote:

Originariamente inviato da KenMasters

davvero una forza della natura questo ymen!

per vostra informazione ciò che dice di fixare è vero che lo uso per aiutarmi ma se dicessi di fixare tutto ciò che dice quella pagina in tutti i log allora sarebbe la fine:
cmq controllo tutto ciò che dice quella pagina molto attentamente altrimenti me ne starei semplicemente zitto a differenza di come fa kim1010