[hijackthis] la mia prima volta

[IlCarletto]

questo il log:

Logfile of HijackThis v1.99.1
Scan saved at 18.54.44, on 23/07/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\win32\dll\win32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\PROGRA~2\UpsPilot\Winpower.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~2\UpsPilot\hello21.exe
C:\PROGRA~1\Alice\ALICEE~1\app\EnterNet.exe
C:\Programmi\eMule\emule.exe
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [win updates] wugrds.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [®Windows Update] svchosts.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [win updates] wugrds.exe
O4 - HKLM\..\RunServices: [Winpower] C:\Program Files\UpsPilot\Winpower.exe
O4 - HKCU\..\Run: [®Windows Update] svchosts.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alice\ALICEE~1\app\pppoeservice.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Winpower - Zero G - C:\PROGRA~2\UpsPilot\Winpower.exe

c'è qualcosa di strano?

ps: fare una discussione solo per Hijackthis dove postare tutti i nostri log con el relative domande?

[KenMasters]

hai un virus nella cartella c:\win32. Cmq puoi controllarti il tuo log direttamente da solo sul sito www.hijackthis.de

[FOXYLADY]

C'è un pò di roba strana, a cominciare da questi
C:\win32\dll\win32.exe
O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
e anche questi
O4 - HKLM\..\Run: [®Windows Update] svchosts.exe
O4 - HKLM\..\RunServices: [win updates] wugrds.exe
O4 - HKCU\..\Run: [®Windows Update] svchosts.exe

Però aspetta la conferma di qualcuno più esperto.

Ciao

[IlCarletto]

Quote:

Originariamente inviato da KenMasters

hai un virus nella cartella c:\win32. Cmq puoi controllarti il tuo log direttamente da solo sul sito www.hijackthis.de

fighissimo quel sito
hpo fatto come avete detto ma:
ho tolto: O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
non sono riuscito con : C:\win32\dll\win32.exe

[juninho85]

C:\WINNT\system32\svchost.exe
O4 - HKLM\..\Run: [win updates] wugrds.exe
O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
O4 - HKLM\..\Run: [®Windows Update] svchosts.exe
O4 - HKLM\..\RunServices: [win updates] wugrds.exe
O4 - HKCU\..\Run: [®Windows Update] svchosts.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
elimina questi


P.S.: per caso ti colleghi da proxy....se così non fosse cancella questa stringa:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1


e ricrea la connessione a internet

[juninho85]

dimenticavo...installa il service pack 2

[BravoGT83]

Quote:

Originariamente inviato da juninho85

dimenticavo...installa il service pack 2

peccato che ha la 2000 è l'ultimo SP è il 4

[juninho85]

Quote:

Originariamente inviato da BravoGT83

peccato che ha la 2000 è l'ultimo SP è il 4

ma io mi riferico all' SP4 rev2

[BravoGT83]

Quote:

Originariamente inviato da juninho85

ma io mi riferico all' SP4 rev2

ahhh..sicuro ?

[juninho85]

Quote:

Originariamente inviato da BravoGT83

ahhh..sicuro ?

certo

[IlCarletto]

..infatti ho letto "installa il sp2" come per dire.. ma che sta a di'??!

perchè dovrei eliminare:
C:\WINNT\system32\svchost.exe
O4 - HKLM\..\Run: [win updates] wugrds.exe
O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
O4 - HKLM\..\Run: [®Windows Update] svchosts.exe
O4 - HKLM\..\RunServices: [win updates] wugrds.exe
O4 - HKCU\..\Run: [®Windows Update] svchosts.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

????

[juninho85]

Quote:

Originariamente inviato da IlCarletto

..infatti ho letto "installa il sp2" come per dire.. ma che sta a di'??!

perchè dovrei eliminare:
O4 - HKLM\..\Run: [win updates] wugrds.exe
O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
O4 - HKLM\..\Run: [®Windows Update] svchosts.exe
O4 - HKLM\..\RunServices: [win updates] wugrds.exe
O4 - HKCU\..\Run: [®Windows Update] svchosts.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

????

questo:"C:\WINNT\system32\svchost.exe "non và eliminato,sbagliavo io
gli altri sono o file eliminati dei quali non sono state cancellate le chiavi di registro(ne ho visto a decine di voci del genere....per caso hai disinstallato avast oppure ce l'hai ancora?),quelli con la dicitura "(file missing)" per capirci,oppure sono malware

[IlCarletto]

Quote:

Originariamente inviato da juninho85

questo:"C:\WINNT\system32\svchost.exe "non và eliminato,sbagliavo io
gli altri sono o file eliminati dei quali non sono state cancellate le chiavi di registro(ne ho visto a decine di voci del genere....per caso hai disinstallato avast oppure ce l'hai ancora?),quelli con la dicitura "(file missing)" per capirci,oppure sono malware

avast è sempre installato.. e non lo disinstallo più!

non riesco a togliere quel win32.
rispetto al rpimo log, uno sono riuscito, l'altro no.

[BravoGT83]

Quote:

Originariamente inviato da IlCarletto

avast è sempre installato.. e non lo disinstallo più!

non riesco a togliere quel win32.
rispetto al rpimo log, uno sono riuscito, l'altro no.

vanno cancellati manualmente

[IlCarletto]

Quote:

Originariamente inviato da BravoGT83

vanno cancellati manualmente

da: FAHlog
mii.. e che è??

--------
-- Opening Log file [July 25 17:13:45]


# Windows Console Edition #####################################################
###############################################################################

Folding@home Client Version 4.00

http://folding.stanford.edu

###############################################################################
###############################################################################



[17:13:45] - Ask before connecting: No
[17:13:45] - User name: [email protected] (Team 3446)
[17:13:45] - User ID = 1608752511717682
[17:13:45] - Machine ID: 1
[17:13:45]
[17:13:45] Loaded queue successfully.
[17:13:45] + Benchmarking ...
[17:13:49] - Preparing to get new work unit...
[17:13:49] + Attempting to get work packet
[17:13:49] - Connecting to assignment server
[17:13:49] + Could not connect to Assignment Server
[17:13:49] + Could not connect to Assignment Server 2
[17:13:49] + Couldn't get work instructions.
[17:13:49] - Error: Attempt #1 to get work failed, and no other work to do.
Waiting before retry.

Folding@home Client Shutdown.
------

[luigi931]

Ciao a tutti! Complimenti per il forum, davvero utile e comprensibile anche a chi, come me, è assolutamente ignorante in materia informatica!
Mi sono appena iscritto e vorrei sottoporre alla vostra analisi il log di HijackThis...
L'ho fatto analizzare al sito www.hijackthis.de, purtroppo vi sono delle cose che non ho capito (essendo, come ho detto prima, un ignorantone in materia)

Premetto che uso Sygate Firewall Free Edition + Avast 4.6 Home Edition

Logfile of HijackThis v1.99.1
Scan saved at 20.32.10, on 25/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\TerraTec\DMX 6fire\DMX6Fire.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wmimgmt.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
E:\Applicazioni utili\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1B8ECEC-5912-4919-A77E-2D364F3F430F}: NameServer = 85.37.17.56 151.99.125.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: WMI Management Instrumentation (wmimgmt) - Unknown owner - C:\WINDOWS\System32\wmimgmt.exe

Grazie in anticipo!

[andorra24]

Il tuo log e' pulito. Per scrupolo potresti rimuovere queste 2 voci di files missing:
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

[luigi931]

Quote:

Originariamente inviato da andorra24

Il tuo log e' pulito. Per scrupolo potresti rimuovere queste 2 voci di files missing:
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Grazie mille!!
Sai mica cos'è l'applicazione wmimgmt.exe? Sygate da ieri mi notifica che questa applicazione vuole accedere a internet (fino a ieri avevo AVG 7, ora ho Avast)...

[andorra24]

Quote:

Originariamente inviato da luigi931

Grazie mille!!
Sai mica cos'è l'applicazione wmimgmt.exe? Sygate da ieri mi notifica che questa applicazione vuole accedere a internet (fino a ieri avevo AVG 7, ora ho Avast)...

wmimgmt.exe sarebbe il Windows Management Instrumentation (WMI) admin tool

[luigi931]

Ehm, adesso mi è successo un casino...
Ho cancellato le 2 voci come consigliato, mi è stato chiesto di riavviare il computer, ma una volta riavviato Avast mi dice che ho un troiano chiamato rdriv.sys, ma non riesce ad eliminarlo...