Pagina 1 di 1

nuovo utente un po' spaesato

MessaggioInviato: lun nov 19, 2007 6:10 pm
da pikard44
buona sera a tutti,
Chiedo scusa se forse ho postato nella sezione sbagliata
Sono andato in pensione da non molto ed avendo ora un po' più di tempo a disposizione sto cercando di capire qualcosa sul pc che finora ho usato senza cognizione avendo poco tempo ed essendo ignorante in materia.Prima di registrarmi ho letto parecchio sui vari forum come ospite.Ho scelto questo perché vedo che ci sono persone disponibili e molto competenti.Ho provato dopo aver letto il regolamento,(come da voi consigliato prima di chiedere SOS) a fare le diverse scansioni con i vari Adaware,Spybot,Spyware Doctor,Easy Cleaner,Avast ed infine Hijackthis.
Ho paura di essere infetto e non so che pesci prendere perché non mi vergogno a dire che non ci capisco ancora una mazza,anche perché tra l'altro non so neanche l'inglese.Cosa devo fare?
Un saluto
Grazie

MessaggioInviato: lun nov 19, 2007 6:16 pm
da ste_95
[ciao]

questa è la sezione giusta...

per prima cosa:

Scarica HiJackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.

MessaggioInviato: lun nov 19, 2007 6:26 pm
da crazy.cat
Spiegaci anche quali problemi hai al pc, aiuta sempre a capire come trovare la cura migliore.

MessaggioInviato: lun nov 19, 2007 7:07 pm
da pikard44
Grazie per aver risposto,se riesco provo a postare il log,non riesco a ripulire competamente dopo aver fatto le scansioni rimane sempre qualcosa che si rigenera


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.02.03, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\sysnet32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\hijac\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\sysnet32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/St ... b55579.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/in ... er_gmn.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZB ... b55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZP ... b55579.cab
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (ZPA_TexasHoldem Object) - http://zone.msn.com/bingame/zpagames/zp ... b55579.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v ... b55579.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/St ... b55579.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CFAC574-A163-430F-A07A-98D358452F77}: NameServer = 85.37.17.8 85.38.28.73
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SecWls - Unknown owner - \\?\C:\Programmi\File comuni\Services\com5.exe (file missing)
O23 - Service: SrvNfs - Unknown owner - \\?\C:\Programmi\File comuni\Services\lpt8.exe (file missing)

--
End of file - 5728 bytes

ce l'ho fatta ?

MessaggioInviato: lun nov 19, 2007 7:09 pm
da ste_95
seleziona queste voci e premi fix chekced:

O4 - HKLM\..\Policies\Explorer\Run: [Service] C:\WINDOWS\sysnet32.exe

quindi fai così:

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il pallino su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Files to delete:
C:\WINDOWS\sysnet32.exe


Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

MessaggioInviato: lun nov 19, 2007 7:17 pm
da crazy.cat
il sysnet32.exe mi è capitato di incontralo insieme a degli altri file infetti, e forse è per questo che si rigenerano, controlla se nella cartella windows, oltre a quel file ci sono dei file con estensione dll, o degli altri file exe, e nel nome il 32.
Qualcosa tipo sysnet32.dll, o systempro32.exe (o simili).
Potrebbe essere un rootkit.

MessaggioInviato: lun nov 19, 2007 7:21 pm
da ste_95
mi è capitato di rimuoverlo molte volte ed era insieme a service32.exe....

MessaggioInviato: lun nov 19, 2007 7:24 pm
da pikard44
la moglie chiama per cena dopo farò tutto con calma per non sbagliare
e vi farò sapere...grazie di cuore

MessaggioInviato: mer nov 21, 2007 1:55 pm
da pikard44
eccomi mi rendo solo conto ora di quanto sono imbranato ma imparerò.
Ho eseguito quanto gentilmente consigliatomi in più ho fatto delle ricerche
che forse possono essere utili

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lrajsnad

*******************

Script file located at: \??\C:\Documents and Settings\mqirbacw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\sysnet32.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Infections Found adware 20/11/07 ore 12,22
Family Id Name Category TAI
725 Tracking Cookie DataMiner 3
[600000171] Browser: Internet Explorer Cookie: C:\Documents and Settings\Utente\Cookies\index.dat bs.serving-sys.com eyeblaster /
[600000408] Browser: Internet Explorer Cookie: C:\Documents and Settings\Utente\Cookies\index.dat serving-sys.com U /
[600000408] Browser: Internet Explorer Cookie: C:\Documents and Settings\Utente\Cookies\index.dat serving-sys.com A2 /

9999 MRU Object MRU Object 0
[1] MRU Path: C:\Documents and Settings\Utente\Recent Count: 11
[2] MRU Registry Key: S-1-5-21-796845957-2052111302-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603 Count: 3
[3] MRU Registry Key: S-1-5-21-796845957-2052111302-839522115-1004\Software\Microsoft\Internet Explorer\TypedURLs Count: 1

MessaggioInviato: mer nov 21, 2007 2:01 pm
da ste_95
è tutto a posto...o almeno sembra...posta un nuovo log di hijackthis...
come va? [^]

MessaggioInviato: mer nov 21, 2007 2:03 pm
da crazy.cat
Hai trovato altri file strani come ti avevamo detto?
Si e' ricreato il file sysnte32.exe?

Le altre cose che hai indicato te le ha trovate spyware doctor?
Erano forse quelle le cose che dicevi si rigeneravano?

MessaggioInviato: mer nov 21, 2007 4:28 pm
da pikard44
salve ragazzi non ho ancora dimistichezza nel postare...ecco hijackthis
le ultime due voci file missing sono regolari?
ho fatto ricerca del file sisnet 32 e mi dice che lo trova ancora nella cartella
Windows\ prefecht ma non so come fare a postare e se devo togliere tutto quanto da quella cartella

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.18.51, on 21/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\hijac\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/St ... b55579.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/in ... er_gmn.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZB ... b55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZP ... b55579.cab
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (ZPA_TexasHoldem Object) - http://zone.msn.com/bingame/zpagames/zp ... b55579.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v ... b55579.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/St ... b55579.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CFAC574-A163-430F-A07A-98D358452F77}: NameServer = 85.37.17.8 85.38.28.73
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SecWls - Unknown owner - \\?\C:\Programmi\File comuni\Services\com5.exe (file missing)
O23 - Service: SrvNfs - Unknown owner - \\?\C:\Programmi\File comuni\Services\lpt8.exe (file missing)

--
End of file - 5111 bytes

MessaggioInviato: mer nov 21, 2007 4:31 pm
da crazy.cat
pikard44 ha scritto:le ultime due voci file missing sono regolari?

sono dei rimasugli di un vecchio virus, ma se sei poco pratico nel metter mano al registro di configurazione e' meglio che li lasci stare.

Codice: Seleziona tutto
ho fatto ricerca del file sisnet 32 e mi dice che lo trova ancora nella cartella Windows\ prefecht ma non so come fare a postare e se devo togliere tutto quanto da quella cartella

quella cartella la puoi anche svuotare.

Non hai poi risposto su cosa si ricreava e se succede ancora.

MessaggioInviato: mer nov 21, 2007 4:48 pm
da pikard44
scusa crazy.cat ma nella fretta ho dimenticato di segnalarvi che al momento non si formano più comunque ora svuoto completamente? quella cartella e poi controllo meglio facendo delle scansioni.
Gli altri che mi chiedevi li ha rilevati Adaware
Grazie mille a te e ste_95 per la disponibilità e pazienza che avete

MessaggioInviato: mer nov 21, 2007 6:13 pm
da crazy.cat
svuota pure quella cartella, tanto quello che gli serve se li ricrea.
Con adware pulisci pure quei file, tanto sono solo dei cookie che si riformano ogni vota che navighi su un sito.

MessaggioInviato: mer nov 21, 2007 6:42 pm
da ste_95
bè, se è tutto a posto ti saluto!

[ciao]