MegaLab.it

Inviato: **sab gen 05, 2008 1:39 am**

Salve gente, ho un paio di virus che im impestano la macchina, mi serve un aiutino! Posto il log di hijackthis:

Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray .exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched .exe
C:\Programmi\HP\HP Software Update\HPWuSchd2 .exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\iTunes\iTunesHelper .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Opera\Opera.exe
C:\Documents and Settings\Marco\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2D5796A2-44E0-4E50-A5A0-80BF1EE3EA73} - C:\WINDOWS\system32\ljjijhi.dll
O2 - BHO: {8ae87f02-3c1e-179a-fe84-a510a3f1b274} - {472b1f3a-015a-48ef-a971-e1c320f78ea8} - C:\WINDOWS\system32\iaeukcgx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D44EB13D-C73B-47FC-9611-5B1BD04C89DE} - C:\WINDOWS\system32\mllji.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask .exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {42C559C0-2E84-11D5-A3C6-00010219529D} (siacapi-core-install) - https://www.inlineanet.it/INLINEANET/ib ... nstall.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8142414578
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8155614468
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E7C58D8-4E30-4909-9B56-1B4B0F770DA2}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{C18EF1CB-BD6C-4CCC-8805-8277E7C1912A}: NameServer = 85.37.17.4 85.38.28.70
O20 - Winlogon Notify: ljjijhi - C:\WINDOWS\SYSTEM32\ljjijhi.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe

Ho anche un altro problemino, sul task manager vedo lsass.exe che succhia un casino di risorse con percentuali che variano da un secondo all'altro, l'utilizzo della cpu è sempre sopra i 90 O_o. Grazie per l'aiuto!

Inviato: **sab gen 05, 2008 8:29 am**

Sei affetto da Vundo: Scarica VundoFix e fai uno scan.Poi dammi i risultati [^]

Inviato: **sab gen 05, 2008 8:46 am**

per il processo lsass.exe potrebbe essere il sasser o un processo di sistema. Dimmi se nel TaskManager il processo è System o Viene scritto Marco

Inviato: **sab gen 05, 2008 8:53 am**

BeGa ha scritto:Viene scritto Marco

Vi conoscete?

Dop la scansione con vundofix, rifai la scansione con hijackthis e selezioni le caselle di queste righe e poi premi fix checked per eliminarle.

O2 - BHO: (no name) - {2D5796A2-44E0-4E50-A5A0-80BF1EE3EA73} - C:\WINDOWS\system32\ljjijhi.dll
O2 - BHO: {8ae87f02-3c1e-179a-fe84-a510a3f1b274} - {472b1f3a-015a-48ef-a971-e1c320f78ea8} - C:\WINDOWS\system32\iaeukcgx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D44EB13D-C73B-47FC-9611-5B1BD04C89DE} - C:\WINDOWS\system32\mllji.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O20 - Winlogon Notify: ljjijhi - C:\WINDOWS\SYSTEM32\ljjijhi.dll

Inviato: **sab gen 05, 2008 9:32 am**

Non ci conosciamo crazy, parla .......il log [:D]

Stavo per dirlo anchio quelloche hai scritto dopo.....

Inviato: **sab gen 05, 2008 10:34 am**

BeGa ha scritto:Non ci conosciamo crazy, parla .......il log
Stavo per dirlo anchio quelloche hai scritto dopo.....

Infatti... gurda questa voce crazy. E' qui che c'è il nome:
C:\Documents and Settings\Marco\Desktop\HiJackThis_v2.exe

Inviato: **sab gen 05, 2008 12:10 pm**

Andy94 ha scritto:
BeGa ha scritto:Non ci conosciamo crazy, parla .......il log
Stavo per dirlo anchio quelloche hai scritto dopo.....

Infatti... gurda questa voce crazy. E' qui che c'è il nome:
C:\Documents and Settings\Marco\Desktop\HiJackThis_v2.exe

infatti....

Inviato: **sab gen 05, 2008 2:51 pm**

Intanto vi ringrazio per la tempestività delle risposte, siete sempre i migliori! [^]

Appena rientro stasera faccio tutta la procedura e poi vi posto i risultati. [:)]

Inviato: **sab gen 05, 2008 9:51 pm**

Allora BeGa, dal task manager il servizio lsass.exe appare come SYSTEM, lo scan con Vundofix invece mi segnala una 20ina di files .dll in system32 [cry]

ma non so come postarti lo scan, posso usare Remove vundo su quei file adesso?

Inviato: **dom gen 06, 2008 8:56 am**

kenny88 ha scritto:posso usare Remove vundo su quei file adesso?

Devi usare remove vundo.

Inviato: **dom gen 06, 2008 10:45 am**

kenny88 ha scritto:Allora BeGa, dal task manager il servizio lsass.exe appare come SYSTEM

Bene, come ti avevo detto, lsass.exe può essere sia un processo di sistema che un virus trojan. ora fai una ricerca da start cerca e scrivi lsass.exe perché sia virus che applicazone sono in c:\windows\system32. Poi metti il file su www.virustotal.com.

Inviato: **dom gen 06, 2008 6:15 pm**

Il sassero lo avevo preso un bel po' di tempo fa e lo avevo già debellato, questo exe che ho ora è quello giusto per fortuna, per il resto il pc è tornato alla sua normale velocità ma avast mi segnala spesso dei trojan [sh]

, al termine dell'operazione con vundofix il pc è stato rebootato con una configurazione ininiziale diagnostica e non con quella normale.
Adesso ho solo un piccolo dubbio dato che riportando le opzioni dello startup su normale probabilmente mi verrebbe caricato quel virus mlljii.exe che avevo trovato prima.....boh

Inviato: **dom gen 06, 2008 6:19 pm**

C'è un articolo in proposito:

http://www.MegaLab.it/2785

Inviato: **dom gen 06, 2008 6:46 pm**

Grazie anche a te ste [^]

dall'ultimo scan con vundofix non risultano ulteriori infezioni!

Inviato: **dom gen 06, 2008 6:52 pm**

ste_95 ha scritto:C'è un articolo in proposito:

http://www.MegaLab.it/2785

l'avevo scritto qualche post più in su....

MegaLab.it

Log di Hijackthis da fixare

Log di Hijackthis da fixare