MegaLab.it

Tempo fa ho provato ad usare questo sito per analizzare in maniera automatica il mio log ...

Il fatto è che mi ha lasciato abbastanza dubbioso sui risultati.

Qui c'è il mio log e in rosso ho segnato le voci che quel sito mi consiglia di togliere (voci che oltretutto ritornano al successivo scan)

Logfile of HijackThis v1.98.2
Scan saved at 1.00.12, on 29/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\crypserv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\MemTurbo\MemTurbo.exe
C:\WINNT\webshots.scr
C:\WINNT\explorer.exe
C:\Programmi\Mozilla\Firefox\firefox.exe
C:\Programmi\Gaim\gaim.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\Serv-U\ServUDaemon.exe
D:\Utility - live!\Pulizia\HijackThis\HijackThis.exe
C:\Programmi\Ahead\ImgTool Burn\ImgTool.exe
C:\PROGRA~1\Ahead\Nero\SELFDEL.EXE
C:\PROGRA~1\Ahead\Nero\SELFDEL.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wintricks.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wintricks.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Clone\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programmi\Clone\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINNT\system32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [STARTRIGHT] "C:\Programmi\StartRight\StartRight.exe" -go
O4 - HKLM\..\RunOnce: [STARTRIGHT] "C:\Programmi\StartRight\StartRight.exe" -pre
O4 - HKLM\..\RunOnce: [defrag] "VoptXP.exe"
O4 - Startup: MemTurbo.lnk = C:\Programmi\MemTurbo\MemTurbo.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BDDE9B3-6708-4ED2-B78E-C6D4EABF7814}: NameServer = 195.31.96.214 151.99.125.1


Il punto è che:

- sono voci VUOTE
- se le cancello ritornano

Grazie mille!!!

Per il momento ti dò la traduzione in italiano delle spiegazioni che forniscono sul sito di hijackthis. Dopo provo a cercare meglio.

O13 - IE DefaultPrefix hijack

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

La presenza di queste righe è sempre di cattivo segno; E' necessario correggere il problema.

Ma perché nn ce lo facciamo noi uno "scanner" automatico del log?
con l'esperienza di Crazy si potrebbe fare un file di testo con le chiavi che di solito creano problemi, ed io potrei fare un programmino che segnala la loro presenza nel log di hijack; poi eventualmente un comando x eliminarle in automatico dal registry... il limite è il tempo; in questa periodo nn ne ho molto

L'idea è anche carina, ma troppo difficile da farsi.
Il problema è che moltissime voci cambiano sempre, il virus che da il problema about:blank, che ha colpito tanti qui nel forum, crea una dll con nome diverso ogni volta che tenti di eliminarlo.
Stessa cosa per i virus che creano degli exe con nomi di fantasia.
Un analisi affidabile al 100 % non la offre neanche quel sito.
Una raccolta delle infezioni più comuni la devo fare appena trovo del tempo, cosa che non ho neppure io in questo periodo.

Un giro di pulizia con CWShredder dalla modalità provvisoria.

Un occhiata a questa pagina
http://www.kephyr.com/spywarescanner/li ... efix.phtml

E anche se usi mozilla prova a reinstallare ie6.

Sei il primo che vedo nel forum ad avere questo problema e anche cercando in giro c'è sempre un indirizzo collegato dove vengono reindirizzate le pagine, quasi mai è bianco.

Vediamo come và a finire.

crazy.cat ha scritto:Un giro di pulizia con CWShredder dalla modalità provvisoria.

Fatto, non ha rilevato ne tolto niente.

crazy.cat ha scritto:Un occhiata a questa pagina
http://www.kephyr.com/spywarescanner/li ... efix.phtml

Qui la cosa si fa strana ... la chiave a cui mi dicono di andare non esiste.

Dici che la devo creare io?

crazy.cat ha scritto:E anche se usi mozilla prova a reinstallare ie6.

Ora ho poco tempo, provo a correggere, nel caso vada male stasera reinstallo.

crazy.cat ha scritto:Sei il primo che vedo nel forum ad avere questo problema e anche cercando in giro c'è sempre un indirizzo collegato dove vengono reindirizzate le pagine, quasi mai è bianco.

Vediamo come và a finire.

Spriamo bene!

Grazie!

correggendo l'installazione non si risolve niente ... stasera proverò a reinstallare. (a meno che prima non arrivi un'idea folgorante)

EntropheaR ha scritto:Dici che la devo creare io?

Alla fine ho creato la chiave ... ho fatto partire HijackThis e ho tolto i valori ... alla scansione dopo non c'erano più.

Ecco il mio log, dici che è pulito?

Logfile of HijackThis v1.98.2
Scan saved at 16.01.33, on 29/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\crypserv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\MemTurbo\MemTurbo.exe
C:\WINNT\webshots.scr
C:\Programmi\Gaim\gaim.exe
C:\Programmi\Mozilla\Firefox\firefox.exe
D:\Utility - live!\Pulizia\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wintricks.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unige.it:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Clone\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programmi\Clone\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINNT\system32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [STARTRIGHT] "C:\Programmi\StartRight\StartRight.exe" -go
O4 - HKLM\..\RunOnce: [STARTRIGHT] "C:\Programmi\StartRight\StartRight.exe" -pre
O4 - Startup: MemTurbo.lnk = C:\Programmi\MemTurbo\MemTurbo.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BDDE9B3-6708-4ED2-B78E-C6D4EABF7814}: NameServer = 195.31.96.214 151.99.125.1

Si è pulito, ci ricorderemo di questa discussione se dovesse ripresentarsi un problema simile.

Stai scrivendo dall'università di Genova?

crazy.cat ha scritto:Si è pulito, ci ricorderemo di questa discussione se dovesse ripresentarsi un problema simile.

Stai scrivendo dall'università di Genova?

No, da casa, come mai?

Se guardi è apparsa questa voce frà i due log

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unige.it:8080

unige.it pensavo fosse università di genova

crazy.cat ha scritto:Se guardi è apparsa questa voce frà i due log

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unige.it:8080

unige.it pensavo fosse università di genova

Lo è lo è, tempo fa ho usato un loro proxy che poi ho disabilitato ma forse sono rimasti i settaggi.

Ora dovrebbe essere del tuto pulito oppure ci sono altre voci sospette?

Logfile of HijackThis v1.98.2
Scan saved at 22.02.13, on 30/09/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\crypserv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
C:\Programmi\AVPersonal\AVGNT.EXE
C:\Programmi\MemTurbo\MemTurbo.exe
C:\WINNT\webshots.scr
C:\Programmi\Mozilla\Firefox\firefox.exe
C:\Programmi\Ahead\ImgTool Burn\ImgTool.exe
C:\PROGRA~1\Ahead\Nero\SELFDEL.EXE
C:\PROGRA~1\Ahead\Nero\SELFDEL.EXE
C:\Programmi\Gaim\gaim.exe
C:\Programmi\Mozilla\Thunderbird\thunderbird.exe
C:\Programmi\Skype\Phone\Skype.exe
D:\Utility - live!\Pulizia\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wintricks.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Clone\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programmi\Clone\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINNT\system32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [STARTRIGHT] "C:\Programmi\StartRight\StartRight.exe" -go
O4 - HKLM\..\RunOnce: [STARTRIGHT] "C:\Programmi\StartRight\StartRight.exe" -pre
O4 - Startup: MemTurbo.lnk = C:\Programmi\MemTurbo\MemTurbo.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BDDE9B3-6708-4ED2-B78E-C6D4EABF7814}: NameServer = 195.31.96.214 151.99.125.1

Sei a posto.

crazy.cat ha scritto:Sei a posto.

Grazie mille!