Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Log HijackThis

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Messaggioda babyloon » gio mar 10, 2005 12:14 pm

Ciao, posto qui per non fare un'altro topic con lo stesso nome.
Suppongo che abbia un paio di aware (così mi hanno detto); ho fatto una scansione on.line sul sito della symantec e ne ha trovati 5:
Aware.CDT, Trojan.Flush.A, Trojan.Eman, SecurityRisk.Downldr, Aware.Vtlbar.
Ho fatto le scansioni con ad-aware aggiornato e con spybot aggiornato, trovano entrambi 6-7 file infetti, entrambi li mettono in quarantena ma nn li eliminano, ho fatto il log con hijackthis e lo metto qua sotto.
Il problema (oltre ai virus) è che ho fatto una piccola..ehm...zzata! Per installare l'antivirus avast ho disinstallato norton che era scaduto, solo che non si è disinstallato del tutto e ora all'avvio mi appare una schermata rossa. (per questo problema devo aprire un'altro tread?). Comunque....l'about:blanch non sono riuscita a toglierlo ne con spybot ne con ad-aware...


Logfile of HijackThis v1.97.7
Scan saved at 12.02.24, on 10/03/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\POWER95\VI_GRM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOHMR08.EXE
C:\WINDOWS\WEBSHOTS.SCR
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\WINDOWS\SYSTEM\HPZIPM12.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\AUDISSRP.EXE
C:\WINDOWS\SYSTEM\FIXMAPIRS.EXE
C:\PROGRAMMI\UTILITIES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {904B630E-F7FA-FB50-1FC4-B7038BC03670} - MsNetHelper.dll (file missing)
F1 - win.ini: load=C:\POWER95\vi_grm.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765723548} - C:\WINDOWS\SYSTEM\WER3548.DLL
O2 - BHO: (no name) - {636CE420-907E-11D9-9D2C-525400DA8B1B} - C:\WINDOWS\SYSTEM\MSMWZ.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {8981364A-9153-11D9-9D2C-5254A990E7AF} - C:\WINDOWS\SYSTEM\SFCMAN32.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\DOCNTROP.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [EXE32EXE] NSYSCPLSTR.exe
O4 - HKLM\..\Run: [ftbar] SAPSTR.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ashWebSv.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [new32] clamav.exe
O4 - HKCU\..\Run: [ms-its] progmen.exe
O4 - HKCU\..\Run: [Trayz] RtlFindVal.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Controllo in background.lnk = C:\ESM2\STMS.exe
O4 - Startup: hpoddt01.exe.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: hp psc 1000 series.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://it.f1.pg.photos.yahoo.com/ocx/us ... r1_9us.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna

Messaggioda Mr.TFM » gio mar 10, 2005 12:24 pm

Ho diviso io il post, meglio lasciarli separati...... [;)]
Ciao cara!
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda babyloon » gio mar 10, 2005 12:27 pm

Mr.TFM ha scritto:Ho diviso io il post, meglio lasciarli separati...... [;)]
Ciao cara!


Ciao Mr! ok non c'è problema.

Non mi tolgi dalle spine??? Cosa devo fare???? [cry]
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna


Messaggioda Mr.TFM » gio mar 10, 2005 12:48 pm

babyloon ha scritto:
Mr.TFM ha scritto:Ho diviso io il post, meglio lasciarli separati...... [;)]
Ciao cara!


Ciao Mr! ok non c'è problema.

Non mi tolgi dalle spine??? Cosa devo fare???? [cry]

Francamente mi sembra che ci siano un po' di cose che non vanno.... Però è meglio che ci dia un'occhiata Crazy cat

Ascolta, nel frattempo, scaricati un antivirus diverso che so Scangui o antivir e fai una scansione dalla modalità provvisoria....
Qualcosa dovrebbe saltar fuori...
Anche con adaware e spybot, fai la stessa cosa!
Qualcosa in più dovresti trovare e rimuovere.

Per hijack ripassa più tardi, vedrai che crazy cat avrà risposto...
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda crazy.cat » gio mar 10, 2005 1:11 pm

Per eliminare norton bisogna fare tutto a mano, non sò quale versione avevi.

Rimozione Norton 2003

Rimozione Norton 2004

Per il log dammi qualche minuto e ti rispondo
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda crazy.cat » gio mar 10, 2005 1:23 pm

Visto che hai win98, all'avvio del pc premi F8 ed esci al dos (Avvio al prompt dei comandi o una voce simile), vai nella cartella C:\WINDOWS\SYSTEM\ e cancelli il file SFCMAN32.DLL
Dopo riavii il pc e dalla modalità provvisoria cancelli con hijackthis tutte queste righe qui sotto

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\SFCMAN32.DLL/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {904B630E-F7FA-FB50-1FC4-B7038BC03670} - MsNetHelper.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765723548} - C:\WINDOWS\SYSTEM\WER3548.DLL
O2 - BHO: (no name) - {636CE420-907E-11D9-9D2C-525400DA8B1B} - C:\WINDOWS\SYSTEM\MSMWZ.DLL
O2 - BHO: (no name) - {8981364A-9153-11D9-9D2C-5254A990E7AF} - C:\WINDOWS\SYSTEM\SFCMAN32.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\DOCNTROP.DLL
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [EXE32EXE] NSYSCPLSTR.exe
O4 - HKLM\..\Run: [ftbar] SAPSTR.exe
O4 - HKCU\..\Run: [new32] clamav.exe
O4 - HKCU\..\Run: [ms-its] progmen.exe
O4 - HKCU\..\Run: [Trayz] RtlFindVal.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

Fai la scansione con questo programma
http://cwshredder.net/bin/CWShredder.exe
e poi cancelli anche tutti i file temporanei di internet.
Devi fare anche la scansione con scangui per ci sono troppi file sospetti.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda babyloon » ven mar 11, 2005 10:59 am

crazy.cat ha scritto:Visto che hai win98, all'avvio del pc premi F8 ed esci al dos (Avvio al prompt dei comandi o una voce simile), vai nella cartella C:\WINDOWS\SYSTEM\ e cancelli il file SFCMAN32.DLL
Dopo riavii il pc e dalla modalità provvisoria cancelli con hijackthis tutte queste righe qui sotto


Fai la scansione con questo programma
http://cwshredder.net/bin/CWShredder.exe
e poi cancelli anche tutti i file temporanei di internet.
Devi fare anche la scansione con scangui per ci sono troppi file sospetti.


Ok grazie crazy, ci provo ma ho un po' paura di fare danni!!!! poi vi faccio sapere
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna

Messaggioda babyloon » ven mar 11, 2005 1:15 pm

allora....sono andata cliccando f8 nel promt dei comandi, poi su C:\windows\system e il file sfcman.32.dll non c'era.
Allora ho fatto la scansione con scangui ed è questa

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4444 created Mar 10 2005
Scanning for 118657 viruses, trojans and variants.

03/11/2005 11:24:15

Options:
/AD /CLEAN /SUB /UNZIP /ALL /RPTCOR /RPTERR /REPORT C:\SCANGUI\SCAN.TXT

Scanning C: []
Scanning C:\*.*
C:\WINDOWS\SYSTEM\dosxpd.exe\dosxpd.exe ... Found the AdClicker-BW trojan !!!
The file has been deleted.
C:\WINDOWS\SYSTEM\dwcrnt.exe\00002c70.EXE ... Found the NTRootKit-H trojan !!!
The file has been deleted.
The archive has been deleted.
C:\WINDOWS\SYSTEM\diantzpt.exe\diantzpt.exe ... Found the SpoofDNS trojan !!!
The file has been deleted.
C:\WINDOWS\SYSTEM\mxbkup.exe\mxbkup.exe ... Found the SpoofDNS trojan !!!
The file has been deleted.
C:\WINDOWS\SYSTEM\ctbasxt.exe\00000e70.EXE\00000e70.EXE ... Found the StartPage-GQ trojan !!!
The file has been deleted.
The archive has been deleted.
C:\WINDOWS\SYSTEM\sfcman32.dll\sfcman32.dll ... Found the StartPage-GQ trojan !!!
The file has been deleted.
C:\WINDOWS\SYSTEM\sysobj.exe\00002c70.EXE ... Found the NTRootKit-H trojan !!!
The file has been deleted.
The archive has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 69986
Clean: ................. 69805
Possibly Infected: ..... 7
Cleaned: ............... 0
Deleted: ............... 7
Non-critical Error(s): 2
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning D: [BUFFER]
Scanning D:\*.*

Summary report on D:\*.*
File(s)
Total files: ........... 2074
Clean: ................. 2074
Possibly Infected: ..... 0
Cleaned: ............... 0
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 01:01.31


ho rifatto la scansione con hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 13.11.07, on 11/03/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\POWER95\VI_GRM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOHMR08.EXE
C:\WINDOWS\WEBSHOTS.SCR
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\WINDOWS\SYSTEM\HPZIPM12.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\UTILITIES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {904B630E-F7FA-FB50-1FC4-B7038BC03670} - MsNetHelper.dll (file missing)
F1 - win.ini: load=C:\POWER95\vi_grm.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765723548} - C:\WINDOWS\SYSTEM\WER3548.DLL
O2 - BHO: (no name) - {636CE420-907E-11D9-9D2C-525400DA8B1B} - C:\WINDOWS\SYSTEM\MSMWZ.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\DOCNTROP.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [EXE32EXE] NSYSCPLSTR.exe
O4 - HKLM\..\Run: [ftbar] SAPSTR.exe
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ashWebSv.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [new32] clamav.exe
O4 - HKCU\..\Run: [ms-its] progmen.exe
O4 - HKCU\..\Run: [Trayz] RtlFindVal.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Controllo in background.lnk = C:\ESM2\STMS.exe
O4 - Startup: hpoddt01.exe.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: hp psc 1000 series.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://it.f1.pg.photos.yahoo.com/ocx/us ... r1_9us.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna

Messaggioda crazy.cat » ven mar 11, 2005 6:39 pm

Scangui è riuscito a trovarlo
C:\WINDOWS\SYSTEM\sfcman32.dll\sfcman32.dll ... Found the StartPage-GQ trojan !!!
The file has been deleted.

Devi ancora togliere con hijackthis il resto delle voci che ti avevo suggerito.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda babyloon » ven mar 11, 2005 8:25 pm

crazy.cat ha scritto:Scangui è riuscito a trovarlo
C:\WINDOWS\SYSTEM\sfcman32.dll\sfcman32.dll ... Found the StartPage-GQ trojan !!!
The file has been deleted.

Devi ancora togliere con hijackthis il resto delle voci che ti avevo suggerito.


E come si eliminano i file con hijackthis?
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna

Messaggioda babyloon » ven mar 11, 2005 8:32 pm

crazy.cat ha scritto:Per eliminare norton bisogna fare tutto a mano, non sò quale versione avevi.

Rimozione Norton 2003

Rimozione Norton 2004

Per il log dammi qualche minuto e ti rispondo


A proposito....era norton 2002
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna

Messaggioda Rancid » ven mar 11, 2005 8:42 pm

Per eliminare le voci basta che le selezioni (spuntando il quadratino a lato) e clicchi su fix checked...per approfondimenti ti rimando all'articolo http://www.MegaLab.it/2286
Non è la mera fotografia che mi interessa. Quel che voglio è catturare quel minuto, parte della realtà.
The Medium Is The Messagge
Avatar utente
Rancid
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2417
Iscritto il: mar nov 25, 2003 1:58 pm
Località: Haunted City

Messaggioda babyloon » ven mar 11, 2005 8:58 pm

Rancid ha scritto:Per eliminare le voci basta che le selezioni (spuntando il quadratino a lato) e clicchi su fix checked...per approfondimenti ti rimando all'articolo http://www.MegaLab.it/2286


ok, grazie Rancid. Spero di aver risolto; vorrei chiedere un'ultima cosa e posto l'ultimo log x sapere se è tutto ok. Mi hanno detto che i trojan rilevano le password dai siti della cartella preferiti; siccome lì dentro ho il collegamento al sito della banca, mi devo preoccupare????Da quando ho visto che avevamo i virus nessuno ci è entrato...

Logfile of HijackThis v1.97.7
Scan saved at 20.50.58, on 11/03/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\POWER95\VI_GRM.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOHMR08.EXE
C:\WINDOWS\WEBSHOTS.SCR
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMMI\UTILITIES\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: load=C:\POWER95\vi_grm.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ashWebSv.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Controllo in background.lnk = C:\ESM2\STMS.exe
O4 - Startup: hpoddt01.exe.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: hp psc 1000 series.lnk = C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://it.f1.pg.photos.yahoo.com/ocx/us ... r1_9us.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.184.84,195.225.176.37

Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna

Messaggioda crazy.cat » sab mar 12, 2005 8:07 am

Il link per la rimozione del norton 2003 valgono anche per le versioni precedenti 2002 compresa.

Il log è pulito.

Non è detto che tutti i trojan leggano le password, gli exe misteriosi che avevi potevano essere collegati a qualsiasi virus.

Per sicurezza cambia la password di accesso alla banca, se è possibile è la cosa migliore.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda babyloon » sab mar 12, 2005 4:25 pm

grazie mille!!! [applauso]
Avatar utente
babyloon
Bronze Member
Bronze Member
 
Messaggi: 708
Iscritto il: sab ago 23, 2003 10:14 am
Località: Sardegna


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 13 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising