Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Controllo log hijackthis

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Controllo log hijackthis

Messaggioda Tybirius » gio ago 04, 2005 10:03 pm

E' estate ed è aria di pulizie [:-D] mi sapreste dire cosa c'è di sopspetto in questo log?

Logfile of HijackThis v1.99.1
Scan saved at 22.59.34, on 04/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\Miei_documenti\Sygate personal firewall\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
C:\WINDOWS\system\driver\csrss.exe
C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Swat It v2.1\SwatIt.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Symantec\LiveUpdate\AUpdate.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Miei_documenti\WinRAR\WinRAR.exe
C:\DOCUME~1\INGEGN~1\IMPOST~1\Temp\Rar$EX00.828\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ramdijcsaekeiqvlmelqwfpxc.ne ... _swzP.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uxjafkxejppaulssk.com/plqBlm ... wr_CgM.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {49BEF0B7-8E7E-6242-85AD-A368110D007C} - C:\DOCUME~1\INGEGN~1\DATIAP~1\MPEGGP~1\AUDIO MEMO.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SafeGuard Protect PCShield - {564FFB73-9EEF-4969-92FA-5FC4A92E2C2A} - C:\WINDOWS\System32\KDP34f8.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SwatIt] C:\Programmi\Swat It v2.1\SwatIt.exe /tray
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\KDP34f8.dll"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [Load cool axis wma] C:\Documents and Settings\All Users\Dati applicazioni\Vc Meet Load Cool\Ping Dash.exe
O4 - HKLM\..\Run: [SmcService] C:\MIEI_D~1\SYGATE~1\smc.exe -startgui
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\KDP34f8.dll"
O4 - HKCU\..\Run: [obj plus] C:\DOCUME~1\INGEGN~1\DATIAP~1\FORAXI~1\CITY TEST MOVE.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk.disabled
O8 - Extra context menu item: &AIM Search - res://C:\Programmi\AIM Toolbar\AIMBar.dll/aimsearch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\FRONTP~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programmi\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.buyatlancia.com/components/o ... reauto.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Ba ... b31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A938C7FD-60AF-4894-857C-F164526A8676}: NameServer = 85.37.17.17 151.99.125.1
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programmi\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Miei_documenti\Sygate personal firewall\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
Esistono più cose in cielo che in Terra, Orazio,
che non sogni la tua filosofia.
Avatar utente
Tybirius
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: ven gen 07, 2005 6:25 pm
Località: Hell

Messaggioda crazy.cat » ven ago 05, 2005 6:43 am

Sicuramente da eliminare
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ramdijcsaekeiqvlmelqwfpxc.ne ... _swzP.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uxjafkxejppaulssk.com/plqBlm ... wr_CgM.php
O2 - BHO: SafeGuard Protect PCShield - {564FFB73-9EEF-4969-92FA-5FC4A92E2C2A} - C:\WINDOWS\System32\KDP34f8.dll
O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\KDP34f8.dll"
O4 - HKLM\..\Run: [Load cool axis wma] C:\Documents and Settings\All Users\Dati applicazioni\Vc Meet Load Cool\Ping Dash.exe
O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\KDP34f8.dll"
O4 - HKCU\..\Run: [obj plus] C:\DOCUME~1\INGEGN~1\DATIAP~1\FORAXI~1\CITY TEST MOVE.exe
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk.disabled
O8 - Extra context menu item: &AIM Search - res://C:\Programmi\AIM Toolbar\AIMBar.dll/aimsearch.htm
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programmi\AWS\WeatherBug\Weather.exe (file missing) (HKCU)

Questi sono molto sospetti, sono in una cartella sbagliata, controlla quanti di questi file hai sul tuo pc
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe

Questo lo riconosci come programma???
O2 - BHO: (no name) - {49BEF0B7-8E7E-6242-85AD-A368110D007C} - C:\DOCUME~1\INGEGN~1\DATIAP~1\MPEGGP~1\AUDIO MEMO.exe
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Tybirius » ven ago 05, 2005 8:58 am

crazy.cat ha scritto:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ramdijcsaekeiqvlmelqwfpxc.ne ... _swzP.html
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe

Queste due voci sono ricomparse dopo il riavvio. Cosa fare? [sbigot]
Esistono più cose in cielo che in Terra, Orazio,
che non sogni la tua filosofia.
Avatar utente
Tybirius
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: ven gen 07, 2005 6:25 pm
Località: Hell


Messaggioda crazy.cat » ven ago 05, 2005 10:46 am

Prova a caricare il file ntuser.exe su questo sito
http://www.virustotal.com/flash/index_en.html
e vediamo se si tratta di un virus.

Gli altri che avevo detto sospetti, cosa gli hai fatto?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Tybirius » ven ago 05, 2005 11:19 am

crazy.cat ha scritto:Prova a caricare il file ntuser.exe su questo sito
http://www.virustotal.com/flash/index_en.html
e vediamo se si tratta di un virus.

Gli altri che avevo detto sospetti, cosa gli hai fatto?

Il file ntuser.exe non lo trovo quindi non lo posso caricare sul sito [cry] .
Gli altri file che avevi detto sospetti li ho eliminati. Comunque ho eliminato anche audio memo.exe che non mi risulta sia un mio programma.
Grazie dell'aiuto crazy [applauso]
Esistono più cose in cielo che in Terra, Orazio,
che non sogni la tua filosofia.
Avatar utente
Tybirius
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: ven gen 07, 2005 6:25 pm
Località: Hell

Messaggioda crazy.cat » ven ago 05, 2005 11:24 am

Se ti ricompare quell'indirizzo strano è allora meglio che ti fai una scansione con Spybot-Adware o microsoft antispyware e pulisci gli eventuali spyware nascosti.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Tybirius » ven ago 05, 2005 4:40 pm

Ho fatto la scansione con Spybot e ha trovato tre file che ho eliminato, ora vediamo come va al prossimo riavvio [8D]
Esistono più cose in cielo che in Terra, Orazio,
che non sogni la tua filosofia.
Avatar utente
Tybirius
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: ven gen 07, 2005 6:25 pm
Località: Hell

Messaggioda Tybirius » sab ago 06, 2005 7:15 pm

I due file sono ricomparsi.... soluzioni?? [fischio]
Esistono più cose in cielo che in Terra, Orazio,
che non sogni la tua filosofia.
Avatar utente
Tybirius
Neo Iscritto
Neo Iscritto
 
Messaggi: 24
Iscritto il: ven gen 07, 2005 6:25 pm
Località: Hell

Messaggioda crazy.cat » dom ago 07, 2005 7:28 am

C'è qualche cosa di nascosto che li ricrea, un controllo con questo
http://www.MegaLab.it/2333
e uno con spysweeper aggiornato.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 17 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising