Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Controllo risultato scansione log hijackthis

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Controllo risultato scansione log hijackthis

Messaggioda Anton64 » mer ago 24, 2005 12:38 pm

Salve sono Antonio ho un problema con il PC sto cercando di dare una ripulita ma ogni volta che l'accendo si apre una pagina non desiderata di internet.Vi mando il risultato della scanzione per avere un consiglio su cosa eliminare...grazie.

PS. ho cercato altri casi a cui avete dato una risposta ed ho cercato di farmi una cultura.Ho pure scaricato dei programmi che voi consigliate tipo antivurus da cd e lo installerò al più presto.
Logfile of HijackThis v1.99.1
Scan saved at 10:37:26, on 24.08.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\PROGRAMMI\PERSONAL COMMUNICATIONS\PCS_AGNT.EXE
C:\WINNT40\system32\pcssfrrx.exe
C:\WINNT40\Explorer.EXE
C:\WINNT40\system32\syshelp.exe
D:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Personal Communications\pcsws.exe
C:\Programmi\Personal Communications\PCSCM.EXE
C:\Programmi\ElsaWin\bin\ElsaWin.exe
C:\Programmi\Personal Communications\pcsws.exe
C:\Programmi\Personal Communications\pcsws.exe
C:\PROGRA~1\MICROS~1\Office\OUTLOOK.EXE
C:\WINNT40\msagent\AgentSvr.exe
D:\Programmi\HijackThis v.1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINNT40\system32\userinit.exe,pcssfrrx.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0A16FBAB-C36B-11D8-BA34-0002E8DC2E66} - C:\WINNT40\madopew.dll (file missing)
O2 - BHO: CPubSR Object - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - c:\winnt40\sr.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT40\System32\msdxm.ocx
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT40\System32\runonce.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Service Host] C:\WINNT40\system32\Services\{F080A6B6-14DE-4159-AF66-7871DC109F87}\SVCHOST.EXE
O4 - HKLM\..\Run: [atipatxx] C:\WINNT40\system32\atipatxx.exe
O4 - HKLM\..\Run: [vmtuner] gclib.exe
O4 - HKLM\..\Run: [Systems] C:\WINNT40\system32\syshelp.exe
O4 - HKLM\..\RunServices: [atipatxx] C:\WINNT40\system32\atipatxx.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ET_Start.lnk = D:\ET_PROG\etka.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = w32x86\2\E_SRCV03.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT40\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT40\web\related.htm
O13 - WWW. Prefix: http://
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: http://petra.agi.cpn.vwg
O15 - Trusted Zone: http://portal.agi.cpn.vwg
O15 - Trusted Zone: *.cpn.vwg
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003 ... scan53.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/onec ... iscali.cab
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - C:\Programmi\ElsaWin\bin\wiprot.dll
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT40\httpfilter.dll
O18 - Filter: text/plain - {70E801A6-C39A-11D8-BA38-00023FFA3EC2} - C:\WINNT40\madopew.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT40\System32\dmadmin.exe
O23 - Service: EAufServ - Unknown owner - \\ITA000071A\et_prog\EAufServ.exe (file missing)
O23 - Service: LocalSystem (ldlcserv) - Unknown owner - C:\WINNT40\System32\drivers\ldlcserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT40\system32\LEXBCES.EXE
O23 - Service: PipeCmd Service (PipeCmdSrv) - Unknown owner - C:\WINNT40\system32\PipeCmdSrv.exe (file missing)
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINNT40\system32\scagent.exe" start (file missing)
O23 - Service: TrcBoot - Unknown owner - C:\WINNT40\System32\drivers\trcboot.exe

NB questi programmi li uso per il lavoro:
ElsaWin.exe
petra.agi.cpn.vwg
portal.agi.cpn.vwg
Avatar utente
Anton64
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ago 24, 2005 9:28 am

Messaggioda crazy.cat » mer ago 24, 2005 1:17 pm

Non hai un antivirus installato?

Una scansione con questo sw
http://www.trendmicro.com/ftp/products/ ... redder.exe
e un controllo anche con questo dalla modalità provvisoria
http://www.MegaLab.it/2333
Credo che hai anche questo problema, bisogna capire sul tuo pc quale è il file exe che fa il dialer vero e proprio, credo che

sia il primo dei 04 perché gli altri due sono dei trojan conosciuti
http://www.MegaLab.it/2454

Cancella le righe indicate qui sotto
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0A16FBAB-C36B-11D8-BA34-0002E8DC2E66} - C:\WINNT40\madopew.dll (file missing)
O2 - BHO: CPubSR Object - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - c:\winnt40\sr.dll (file missing)
O4 - HKLM\..\Run: [Service Host] C:\WINNT40\system32\Services\{F080A6B6-14DE-4159-AF66-7871DC109F87}\SVCHOST.EXE
O4 - HKLM\..\Run: [vmtuner] gclib.exe
O4 - HKLM\..\Run: [Systems] C:\WINNT40\system32\syshelp.exe
O13 - WWW. Prefix: http://
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - http://www.180searchassistant.com/180saax.cab
O18 - Filter: text/plain - {70E801A6-C39A-11D8-BA38-00023FFA3EC2} - C:\WINNT40\madopew.dll
O23 - Service: EAufServ - Unknown owner - \\ITA000071A\et_prog\EAufServ.exe (file missing)
O23 - Service: PipeCmd Service (PipeCmdSrv) - Unknown owner - C:\WINNT40\system32\PipeCmdSrv.exe (file missing)
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINNT40\system32\scagent.exe" start (file missing)

Benvenuto nel forum e buona pulizia.
Ultima modifica di crazy.cat il mer ago 24, 2005 4:19 pm, modificato 1 volta in totale.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Controllo risultato scanzione log hijackthis

Messaggioda Anton64 » mer ago 24, 2005 3:30 pm

Grazie per il benvento nel forum e grazie per la celere risposta..
si ho installato Antivir Ver.6
sul Pc era già installato Panda antivurus ma mi diceva il precedente utilizzatore del pc che non funzionava più e lo ha disinstallato.
Ho fatto la prima delle due scanzioni che mi hai chiesto ecco il report:

**** Run Keys ****

RUN: [PROMon.exe] PROMon.exe
RUN: [mdac_runonce] C:\WINNT40\System32\runonce.exe
RUN: [Synchronization Manager] mobsync.exe /logon
RUN: [Service Host] C:\WINNT40\system32\Services\{F080A6B6-14DE-4159-AF66-7871DC109F87}\SVCHOST.EXE
RUN: [atipatxx] C:\WINNT40\system32\atipatxx.exe
RUN: [vmtuner] gclib.exe
RUN: [Systems] C:\WINNT40\system32\syshelp.exe


**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
BHO: [AcroIEHlprObj Class] C:\WINNT40\madopew.dll
BHO: [CPubSR Object] c:\winnt40\sr.dll


**** IE Toolbars ****

TOOLBAR: [&Radio] C:\WINNT40\System32\msdxm.ocx


**** IE Extensions ****

IEExt: [@shdoclc.dll,-866]


**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost


**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Local Page: C:\WINNT40\system32\blank.htm
Search Bar: http://search.tiscali.it/
Search Page: http://search.tiscali.it/


**** IE Context Menu (Right click) ****



**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{EDD2EFB4-A1ED-4501-9FD3-9C68B1458400}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{EDD2EFB4-A1ED-4501-9FD3-9C68B1458400}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{366003AF-E861-406F-9048-9E12D99925E6}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{366003AF-E861-406F-9048-9E12D99925E6}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E686F3F8-F8CF-4D02-B266-D428C8E9B809}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{E686F3F8-F8CF-4D02-B266-D428C8E9B809}] DATAGRAM 2


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

DirectAnimation Java Classes [file://C:\WINNT40\Java\classes\dajava.cab]
Microsoft XML Parser for Java [file://C:\WINNT40\Java\classes\xmldso.cab]
{17492023-C23A-453E-A040-C7C580BBF700} [http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409] C:\WINNT40\system32\GWFSPidGen.DLL C:\WINNT40\system32\LegitCheckControl.DLL
{31564D57-0000-0010-8000-00AA00389B71} [http://codecs.microsoft.com/codecs/i386/wmvax.cab]
{32564D57-0000-0010-8000-00AA00389B71} [http://codecs.microsoft.com/codecs/i386/wmv8ax.cab]
{597C45C2-2D39-11D5-8D53-0050048383FE} [http://office.microsoft.com/productupdates/content/opuc.cab]
{5B27C20D-FFB6-4054-BA78-DE4A059BC75A} [http://office.microsoft.com/italy/templategallery/msotd.cab]
{74D05D43-3236-11D4-BDCD-00C04F9A3B61} [http://a840.g.akamai.net/7/840/537/2003050501/housecall.antivirus.com/housecall/xscan53.cab] C:\WINNT40\loadhttp.dll C:\WINNT40\aucfg.ini C:\WINNT40\tmupdate.ini C:\WINNT40\runtsckl.exe C:\WINNT40\patchw32.dll C:\WINNT40\Downloaded Program Files\xscan53.ocx
{8EC18CE2-D7B4-11D2-88C8-006008A717FD} [http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab]
{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} [http://fpdownload.macromedia.com/get/shockwave/cabs/flash/ultrashim.cab]
{99410CDE-6F16-42ce-9D49-3807F78F0287} [http://www.180searchassistant.com/180saax.cab]
{9A9307A0-7DA4-4DAF-B042-5009F29E09E1} [http://www.pandasoftware.com/activescan/as/asinst.cab]
{9F1C11AA-197B-4942-BA54-47A8489BB47F} [http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38246.1302777778]
{CEBC955E-58AF-11D2-A30A-00A0C903492B} [http://windowsupdate.microsoft.com/R1150/V31Controls/x86/nt4/it/actsetup.cab]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]
{F5BC716E-2650-4B08-9235-C110CF95017F} [http://selfcare.tiscali.it/scripts/oneclick/ConnessioneTiscali.cab]


**** Windows Services ****

[Alerter] %SystemRoot%\System32\services.exe
[AntiVirService] "D:\Programmi\AVPersonal\AVGUARD.EXE"
[AppMgmt] %SystemRoot%\system32\services.exe
[AVWUpSrv] "D:\Programmi\AVPersonal\AVWUPSRV.EXE"
[BITS] %SystemRoot%\System32\svchost.exe -k BITSgroup
[Browser] %SystemRoot%\System32\services.exe
[cisvc] C:\WINNT40\System32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[Dhcp] %SystemRoot%\System32\services.exe
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\services.exe
[Dnscache] %SystemRoot%\System32\services.exe
[EAufServ] \\ITA000071A\et_prog\EAufServ.exe
[EventLog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINNT40\System32\svchost.exe -k netsvcs
[Fax] %systemroot%\system32\faxsvc.exe
[LanmanServer] %SystemRoot%\System32\services.exe
[LanmanWorkstation] %SystemRoot%\System32\services.exe
[ldlcserv] %systemroot%\System32\drivers\ldlcserv.exe
[LexBceS] C:\WINNT40\system32\LEXBCES.EXE
[LmHosts] %SystemRoot%\System32\services.exe
[Messenger] %SystemRoot%\System32\services.exe
[mnmsrvc] C:\WINNT40\System32\mnmsrvc.exe
[MSDTC] C:\WINNT40\System32\msdtc.exe
[MSIServer] C:\WINNT40\System32\MsiExec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe -k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\System32\svchost.exe -k netsvcs
[PipeCmdSrv] %SystemRoot%\system32\PipeCmdSrv.exe
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\services.exe
[RasAuto] %SystemRoot%\System32\svchost.exe -k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe -k netsvcs
[RemoteAccess] %SystemRoot%\System32\svchost.exe -k netsvcs
[RemoteRegistry] %SystemRoot%\system32\regsvc.exe
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost -k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe -s
[SamSs] %SystemRoot%\system32\lsass.exe
[scagent] "C:\WINNT40\system32\scagent.exe" start
[SCardDrv] %SystemRoot%\System32\SCardSvr.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\system32\MSTask.exe
[seclogon] %SystemRoot%\system32\services.exe
[SENS] %SystemRoot%\system32\svchost.exe -k netsvcs
[SOFF] %SystemRoot%\System32\soff.exe
[Spooler] %SystemRoot%\system32\spoolsv.exe
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe -k netsvcs
[TlntSvr] %SystemRoot%\system32\tlntsvr.exe
[TrcBoot] %SystemRoot%\System32\drivers\trcboot.exe
[TrkWks] %SystemRoot%\system32\services.exe
[UPS] %SystemRoot%\System32\ups.exe
[UtilMan] %SystemRoot%\System32\UtilMan.exe
[W32Time] %SystemRoot%\System32\services.exe
[WinMgmt] %SystemRoot%\System32\WBEM\WinMgmt.exe
[Wmi] %SystemRoot%\system32\Services.exe
[wuauserv] %systemroot%\system32\svchost.exe -k wugroup


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] file://C:\TEMP\sp.html
SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm


**** Complete IE Options ****

IEOPT: [Check_Associations] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_FullURL] no
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Display Inline Images] yes
IEOPT: [Anchor Underline] yes
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Start Page] http://portal.agi.cpn.vwg/
IEOPT: [Search Page] http://search.tiscali.it/
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Local Page] C:\WINNT40\system32\blank.htm
IEOPT: [Do404Search]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [LastCheckedHi]
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] yes
IEOPT: [Use FormSuggest] no
IEOPT: [HOMEOldSP] about:blank
IEOPT: [AddToFavoritesExpanded]
IEOPT: [Error Dlg Displayed On Every Error] no
IEOPT: [Use Search Asst] no
IEOPT: [FormSuggest Passwords] yes
IEOPT: [FormSuggest PW Ask] yes
IEOPT: [Q261272] yes
IEOPT: [AutoSearch]
IEOPT: [Save Directory] D:\AB\Pr\Vari\Manuali\
IEOPT: [Search Bar] http://search.tiscali.it/
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [History_Directory] C:\Programmi\Plus!\Microsoft Internet\cronologia
IEOPT: [History_Num_Places] ,
IEOPT: [Cache_Directory] C:\Programmi\Plus!\Microsoft Internet\cache
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [History_Expire_Days]
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dl ... r=iesearch
IEOPT: [Wizard_Version] 6.00.2800.1106
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dl ... r=iesearch
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
IEOPT: [FullScreen] no
IEOPT: [AutoRefreshLocalPages] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [HOMEOldSP] about:blank
IEOPT: [Search Bar] file://C:\TEMP\sp.html
IEOPT: [Use Search Asst] no
IEOPT: [Use Custom Search URL]
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm

è stato trovato CWS Hidden dll
cosa devo fare? posso cancellare tutti questi che mi hai indicato?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.skymasters.biz?2015
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0A16FBAB-C36B-11D8-BA34-0002E8DC2E66} - C:\WINNT40\madopew.dll (file missing)
O2 - BHO: CPubSR Object - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - c:\winnt40\sr.dll (file missing)
O4 - HKLM\..\Run: [Service Host] C:\WINNT40\system32\Services\{F080A6B6-14DE-4159-AF66-7871DC109F87}\SVCHOST.EXE
O4 - HKLM\..\Run: [vmtuner] gclib.exe
O4 - HKLM\..\Run: [Systems] C:\WINNT40\system32\syshelp.exe
O13 - WWW. Prefix: http://
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} - http://www.180searchassistant.com/180saax.cab
O18 - Filter: text/plain - {70E801A6-C39A-11D8-BA38-00023FFA3EC2} - C:\WINNT40\madopew.dll
O23 - Service: EAufServ - Unknown owner - \\ITA000071A\et_prog\EAufServ.exe (file missing)
O23 - Service: PipeCmd Service (PipeCmdSrv) - Unknown owner - C:\WINNT40\system32\PipeCmdSrv.exe (file missing)
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINNT40\system32\scagent.exe" start (file missing)

Nel frattempo mi sto organizzando per scangui così come mi hai suggerito..grazie...

Ho letto l'articolo 690 e mi sembra che sia proprio il mio caso solo che il mio pc usa windows 2000 professional sono valide le istruzioni di quell'articolo?

Attendo ulteriori informazioni, grazie.
Avatar utente
Anton64
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ago 24, 2005 9:28 am


Messaggioda crazy.cat » mer ago 24, 2005 4:22 pm

Mi ero dimenticato di scriverlo, devi cancellare le righe che ti ho indicato.

L'articolo 690 va bene anche per windows 2000.
Hai anche le icone sul desktop?
se ci sono controlla a quale file exe vanno a puntare ed eliminalo, al limite dalla modalità provvisoria.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Controllo risultato scansione log hijackthis

Messaggioda Anton64 » gio ago 25, 2005 8:24 am

Buongiorno a tutti...ho cancellato le righe segnalatemi da crazy.cat e ho rifatto la scanzione questo è il nuovo file log

Logfile of HijackThis v1.99.1
Scan saved at 08:53:12, on 25.08.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\PROGRAMMI\PERSONAL COMMUNICATIONS\PCS_AGNT.EXE
C:\WINNT40\system32\pcssfrrx.exe
C:\WINNT40\Explorer.EXE
D:\Programmi\WinZip\WZQKPICK.EXE
C:\WINNT40\system32\ntvdm.exe
D:\Programmi\HijackThis v.1.99.1\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINNT40\system32\userinit.exe,pcssfrrx.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT40\System32\msdxm.ocx
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT40\System32\runonce.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [atipatxx] C:\WINNT40\system32\atipatxx.exe
O4 - HKLM\..\RunServices: [atipatxx] C:\WINNT40\system32\atipatxx.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ET_Start.lnk = D:\ET_PROG\etka.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = w32x86\2\E_SRCV03.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT40\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT40\web\related.htm
O15 - Trusted Zone: http://petra.agi.cpn.vwg
O15 - Trusted Zone: http://portal.agi.cpn.vwg
O15 - Trusted Zone: *.cpn.vwg
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003 ... scan53.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/onec ... iscali.cab
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - C:\Programmi\ElsaWin\bin\wiprot.dll
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT40\httpfilter.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT40\System32\dmadmin.exe
O23 - Service: EAufServ - Unknown owner - \\ITA000071A\et_prog\EAufServ.exe (file missing)
O23 - Service: LocalSystem (ldlcserv) - Unknown owner - C:\WINNT40\System32\drivers\ldlcserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT40\system32\LEXBCES.EXE
O23 - Service: PipeCmd Service (PipeCmdSrv) - Unknown owner - C:\WINNT40\system32\PipeCmdSrv.exe (file missing)
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINNT40\system32\scagent.exe" start (file missing)
O23 - Service: TrcBoot - Unknown owner - C:\WINNT40\System32\drivers\trcboot.exe

Dopo aver riavviato si è creata solo l'icona exsplorer sul deasktop e non più le altre mentre la pagina iniziale è rimasta blanck mentre tutte le mie icone sul desck top sono state raggruppate tutte a sinistra.

Ho creato anche il CD di boot ma non riesco a farlo girare, premo ctrl+s all'avvio per andare nel setup a cambiare il primo dispositivo di boot ma non ci riesco

Per quanto riguarda il CWS Hidden dll cosa devo fare?

Si..ho anche le icone sul desktop ho seguito il percorso ma non c'è nessun file exe!!!
Avatar utente
Anton64
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ago 24, 2005 9:28 am

Re: Controllo risultato scansione log hijackthis

Messaggioda crazy.cat » gio ago 25, 2005 8:54 am

Codice: Seleziona tutto
la pagina iniziale è rimasta blanck

Se la vai a cambiare nelle impostazioni di internet, puoi farla e rimane poi quella che hai cambiato?

Codice: Seleziona tutto
Ho creato anche il CD di boot ma non riesco a farlo girare, premo ctrl+s all'avvio per andare nel setup a cambiare il primo dispositivo di boot ma non ci riesco

Quale cd di boot? Scangui lo puoi fare dalla modalità provvisoria di windows.

Codice: Seleziona tutto
Per quanto riguarda il CWS Hidden dll cosa devo fare?

Lascia che il programma lo cancelli, non devi fare lo Scan only.

Codice: Seleziona tutto
Si..ho anche le icone sul desktop ho seguito il percorso ma non c'è nessun file exe!!!

Hai abilitato la visione dei files nascosti, nel percorso di quelle icone devono puntare a un qualche file per forza.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Controllo risultato scansione log hijackthis

Messaggioda Anton64 » gio ago 25, 2005 10:41 am

Si, la pagina iniziale la posso cambiare e rimane quella...ok

Ho seguoto le istruzioni dell'articolo 609 e ho creato un cd di boot con l'antivirus scangui...

ok, ho eseguito scangui dalla modalità provvisoria ma non ottengo il report...comunque il CWS Hidden dll non c'è più

Si ho abilitato la visione dei file nascosti ma seguendo il percorso indicato non trovo nessun file...

Ti volevo segnalare che sul disco C c'è uno strano file anche da prima che cominciasse questa infezione...
si chiama u6f6utuc_ tipo applicazione versione file 4.0.0.4 di 55,0 kb
e cliccandoci si apre una strana finestra con scritto un codice da digitare che cambia sempre ogni volta e la scritta
shopathomeselect casch back uninstaller
ti volevo mandare la schermata ma non so come fare...se me lo insegni...te la mando..grazie...
Avatar utente
Anton64
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ago 24, 2005 9:28 am

Re: Controllo risultato scansione log hijackthis

Messaggioda crazy.cat » gio ago 25, 2005 10:56 am

Anton64 ha scritto:si chiama u6f6utuc_ tipo applicazione versione file 4.0.0.4 di 55,0 kb.

Cancellalo non è niente di buono.

La schermata si prende premendo Alt Stamp e prendi la finsetra attiva in quel momento, con Stamp prendi tutto quello che è sul tuo desktop.
Dopo apri Paint o un qualsiasi programma di grafica e incolli come nuova immagine e la salvi sul pc.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Controllo risultato scansione log hijackthis

Messaggioda Anton64 » ven ago 26, 2005 9:26 am

Buongiorno ieri ho cercato di inviarti la videata con quel quel file strano ma non mi permettava di allegare il file non ho capito bene perché..adesso cerco di mandartelo
Adesso sembra che tu vada bene non si formano + icone sul desk top ne in qualsiasi altro posto..tranne che per una icona link che si forma nei preferiti che non contiene però nulla..controllata con la visualizzazione di tutti i file nascosti attivata...
Ho rifatto il log eccolo:

Logfile of HijackThis v1.99.1
Scan saved at 10:03:51, on 26.08.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\PROGRAMMI\PERSONAL COMMUNICATIONS\PCS_AGNT.EXE
C:\WINNT40\system32\pcssfrrx.exe
C:\WINNT40\Explorer.EXE
D:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Personal Communications\pcsws.exe
C:\Programmi\Personal Communications\PCSCM.EXE
C:\Programmi\ElsaWin\bin\ElsaWin.exe
C:\Programmi\Personal Communications\pcsws.exe
C:\Programmi\Personal Communications\pcsws.exe
D:\Programmi\AVPersonal\AVSched32.EXE
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\HijackThis v.1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.agi.cpn.vwg/
F2 - REG:system.ini: UserInit=C:\WINNT40\system32\userinit.exe,pcssfrrx.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT40\System32\msdxm.ocx
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT40\System32\runonce.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [atipatxx] C:\WINNT40\system32\atipatxx.exe
O4 - HKLM\..\RunServices: [atipatxx] C:\WINNT40\system32\atipatxx.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ET_Start.lnk = D:\ET_PROG\etka.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = w32x86\2\E_SRCV03.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT40\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT40\web\related.htm
O15 - Trusted Zone: http://petra.agi.cpn.vwg
O15 - Trusted Zone: http://portal.agi.cpn.vwg
O15 - Trusted Zone: *.cpn.vwg
O16 - DPF: {F5BC716E-2650-4B08-9235-C110CF95017F} (Connessione Tiscali) - http://selfcare.tiscali.it/scripts/onec ... iscali.cab
O18 - Protocol: vw-wi - {0F3C833F-FB28-40EA-8CB9-6A55B996C3F6} - C:\Programmi\ElsaWin\bin\wiprot.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT40\System32\dmadmin.exe
O23 - Service: EAufServ - Unknown owner - \\ITA000071A\et_prog\EAufServ.exe (file missing)
O23 - Service: LocalSystem (ldlcserv) - Unknown owner - C:\WINNT40\System32\drivers\ldlcserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT40\system32\LEXBCES.EXE
O23 - Service: PipeCmd Service (PipeCmdSrv) - Unknown owner - C:\WINNT40\system32\PipeCmdSrv.exe (file missing)
O23 - Service: Security Agent (scagent) - Unknown owner - C:\WINNT40\system32\scagent.exe" start (file missing)
O23 - Service: TrcBoot - Unknown owner - C:\WINNT40\System32\drivers\trcboot.exe

non so cosa sono questi

C:\WINNT40\system32\pcssfrrx.exe
F2 - REG:system.ini: UserInit=C:\WINNT40\system32\userinit.exe,pcssfrrx.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O23 - Service: PipeCmd Service (PipeCmdSrv) - Unknown owner - C:\WINNT40\system32\PipeCmdSrv.exe (file missing)
O23 - Service: TrcBoot - Unknown owner - C:\WINNT40\System32\drivers\trcboot.exe


questo credo di conoscerlo è il nome del server interno a cui si collega il mio pc per il programma etke.exe
O23 - Service: EAufServ - Unknown owner - \\ITA000071A[/b][/b]\et_prog\EAufServ.exe (file missing)

Ero curioso di sapere cosa era e a cosa servoiva quel file (u6f6utuc_) che mi hai consigliato di cancellare
Avatar utente
Anton64
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ago 24, 2005 9:28 am

Re: Controllo risultato scansione log hijackthis

Messaggioda crazy.cat » ven ago 26, 2005 9:54 am

Non ho trovato la spiegazione vera e propria, ma vedo che usi Personal comunication e dovrebbe essere parte di quel programma, trova il file, tasto destro sul suo nome e leggi nelle proprietà del file a quale programma appartiene.
Codice: Seleziona tutto
C:\WINNT40\system32\pcssfrrx.exe
F2 - REG:system.ini: UserInit=C:\WINNT40\system32\userinit.exe,pcssfrrx.exe


E' la scheda di rete, in basso nella sistray devi avere un simbolino di una scheda di rete quello è gestito dal Promon
Codice: Seleziona tutto
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe


Mi era sfuggito il nome, poteva essere un virus che è stato rimosso, cancella la riga con hijackthis
Codice: Seleziona tutto
O23 - Service: PipeCmd Service (PipeCmdSrv) - Unknown owner - C:\WINNT40\system32\PipeCmdSrv.exe (file missing)


trcboot.exe is a process associated with IBM Personnal Communications. This is an essential process and should not be removed unless it is causing problems.
Codice: Seleziona tutto
O23 - Service: TrcBoot - Unknown owner -
C:\WINNT40\System32\drivers\trcboot.exe


Codice: Seleziona tutto
Ero curioso di sapere cosa era e a cosa servoiva quel file (u6f6utuc_) che mi hai consigliato di cancellare

Dalle scritte che hai detto escono fuori, puzza di dialer o spyware, niente di utile in ogni caso.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Controllo risultato scansione log hijackthis

Messaggioda Anton64 » ven ago 26, 2005 5:24 pm

[:-D] Slve! eccomi di nuovo a voi...

Ho seguito tutti i consigli che mi hai dato..grazie
Ti volevo aggiornare sugli sviluppi...
___________________________________________
1) Codice:
C:\WINNT40\system32\pcssfrrx.exe
F2 - REG:system.ini: UserInit=C:\WINNT40\system32\userinit.exe,pcssfrrx.exe

Ho seguito il percorso del file e ho fatto tasto dx ma non dice nulla sul programma a cui è associato...
______________________________________
2) Codice:
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe

ok grazie per la spiegazione...
_______________________________________
3) Codice:
O23 - Service: PipeCmd Service (PipeCmdSrv) - Unknown owner - C:\WINNT40\system32\PipeCmdSrv.exe (file missing)

ok cancellato..grazie
____________________________________________
4) Codice:
O23 - Service: TrcBoot - Unknown owner -
C:\WINNT40\System32\drivers\trcboot.exe

ok non lo tocco!!!!
_____________________________________________
5)Codice:
Ero curioso di sapere cosa era e a cosa servoiva quel file (u6f6utuc_) che mi hai consigliato di cancellare

ok ho cancellato il file ma non so se c'era anche una cartella o altro...
_____________________________________________________
6) ti chiedevo cosa devo fare con la cartella links che si forma sempre nei preferiti..io la cancelo ma lei ritorna da sola!!!
____________________________________________________
7) ho installato spybot ti invio il log ha trovato 32 oggetti sospetti 23 li ha cancellati da solo ma 9 oggetti non riesce a cancellarli.ha detto che occorreva riavviare l'ho fatto ma rimangono sempre presenti anche se rifaccio la scanzione...

--- Search result list ---
Porn Hijacker: Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\Software\sr

HotsearchBar: Impostazioni di disinstallazione (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\a95kfrhe

ShopAtHome: Impostazioni globali (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\Software\VGroup

DyFuCA.InternetOptimizer: Impostazioni di disinstallazione (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WSEM Update

EffectiveBandToolbar: Classe radice (Root) (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\Software\Classes\TPUSN

Laypros: Impostazioni (Chiave di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\WinSock2\Layered Provider Sample

Smitfraud-C.: Impostazioni (Valore di registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{0656A137-B161-CADD-9777-E37A75727E78}

DSO Exploit: Data source object exploit (Modifica al registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Windows Security Center.SP2Update: Impostazioni (Modifica al registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dword:0
Avatar utente
Anton64
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ago 24, 2005 9:28 am

Messaggioda crazy.cat » ven ago 26, 2005 6:30 pm

Ho accorciato la tua risposta lasciando solo la parte dei veri problemi.

Installati questo trial, lo aggiorni e fai la scansione
http://www.webroot.com/download/trial/s ... 844228.exe

E vediamo se rimuove anche questi link che si autoricreano.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Controllo risultato scansione log hijackthis

Messaggioda Anton64 » lun ago 29, 2005 5:25 pm

Ciao ho fatto come tu mi hai consigliato..questo è il log...

********
08:55: |··· Start of Session, lunedì 29 agosto 2005 ···|
08:55: Spy Sweeper started
08:55: Sweep initiated using definitions version 492
08:55: Starting Memory Sweep
08:56: Memory Sweep Complete, Elapsed Time: 00:01:21
08:56: Starting Registry Sweep
08:56: Found Adware: cws-aboutblank
08:56: HKCR\clsid\{ee7a946e-61fa-4979-87b8-a6c462e6fa62}\ (8 subtraces) (ID = 659913)
08:56: HKCR\httpfilter.callthrough.1\ (3 subtraces) (ID = 660021)
08:56: HKCR\httpfilter.callthrough\ (3 subtraces) (ID = 660022)
08:56: HKLM\software\classes\appid\sr.dll\ (1 subtraces) (ID = 660036)
08:56: HKLM\software\classes\clsid\{ee7a946e-61fa-4979-87b8-a6c462e6fa62}\ (8 subtraces) (ID = 661481)
08:56: HKLM\software\classes\httpfilter.callthrough.1\ (3 subtraces) (ID = 661589)
08:56: HKLM\software\classes\httpfilter.callthrough\ (3 subtraces) (ID = 661590)
08:56: HKLM\software\classes\interface\{82f924c9-a1b9-4cdb-9245-bcfa82518319}\ (8 subtraces) (ID = 661592)
08:56: HKLM\software\classes\sr.sr.1\ (3 subtraces) (ID = 661600)
08:56: HKLM\software\classes\sr.sr\ (5 subtraces) (ID = 661601)
08:56: HKLM\software\classes\typelib\{c89e0f84-3c34-43d1-a72c-af1a160a7c07}\ (14 subtraces) (ID = 661606)
08:56: HKLM\software\classes\typelib\{cd71f5cb-e108-484d-a407-2eddb6f939f9}\ (9 subtraces) (ID = 661608)
08:56: HKLM\software\sr\ (2 subtraces) (ID = 662462)
08:56: HKCR\sr.sr.1\ (3 subtraces) (ID = 662463)
08:56: HKCR\typelib\{c89e0f84-3c34-43d1-a72c-af1a160a7c07}\ (14 subtraces) (ID = 662469)
08:56: HKCR\typelib\{cd71f5cb-e108-484d-a407-2eddb6f939f9}\ (9 subtraces) (ID = 662471)
08:56: Found Trojan Horse: downloader-scagent
08:56: HKLM\system\currentcontrolset\services\scagent\ (12 subtraces) (ID = 670979)
08:56: Found Adware: internetoptimizer
08:56: HKLM\software\microsoft\windows\currentversion\uninstall\wsem update\ (ID = 674566)
08:56: Found Adware: 180search assistant
08:56: HKLM\software\180solutions\ (ID = 681216)
08:56: Found Adware: shopathomeselect
08:56: HKLM\software\microsoft\windows\currentversion\uninstall\a95kfrhe\ (2 subtraces) (ID = 687136)
08:56: HKLM\software\vgroup\ (2 subtraces) (ID = 687148)
08:56: HKLM\software\winsock2\layered provider sample\ (ID = 687150)
08:56: Found Trojan Horse: topconverting downloader
08:56: HKLM\software\classes\tpusn\ (1 subtraces) (ID = 689295)
08:56: HKCR\tpusn\ (1 subtraces) (ID = 689315)
08:56: Found Trojan Horse: trojan-backdoor-satellite
08:56: HKLM\software\microsoft\windows\currentversion\run\ || atipatxx (ID = 689671)
08:56: HKU\S-1-5-21-683039423-1616793539-1535381715-500\software\microsoft\windows\currentversion\run\ || atipatxx (ID = 689672)
08:56: HKLM\software\microsoft\windows\currentversion\runservices\ || atipatxx (ID = 689673)
08:56: Found Trojan Horse: vesbiz downloader
08:56: HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler\ || {0656a137-b161-cadd-9777-e37a75727e78} (ID = 690953)
08:56: Found Adware: abetterinternet
08:56: HKLM\software\dbi\ (29 subtraces) (ID = 691329)
08:56: HKU\S-1-5-21-683039423-1616793539-1535381715-500\software\microsoft\internet explorer\explorer bars\{30d02401-6a81-11d0-8274-00c04fd5ae38}\ (1 subtraces) (ID = 691337)
08:56: HKU\WRSS_Profile_S-1-5-21-683039423-1616793539-1535381715-1000\software\microsoft\internet explorer\explorer bars\{30d02401-6a81-11d0-8274-00c04fd5ae38}\ (1 subtraces) (ID = 691337)
08:56: Registry Sweep Complete, Elapsed Time:00:00:12
08:56: Starting Cookie Sweep
08:56: Found Cookie: falkag cookie
08:56: pc06@as1.falkag[1].txt (ID = 26335)
08:56: Found Cookie: com.com cookie
08:56: pc06@com[2].txt (ID = 26128)
08:56: Found Cookie: tradedoubler cookie
08:56: pc06@tradedoubler[1].txt (ID = 27247)
08:56: Cookie Sweep Complete, Elapsed Time: 00:00:00
08:56: Warning: Failed to open file "c:\pagefile.sys". Accesso negato
08:56: Starting File Sweep
08:57: Warning: Failed to open file "c:\winnt40\system32\config\software.log". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:57: Warning: Failed to open file "c:\winnt40\system32\config\default.log". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:57: Warning: Failed to open file "c:\winnt40\system32\config\security". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:57: Warning: Failed to open file "c:\winnt40\system32\config\security.log". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:57: Warning: Failed to open file "c:\winnt40\system32\config\system.alt". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:57: Warning: Failed to open file "c:\winnt40\system32\config\sam". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:57: Warning: Failed to open file "c:\winnt40\system32\config\sam.log". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:57: Warning: Failed to open file "c:\winnt40\system32\config\system". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:57: Warning: Failed to open file "c:\winnt40\system32\config\software". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:57: Warning: Failed to open file "c:\winnt40\system32\config\default". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:59: Warning: Failed to open file "c:\winnt40\profiles\administrator\ntuser.dat". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:59: Warning: Failed to open file "c:\winnt40\profiles\administrator\ntuser.dat.log". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:59: Warning: Failed to open file "c:\winnt40\profiles\administrator\impostazioni locali\dati applicazioni\microsoft\windows\usrclass.dat". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:59: Warning: Failed to open file "c:\winnt40\profiles\administrator\impostazioni locali\dati applicazioni\microsoft\windows\usrclass.dat.log". Impossibile accedere al file. Il file è utilizzato da un altro processo
08:59: Found Adware: coolwebsearch (cws)
08:59: mmaskmdp.dll (ID = 584936)
08:59: Found Adware: twain-tech
08:59: bi.ini (ID = 613944)
08:59: shop1004.exe (ID = 607802)
08:59: Found Adware: effectivebrands toolbar
08:59: ucmoreiex.exe (ID = 590422)
08:59: thun.dll (ID = 614865)
08:59: u6f6uftuc_.ini (ID = 607507)
08:59: biini.inf (ID = 615318)
08:59: belt.inf (ID = 615274)
08:59: bi.inf (ID = 615297)
09:01: File Sweep Complete, Elapsed Time: 00:04:50
09:01: Full Sweep has completed. Elapsed time 00:06:26
09:01: Traces Found: 188
09:04: Your spyware definitions have been updated.
********
08:53: |··· Start of Session, lunedì 29 agosto 2005 ···|
08:53: Spy Sweeper started
08:54: Messenger service has been disabled.
08:55: |··· End of Session, lunedì 29 agosto 2005 ···|

ma la cartella links continua a crearsi nei preferiti..e se la cancello ritorna a formarsi da sola...
Avatar utente
Anton64
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ago 24, 2005 9:28 am

Messaggioda crazy.cat » lun ago 29, 2005 5:32 pm

Non uso più Internet da un secolo e non mi ricordavo più.
La cartella Link o Collegamenti si ricrea da sola anche sul mio, ho provato a toglierla tempo fa non riuscendoci e poi ho tolto di mezzo Ie e vivo felice.

L'importante è aver ripulito il pc da schifezze varie.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Controllo risultato scansione log hijackthis

Messaggioda Anton64 » mar ago 30, 2005 11:19 am

Sono contento per te che vivi felice senza IE…io lo uso prevalentemente per lavoro…
Ho utilizzato IE per parecchi anni ma la cartella “links” nei preferiti non mi si era mai creata da sola…comunque…va bene così…grazie lo stesso..
Si..sono d’accordo con te…l’importante è avere ripulito il PC dalle schifezze varie…questo è ciò che mi interessava..
Noto che lo spazio libero sul disco C diminuisce vertiginosamente ..ho dato una ripulita ai file temporanei e altra roba..ho anche utilizzato RegSeeker ma lo spazio continua a diminuire sempre di più…puoi darmi qualche consiglio?
Noto anche che tutte le finestre mi si aprono in formato ridotto..anche se io le imposto per la visualizzazione grande loro ritornano a presentarsi piccole (prima dell’infezione ciò non accadeva).
La stessa cosa accade con il tipo di visualizzazione all’interno delle cartelle: io imposto tipo di visualizzazione con dettagli e alla successiva volta che accedo alla cartella la ritrovo con tipo di visualizzazione icone grandi..
Ogni volta che riavvio accadono queste trasformazioni…inoltre ogni riavvio mi compare il messaggio registro di sistema dimensione insufficiente… puoi consigliarmi cosa fare per tutti questi inconvenienti?..grazie…
Avatar utente
Anton64
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ago 24, 2005 9:28 am

Messaggioda crazy.cat » mar ago 30, 2005 3:14 pm

Apri una nuova discussione nella sezione windows segnalando questi ultimi problemi e poi ne riparliamo sulla nuova.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Controllo risultato scansione log hijackthis

Messaggioda Anton64 » mer ago 31, 2005 9:34 am

ok grazie...comunque ci sono sviluppi allarmanti...mi si è bloccato il pc e non mi permette di fare nulla!!!
Avatar utente
Anton64
Aficionado
Aficionado
 
Messaggi: 41
Iscritto il: mer ago 24, 2005 9:28 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising