www.MegaLab.it

[gucozzol]

Buongiorno a tutti,
grazie a The King of GNG sono venuto a conoscenza del vostro forum.
Vorrei che mi controllaste il log di hijackthis perché mi compare sempre Internet private zone.

Non riesco ad inviare il log estensione txt
Grazie

[kpaolo]

scrivi un nuovo post e incollalo come se fosse il tuo messaggio..
copia&incolla..semplice

[gucozzol]

Grazie per il suggerimento e per la solerzia nella risposta.
Spero che tu possa aiutarmi a risolvere questo problema.
Grazie.



Logfile of HijackThis v1.99.1
Scan saved at 10.39.41, on 14/12/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\CBA\PDS.EXE
C:\WINDOWS\SYSTEM\CBA\XFR.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\PROGRAMMI\UNITEK\UNITEKCO.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSGSYS.EXE
C:\PROGRAMMI\NORTON INTERNET SECURITY\NISSERV.EXE
C:\PROGRAMMI\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAMMI\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\PROGRAMMI\NETROPA\SMART KEYBOARD\SMARTKBD.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\FILE COMUNI\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMMI\NETROPA\SMART KEYBOARD\MEDIACTR.EXE
C:\WINDOWS\SYSTEM\BGSMSND.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\PROGRAMMI\FILE COMUNI\MICROSOFT SHARED\WORKS SHARED\WKUFIND.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.03.0000.1005\IT\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\PROGRAMMI\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMMI\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\TOOLS_95\IOWATCH.EXE
C:\TOOLS_95\IMGICON.EXE
C:\PROGRAMMI\NORTON UTILITIES\SYSDOC32.EXE
C:\WINDOWS\WINPOPUP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pcw.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: run=hpfsched
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_3_18_0.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\IT\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_3_18_0.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.4000.1001\IT\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Smart Keyboard] C:\Programmi\Netropa\Smart Keyboard\Smartkbd.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programmi\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NORTON~1\vptray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\SYSTEM\bgsmsnd.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programmi\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmi\File comuni\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.03.0000.1005\it\msnappau.exe"
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programmi\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [Intel PDS] C:\WINDOWS\system\cba\pds.exe
O4 - HKLM\..\RunServices: [Intel File Transfer] C:\WINDOWS\system\cba\xfr.exe
O4 - HKLM\..\RunServices: [TMA Distribution] C:\WINDOWS\system\cba\lcfinst.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\NORTON~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\NORTON~1\defwatch.exe
O4 - HKLM\..\RunServices: [unitek] C:\Programmi\Unitek\Unitekco.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: Iomega Watch.lnk = C:\Tools_95\IOWATCH.EXE
O4 - Startup: Iomega Startup Options.lnk = C:\Tools_95\IMGSTART.EXE
O4 - Startup: Iomega Disk Icons.lnk = C:\Tools_95\IMGICON.EXE
O4 - Startup: Norton System Doctor.lnk = C:\Programmi\Norton Utilities\SYSDOC32.EXE
O4 - Startup: Winpopup.lnk = C:\WINDOWS\WINPOPUP.EXE
O4 - Startup: EPSON Controllo in background.lnk = C:\ESM2\Stms.exe
O8 - Extra context menu item: Download using Download &Express - file://C:\Programmi\Download Express\Add_Url.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.pcw.it
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: *.3
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file://C:\Programmi\AutoCAD LT 2002 Ita\AcPreview.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file://C:\Programmi\AutoCAD LT 2002 Ita\AcDcToday.ocx
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD LT 2002 Ita\InstBanr.ocx
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programmi\AutoCAD LT 2002 Ita\InstFred.ocx
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c ... st0401.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.compani ... 3_18_0.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.sgrunt.biz/closer/close.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 151.99.125.1,151.99.0.100

[kpaolo]

è la prima volta che mi metto a controllare un log di hijackthis...quindi nn prendere tutto per buono...kiedi a crazy.cat che è più esperto...
secondo me nn c'è nulla che nn va...
in ogni caso si fa così:
dei processi che nn si conoscono si copia il nome (estensione compresa) e si ricerca su gugol.
di solito basta il primo risultato per capire se è un file malevolo o no...
provare per credere

[crazy.cat]

Due o tre cosine ci sono, lasciami finire un lavoro e poi ti dico quali di preciso.

Hai delle nuove icone sul desktop?
Winmovie plugin e un altro explorer?

[gucozzol]

Ciao Crazy.cat

Proprio così sul desktop ci sono Winmovie plugin e un altro explorer

Resto pazientemente in attesa del tuo aiuto.

Grazie

[kpaolo]

O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.sgrunt.biz/closer/close.exe

non l'avevo visto...
quello non va bene...

[crazy.cat]

Cerca questo file sysmon.exe e prova a lanciarlo, se tenta di collegarsi ad un sito porno su internet sai che è da eliminare
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
se non succede niente è pulito.

si vedono solo queste due cose da togliere
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: *.3 O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.sgrunt.biz/closer/close.exe

Segui le istruzioni in questo articolo
http://www.MegaLab.it/2454

Il file exe pericoloso dovrebbe essere il primo che ti ho indicato, visto che hai windows 98 puoi uscire al dos e cancellarlo da lì, oppure lo termini nel taskmanager e lo cancelli, male che vada lo fai dalla modalità provvisoria.

[gucozzol]

grazie.
provo a seguire le tur indicazioni e ti faccio sapere

[gucozzol]

Ciao Crazy.cat
come lancio il file exe sysmon mi appare la maschera di internet private zone.

lo elimino?

[crazy.cat]

Ciao Crazy.cat
come lancio il file exe sysmon mi appare la maschera di internet private zone.

lo elimino?

Si.

[gucozzol]

Caro Crazy,
ho seguito alla lettera i tuoi suggerimenti e finalmente posso dire di essere libero!

Sei un genio.

Quando vieni a Napoli hai pizza e birra pagate.

Grazie alla prossima

[gucozzol]

Caro Crazy.cat
seguendo le indicazioni del tuo articolo per la cancellazione dei file pericolosi, ho sperimentato un programma che si chiama "killsgrunt" che cerca ed elimina WinMoviePlugin e explorer. Funzione benissimo.

Grazie ancora.
L'invito è sempre valido.

[crazy.cat]

L'unico problema del Killsgrunt è che non riconosce sempre tutti i nomi che assume questo dialer, c'è il sysmon, sysfind, Ie425 (o simile) e un altro paio, ogni tanto per rompere le scatole alla gente cambiano nome al file exe.

Grazie dell'invito ma sarà difficile realizzarlo.