Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Logfile di HijackThis

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Logfile di HijackThis

Messaggioda tino » mer giu 28, 2006 2:33 pm

Ciao,
navigando in internet mi sono imbattuto nel dialer EnergyPlus e da allora ho un po' di problemi!!
Ho controllato il computer con Spybot e Ad-Aware SE Personal e non risulta alcun spyware.
Invece Panda Active Scan trova in Windows/sustem32/ fastRX.dll.
Imbattendomi in questo forum ho scaricato hijackthis, ma non so dove mettere le mani.

Potreste dare un'occhiata a questo logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15.11.17, on 28/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\StarOffice7\program\soffice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\UTENTE-1\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [bikini] bikini.exe
O4 - HKLM\..\Run: [kpx] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fastRX.dll DllInitApp
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Documents and Settings\UTENTE-1\Impostazioni locali\Temp\HijackThis.exe /startupscan
O4 - Startup: StarOffice 7.lnk = C:\Programmi\StarOffice7\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{270511EB-CABB-4CD8-A55A-F600A0E60BE8}: NameServer = 212.216.112.112,212.216.172.62
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)



Grazie mille,
Tino
Avatar utente
tino
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: mer giu 28, 2006 2:24 pm

Messaggioda Amantide » mer giu 28, 2006 2:42 pm

Intanto, prima che il più esperto crazy.cat ti darà una mano, fissa queste 2 voci.

O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM

Scusa, ma non hai nessun firewall installato sul tuo pc?
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

.....no...

Messaggioda tino » mer giu 28, 2006 2:52 pm

Ho paura a rispondere....ho solo quello di XP.
Provvedo subito a scaricarne uno!!
Grazie

Tino
Avatar utente
tino
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: mer giu 28, 2006 2:24 pm


Messaggioda Amantide » mer giu 28, 2006 2:53 pm

Per togliere del tutto E-nrgyPlus dalla modalità provvisoria fissa le voci

O4 - HKLM\..\Run: [bikini] bikini.exe
O4 - HKLM\..\Run: [kpx] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fastRX.dll DllInitApp,

dopo spunta la visualizzazione delle cartelle e file nascosti ed elimina, se ci sono ancora e sempre nella modalità provvisoria, questi file:

C:\WINDOWS\System32\fastRX.dll
C:\WINDOWS\System32\fastRX.dll DllInitApp
C:\WINDOWS\System32\funk.exe
C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: .....no...

Messaggioda Amantide » mer giu 28, 2006 2:54 pm

tino ha scritto:Ho paura a rispondere....ho solo quello di XP.
Provvedo subito a scaricarne uno!!
Grazie

Tino

E a quanto pare anche questo è disabilitato. [sedia]
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

..attivo....

Messaggioda tino » mer giu 28, 2006 3:41 pm

Ciao Amantide,
ancora prima che tu me lo dicessi, ho controllato: il firewall di XP è attivo! [applauso]


Intanto grazie mille dei tuoi consigli!!Ma....

Ho provato a seguire i tuoi suggerimenti: ho segnato i due file

O4 - HKLM\..\Run: [bikini] bikini.exe
O4 - HKLM\..\Run: [kpx] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\fastRX.dll DllInitApp

Però non riesco ad eliminare (accesso negato)

C:\WINDOWS\System32\fastRX.dll

mentre non ci sono già più gli altri file.

Penso di aver fatto tutto come si deve (in modalità provvisoria ho seganto i file, ho riavviato sempre in modalità provvisoria ed ho cercato di cancellare fastRX.dll). O ho sbaglaito qualcosa?

Ciao,
Tino
Avatar utente
tino
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: mer giu 28, 2006 2:24 pm

Messaggioda Amantide » mer giu 28, 2006 3:51 pm

Disattiva il Ripristino configurazioni di sistema e riprova a fissare quelle voci.

P.S. Anche le 2 voci di prima erano da eliminare:
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
Non hai scritto se l'hai fatto.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda tino » mer giu 28, 2006 4:07 pm

Si, scusa. Ho fissato le prime due voci (O1 - Hosted ...) ed anche le due successive (04 - ....). Rifacendo la scansione non compaiono più nel logfile.

L'unica cosa che non riesco a fare è eliminare il file fastRX.dll.

Ho provato anche il tuo ultimo suggerimento ( dopo aver disattivato il Ripristino configurazioni di sistema, ho riavviato in modalità provvisoria ed ho provato ad eliminare il file, ma mi da il messaggio Accesso negato: disco protetto o file in uso)
Avatar utente
tino
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: mer giu 28, 2006 2:24 pm

Messaggioda crazy.cat » mer giu 28, 2006 4:09 pm

Scarica delete doctor, selezioni la dll e riavvi subito il pc.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

OK!

Messaggioda tino » mer giu 28, 2006 4:33 pm

OK! Eliminato!Grazie crazy.cat! E grazie Amantide!

Ma visto che ci sono ne approfitto: dal logfile emerge ancora qualcos'altro di pericoloso?
Avatar utente
tino
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: mer giu 28, 2006 2:24 pm

Messaggioda Amantide » mer giu 28, 2006 4:46 pm

Se c'era qualcos' altro te l'avremmo detto. [fischio]

Se riposti il log nuovo possiamo vedere se sei riuscito ad eliminare tutte le voci pericolose e controlliamo se nn è apparso qualcos' altro di sospetto.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda tino » mer giu 28, 2006 5:43 pm

Scusa Amantide! Pensavo solo che vi foste concentrati sulla cancellazione di fastRX.dll.....

Purtroppo ora vi sto scrivendo da un altro computer (è per questo che vi ho lasciato in attesa di una risposta così a lungo).
E quindi non vi posso mandare il logfile.

Mi dispiace lasciare l'argomento incompiuto ma purtroppo per sta sera non riuscirò ad inviarlo!!!

Scusate ancora, avrei voluto anch'io avere il tempo per finire la questione.

E se ve lo mandassi domani mattina???

Ciao e buona serata

Tino
Avatar utente
tino
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: mer giu 28, 2006 2:24 pm

Messaggioda crazy.cat » mer giu 28, 2006 5:53 pm

tino ha scritto:E se ve lo mandassi domani mattina???

Quando vuoi, noi siamo (quasi) sempre qui.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda tino » gio giu 29, 2006 7:29 am

Ciao a tutti!Ecoomi qui con il nuovo logfile:

Logfile of HijackThis v1.99.1
Scan saved at 8.16.55, on 29/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\StarOffice7\program\soffice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Documents and Settings\UTENTE-1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Documents and Settings\UTENTE-1\Impostazioni locali\Temp\HijackThis.exe /startupscan
O4 - Startup: StarOffice 7.lnk = C:\Programmi\StarOffice7\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{270511EB-CABB-4CD8-A55A-F600A0E60BE8}: NameServer = 212.216.112.112,212.216.172.62
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


Spero non ci sia nulla di pericoloso!!
Buona giornata,
Tino
Avatar utente
tino
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: mer giu 28, 2006 2:24 pm

Messaggioda crazy.cat » gio giu 29, 2006 7:40 am

Il log è pulito
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda tino » gio giu 29, 2006 8:12 am

Grazie crazy.cat!

Per capire un po' cosa ho fatto, dove posso dare un'occhiata? Sul sito di HijackThis?
Avatar utente
tino
Neo Iscritto
Neo Iscritto
 
Messaggi: 15
Iscritto il: mer giu 28, 2006 2:24 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 8 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising