www.MegaLab.it

da **Speranzino** » mer feb 21, 2007 10:12 pm

Non riuscivo a copiare il log di Hijackthis perché li salva in Acrobat (io ho il 5), che mi segnala il non funzionamento per il probabile invio con e-mail. Come faccio a scaricarlo regolarmente ? L'ho comunque aperto con Notepad ed è il seguente:

Logfile of HijackThis v1.99.1
Scan saved at 16.29.27, on 21/02/07
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\AHEAD\INCD\INCD.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMMI\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMMI\DIGISOFT ANTIDIALER\ANTIDIALER.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
A:\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [InCD] C:\Programmi\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [JVM0.14] C:\WINAMPA.EXE
O4 - HKLM\..\Run: [HDAudio Driver] C:\WINAMP.EXE
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\VOLUMEC.EXE -i
O4 - HKLM\..\Run: [firewall] C:\WINDOWS\avsoft.exe /i
O4 - HKLM\..\Run: [SoundMano] C:\WINDOWS\sndmano.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMMI\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mssn] Wscript C:\WINDOWS\LEGGIMI.VBS /B
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - WWW. Prefix: http://
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1225f8dbc04 ... 601_it.cab

Non riesco ad individuare nulla. Vedi tu e fammi sapere. Come ti ho detto l'unico fastidio che ho è la continua richiesta di connessione e, qualche volta, l'apertura, durante il collegamento internet, della pagina di it.sso.dada.***, che è un sito di suonerie. Mentre scrivo è apparsa, per almeno tre volte la richiesta di "Connessione remota" che, alla chiusura, è
seguita da "La pagina richiesta non è disponibile in modalità non in linea". Cosa estremamente fastidiosa perché scombussola il lavoro che stai facendo.
Aiuto !!!
Ti volevo anche chiedere se, con Win 98, è possibile rendere di "sola lettura" il file relativo alle connessioni e, quale è ? Penso di avere abilitato la visione di tutti i fael nascosti, mi confermi, di preciso, se l'operazione da fare è: Opzioni cartella+Visualizza+Hidden files+Show all files ?
Spero di risolvere con il Vostro aiuto, per il quale non finirò mai di ringraziarVi.
Salutoni da Speranzino.

da **egidiociuf** » gio feb 22, 2007 5:46 am

Elimina le seguenti voci:

O4 - HKLM\..\Run: [SoundMano] C:\WINDOWS\sndmano.exe
O13 - WWW. Prefix: http://

e se non sai di che si tratta anche questa:

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1225f8dbc04 ... 601_it.cab

cancella anche questa:
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Ti consiglio di installare un buon firewall

Ciao

da **crazy.cat** » gio feb 22, 2007 9:09 am

Comincia a fare sparire questi file e cancellare le righe con hijackthis

O4 - HKLM\..\Run: [JVM0.14] C:\WINAMPA.EXE
O4 - HKLM\..\Run: [HDAudio Driver] C:\WINAMP.EXE
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\VOLUMEC.EXE -i
O4 - HKLM\..\Run: [firewall] C:\WINDOWS\avsoft.exe /i
O4 - HKLM\..\Run: [SoundMano] C:\WINDOWS\sndmano.exe
O4 - HKLM\..\Run: [mssn] Wscript C:\WINDOWS\LEGGIMI.VBS /B
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O13 - WWW. Prefix: http://

Il file delle connessioni si chiama rasphone.pbk

scansione consigliata anche con A2 squared o superantispyware.

da **Speranzino** » gio feb 22, 2007 10:58 pm

Per Egidio, Ho cancellato le righe suggerite. Nessun risultato !!! [cry+]

Grazie !!!

Per Crazy, Proverò a cancellare quanto suggerisci ma, sei sicuro ?
Winamp, AVsoft, Volumec, non è che poi non funzionano i relativi programmi ?
Rasphone, su Win 98 non esiste ! Vedi che è su XP ! Forse sul 98 è iexplore.exe ?
Durante il collegamento a INTERNET adesso la richiesta di FAST TRACK non
appare più. Cosa è successo ? E' un rompicapo !
Grazie aspetto la tua risposta prim di agire !
Ciao e grazie.
Speranzino

da **egidiociuf** » gio feb 22, 2007 11:12 pm

Speranzino ha scritto:Per Egidio, Ho cancellato le righe suggerite. Nessun risultato !!!
Grazie !!! ......Durante il collegamento a INTERNET adesso la richiesta di FAST TRACK non
appare più.

...quindi qualcosa è successo!!!!

Speranzino ha scritto:Per Crazy, Proverò a cancellare quanto suggerisci ma, sei sicuro ?
Winamp, AVsoft, Volumec, non è che poi non funzionano i relativi programmi ?

Vai tranquillo i programmi funzionano lo stesso l'unica cosa e che non ti partiranno più all'accenzione del PC.

da **Amantide** » gio feb 22, 2007 11:13 pm

I programmi di solito vengono installati nella cartella Programmi e non sotto al WINDOWS, questi malware hanno usato semplicemente i nomi familiari per trarre in inganno.

O4 - HKLM\..\Run: [JVM0.14] C:\WINAMPA.EXE - http://www.castlecops.com/s8977-JVM0_14.html
O4 - HKLM\..\Run: [HDAudio Driver] C:\WINAMP.EXE - http://www.castlecops.com/s10048-HDAudi ... r_1_0.html
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\VOLUMEC.EXE -i - http://www.castlecops.com/s12158-VolControl.html
O4 - HKLM\..\Run: [firewall] C:\WINDOWS\avsoft.exe /i - http://virusinfo.prevx.com/pxparall.asp?PXC=dd8f880854
O4 - HKLM\..\Run: [SoundMano] C:\WINDOWS\sndmano.exe - http://www.malwarelist.org/startup/scheda.asp?num=2022
O4 - HKLM\..\Run: [mssn] Wscript C:\WINDOWS\LEGGIMI.VBS /B

da **egidiociuf** » gio feb 22, 2007 11:18 pm

Amantide ha scritto:I programmi di solito vengono installati nella cartella Programmi e non sotto al WINDOWS, questi malware hanno usato semplicemente i nomi familiari per trarre in inganno.

Hai pienamente ragione, non me ero accorto mea colpa!!

da **Speranzino** » sab feb 24, 2007 7:57 pm

RISOLTO !!! RICHIESTA CONNESSIONE+FAST TRACK=ELIMINATI !!!
Risolto il problema della RICHIESTA continua di "Connessione Remota"
con l'eliminazione delle seguenti righe:
O4 - HKLM\..\Run: [JVM0.14] C:\WINAMPA.EXE
O4 - HKLM\..\Run: [HDAudio Driver] C:\WINAMP.EXE
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\VOLUMEC.EXE -i
O4 - HKLM\..\Run: [firewall] C:\WINDOWS\avsoft.exe /i
O4 - HKLM\..\Run: [SoundMano] C:\WINDOWS\sndmano.exe
O4 - HKLM\..\Run: [mssn] Wscript C:\WINDOWS\LEGGIMI.VBS /B
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O13 - WWW. Prefix: http://
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1225f8dbc04 ... 601_it.cab
Individuate con HIJACKTHIS ed eliminate con la preziosa collaborazione
di Crazy, Egidio e Amantide, che hanno risposto sul forum di
www.MegaLab.it.
Siete FORTI !!! Resto con VOI !!!
Salutoni e un grazie di cuore a tutti.
Speranzino.
[applauso+]

da **Speranzino** » dom feb 25, 2007 6:13 am

Ciao ragazzi, era troppo bello !!!
Si aprono "ancora" delle pagine di suonerie non volute (it.sso.dada.net).
Resta una cosa marginale ma la vedo più come una sfida.
Il grosso E' STATO FATTO !!! [applauso+]

E poi ...... resta il piacere di avere avuto a che fare con delle persone splendide e disponibili. Vi farò un "sacco" di pubblicità e spero di avere ancora questo piacere (non per altri problemi al PC).
Salutoni da Speranzino.
[fischio]

da **crazy.cat** » dom feb 25, 2007 12:34 pm

crazy.cat ha scritto:scansione consigliata anche con A2 squared o superantispyware.

L'avevi fatta questa scansione?
Nel log non è che si possa sempre vedere tutto.

www.MegaLab.it

Invio log

Invio log

Re: Invio log

Da Speranzino Per Egidio e Crazy

RISOLTO !!! RICHIESTA CONNESSIONE+FAST TRACK=ELIMINATI !!!

E' RIMASTO UN PICCOLO STRASCICO !!!

Re: Invio log

Chi c’è in linea