www.MegaLab.it

da **vvvgiamba** » mar ott 05, 2004 11:44 pm

Ciao Crazy cat
Ho da sottoporti un log..puoi darci un'0cchiata per piacere?
Logfile of HijackThis v1.98.2
Scan saved at 0.24.02, on 06/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Programmi\HDSL640 USB ADSL Modem\CnxDslTb.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijack_this\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 10
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\HDSL640 USB ADSL Modem\CnxDslTb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1040\phdintl.dll/phdContext.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://netphone.tiscali.it/netphone/ocx/mosquito.cab

in particolare C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
sai a cosa si riferiscono?
Ho dato una googlata ed anche sul forum..ma non è che abbia capito molto...
Tante grazie ed un abbraccio
Giamba

da **crazy.cat** » mer ott 06, 2004 5:55 am

wuauclt.exe è il programma che in windows Me tiene sotto controllo la presenza di aggiornamenti importanti sul sito della microsoft.

Wuauclt.exe is a process managing automatic updates for Windows. This process continuously checks for the latest updates by going online. This process should not be removed if you want to get informed about new updates.

Se non hai windows me potrebbe essere questo virus
http://www.sophos.com/virusinfo/analyses/trojcultb.html

Per il resto è pulilto.

da **vvvgiamba** » mer ott 06, 2004 7:51 am

crazy.cat ha scritto:wuauclt.exe è il programma che in windows Me tiene sotto controllo la presenza di aggiornamenti importanti sul sito della microsoft.

Wuauclt.exe is a process managing automatic updates for Windows. This process continuously checks for the latest updates by going online. This process should not be removed if you want to get informed about new updates.

Se non hai windows me potrebbe essere questo virus
http://www.sophos.com/virusinfo/analyses/trojcultb.html

Per il resto è pulilto.

Grazie Crazy
io ho xp pro sp1 con tutti gli agg. ancora non mi sento di istallare sp2
la scansione con spybot , ad-aware se , swat it, norton ( e sì io ho norton almeno fino a quando non scade la licenza ) non danno nessuna segnalazione ma sei sicuro che win xp non abbia un modulo per gli aggiornamenti uguale a win me ? Che consiglio mi dai ? Correggo con hijack o mi tengo i due file per adesso ?
grazie di nuovo

giamba

da **crazy.cat** » mer ott 06, 2004 9:14 am

Ho appena guardato su un pc con xp pro e quel file non esiste.
Direi che se non è quel trojan che ho segnalato e qualche cosa di altrettanto sospetto.
Io lo eliminerei.

www.MegaLab.it

log hijack...

log hijack...

log hijack

Chi c’è in linea