Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Log Hijackthis

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Log Hijackthis

Messaggioda [Vash] » lun nov 22, 2004 7:30 pm

salve,sono nuovo in questo forum,ma spero di poter trovare una mano,grazie a chi mi aiuterà.
cq ecco il log:
Logfile of HijackThis v1.98.2
Scan saved at 17.06.47, on 22/11/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\EPSON\EBAPI\SAGENT2.EXE
C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE
C:\PROGRAMMI\MESSENGER PLUS! 3\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\PROGRAMMI\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\GLOBESPANVIRATA\ADSL\DSLSTAT.EXE
C:\PROGRAM FILES\GLOBESPANVIRATA\ADSL\DSLAGENT.EXE
C:\PROGRAMMI\THE CLEANER\TCA.EXE
C:\PROGRAMMI\THE CLEANER\TCM.EXE
C:\PROGRAMMI\INFOKING\INFOPENMSN\PRO\INFOPENIM.EXE
C:\WINDOWS\SYSTEM\MCX96SGCNNGSTHD.EXE
C:\WINDOWS\SYSTEM\IVDP8J5J902K2O0.EXE
C:\PROGRAMMI\LETTORE MULTIMEDIALE\LOGAGENT.EXE
C:\PROGRAMMI\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMI\WINRAR\WINRAR.EXE
C:\WINDOWS\TEMP\RAR$EX21.182\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\UC9JJ7~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Disc Detector] C:\Programmi\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [Creative Launcher] C:\Programmi\Creative\Launcher\CTLauncher.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Birthday] C:\PROGRA~1\UBIDAY\Ubiday.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE C:\WINDOWS\JUNINSTALL.DLL,_mainRD
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [tcactive] C:\PROGRAMMI\THE CLEANER\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMMI\THE CLEANER\tcm.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE /waitservice
O4 - HKLM\..\Run: [InfoPenMSN] C:\PROGRAMMI\INFOKING\INFOPENMSN\Pro\InfoPenIM.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\MCX96SGCNNGSTHD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE /service
O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\IVDP8J5J902K2O0.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMMI\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: vpsched.lnk = C:\Programmi\Matrox - Strumenti video\vpsched.exe
O4 - Startup: EPSON CardMonitor.lnk = C:\Programmi\EPSON\EPSON CardMonitor\EPSON CardMonitor1.1.exe
O4 - Startup: Registrazione elettronica Corel® - Corel® Custom Photo.lnk = C:\Programmi\Lettore multimediale\LOGAGENT.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Alice - {44887000-2013-11D9-BD63-A8056BBC6012} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMMI\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (HKCU)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab

quali devo togliere???poixkè la pagina win-eto mi rimane???oltre ad usare hijackthis devo usare anche qualche altro programma?
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia

Messaggioda Mr.TFM » lun nov 22, 2004 7:38 pm

[Vash] ha scritto:oltre ad usare hijackthis devo usare anche qualche altro programma?

Sì, vai di Adaware e/o spybot search & destroy.
Daranno una mano a Hijack.
[^]
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda [Vash] » lun nov 22, 2004 7:44 pm

grazie,comunque quali file devo togleire oltre a wineto?(che è l'unico che mi combina casini)
PS:se hai msn potresti passarmi il tuo contatto per messaggip privato? così posso avere un'aiuto senza dover aspettare la risposta sul forum?
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia


Messaggioda crazy.cat » lun nov 22, 2004 7:47 pm

Dammi il tempo di rispondere (e cerchiamo di tenere tutte le risposte sul forum in privato non si fornisce aiuto)

Le voci sospette sono queste, quasi tutte sconosciute

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\UC9JJ7~1.DLL
O4 - HKLM\..\Run: [Birthday] C:\PROGRA~1\UBIDAY\Ubiday.exe
O4 - HKLM\..\Run: [winupdt] RUNDLL32.EXE C:\WINDOWS\JUNINSTALL.DLL,_mainRD
O4 - HKLM\..\Run: [InfoPenMSN] C:\PROGRAMMI\INFOKING\INFOPENMSN\Pro\InfoPenIM.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\MCX96SGCNNGSTHD.EXE
O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\IVDP8J5J902K2O0.EXE

Prova a prendere l'allegato che trovi in questa discussione
http://www.MegaLab.it/forum/viewtopic.php?t=10449
e segui le istruzioni che trovi.
Dopo la scansione fai sapere come è andata.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Mr.TFM » lun nov 22, 2004 7:53 pm

[Vash] ha scritto:grazie,comunque quali file devo togleire oltre a wineto?(che è l'unico che mi combina casini)
PS:se hai msn potresti passarmi il tuo contatto per messaggip privato? così posso avere un'aiuto senza dover aspettare la risposta sul forum?

Abbi pazienza, l'unico che sa esaminare con efficienza i log di hijack è Crazy, che appena può ti da una risposta, anzi, mentre posto, te l'ha già data.... Basta un attimo di pazienza, e va tutto a posto! [^]
Ciao!
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda [Vash] » lun nov 22, 2004 7:53 pm

grazie mille,ora provo e vedo che riesco a fare(sempre che nn combini qualche casino ._.)
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia

Messaggioda [Vash] » lun nov 22, 2004 8:04 pm

niente,ho provato con hijackthis a toglierlo,ma nulla...
qualkuno mi potrebbe spiegare passo per passo come fare x togliere quel link???

poi ho installato spybot - search & destroy,ma come lo uso???
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia

Messaggioda crazy.cat » mar nov 23, 2004 8:10 am

Hai fatto la scansione che ti avevo suggerito
Codice: Seleziona tutto
Prova a prendere l'allegato che trovi in questa discussione
http://www.MegaLab.it/forum/viewtopic.php?t=10449
e segui le istruzioni che trovi.
Dopo la scansione fai sapere come è andata.

Hai troppi file exe strani, uno di quelli e quasi sicuramente un virus che ti genera poi quella pagina strana.

Spybot dopo che lo hai installato e aggiornato gli fai fare la scansione, quello che trova lo elimini.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Mr.TFM » mar nov 23, 2004 10:26 am

crazy.cat ha scritto:Hai fatto la scansione che ti avevo suggerito
Codice: Seleziona tutto
Prova a prendere l'allegato che trovi in questa discussione
http://www.MegaLab.it/forum/viewtopic.php?t=10449
e segui le istruzioni che trovi.
Dopo la scansione fai sapere come è andata.

Hai troppi file exe strani, uno di quelli e quasi sicuramente un virus che ti genera poi quella pagina strana.

Spybot dopo che lo hai installato e aggiornato gli fai fare la scansione, quello che trova lo elimini.

Lo stesso con Adaware!
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda [Vash] » mar nov 23, 2004 3:07 pm

Hai fatto la scansione che ti avevo suggerito

oggi la faccio,comunque bastano hijackthis e spybot o mi servono anche altri programmi?
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia

Messaggioda crazy.cat » mar nov 23, 2004 5:49 pm

usa questi intanto, la dll che ti da problemi dovrebbe essere questa
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\UC9JJ7~1.DLL
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda [Vash] » mar nov 23, 2004 6:17 pm

ho provato,ma nn si è tolto ._.
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia

Messaggioda crazy.cat » mar nov 23, 2004 6:44 pm

Dopo tutte le scansioni sono sparite alcune delle voci che avevo indicato all'inizio?
Avvia il pc in modalità provvisoria, sposti quella dll UC9JJ7~1.DLL sul desktop e la rinomini in UC9JJ7~1.old e la provi a cancellare.(è un tentativo non sò se riesce),?
Se cancelli le voci che ti avevo indicato con hijackthis spariscono al riavvio del pc?
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda [Vash] » mar nov 23, 2004 7:12 pm

Se cancelli le voci che ti avevo indicato con hijackthis spariscono al riavvio del pc?

no,ritornano ._.
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia

Messaggioda crazy.cat » mar nov 23, 2004 7:34 pm

Proviamo la scansione con questo
http://www.MegaLab.it/2333
alla fine manda qui il log della scansione che almeno capisco che virus girano sul tuo pc.
Proprio nessuna voce è sparita?
Mi pare molto strano.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda [Vash] » mar nov 23, 2004 7:49 pm

il programa nn mi parte e guarda che è uscito a hijackthis:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\X9SS28~1.DLL
praticaente toglo un file BHO e ne esce un altro,poi wineto nn vuole saperne di togliersi ._.
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia

Messaggioda crazy.cat » mar nov 23, 2004 7:52 pm

Hai provato a spostare e rinominare quella dll.
Se ci riesci riparti poi in modalità provvisoria ed elimina il file rinominato.
Si comporta nello stesso modo dell'about blank,vediamo se si riesce a fregare nella stessa maniera.
Io rimango online ancora 10 minuti.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda [Vash] » mar nov 23, 2004 7:53 pm

Immagine
poi ho fatto apparire adesso i file nascosti e mi sono usciti questi in C,che devo fare con questi???eliminarli?
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia

Messaggioda [Vash] » mar nov 23, 2004 8:01 pm

Hai provato a spostare e rinominare quella dll.

no,mi dice che è in uso...
potrei modificarla se entro in modalità provvisoria,ma poi nn so se ha effetto.
Avatar utente
[Vash]
Neo Iscritto
Neo Iscritto
 
Messaggi: 12
Iscritto il: lun nov 22, 2004 7:26 pm
Località: Puglia

Messaggioda crazy.cat » mar nov 23, 2004 8:13 pm

Per me sei impestato di virus, tranne Ntdlr che è un file di sistema gli altri sono sospetti.
Ultimo tentativo prima del formattone
http://www.zanezane.net/articoli.asp?id=187
se riesci a crearti il cd con questo antivirus, fai il boot con il cd inserito e fai la scansione, se non li ammazzi con questo non sò più come aiutarti.
Dal log di hijackthis non vedo un antivirus installato e attivo ma solo The cleaner che è insufficente.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising